Windows XP의 통합 방화벽은 종종 쓸모없다고 여겨지지만 현재 WIN7 방화벽의 강력한 기능에도 "전문적인" 풍미가 있습니다. 오늘은 WIN7 방화벽 사용법을 알려드리겠습니다.
Vista와 마찬가지로 제어판 프로그램에 액세스하여 Windows 7 방화벽의 기본 구성을 수행할 수 있습니다. Vista와 달리 빈 MMC를 만들고 내장된 스냅인을 추가할 필요 없이 제어판에 액세스하여 고급 구성(아웃바운드 연결 필터 구성 포함)을 수행할 수도 있습니다. 왼쪽 패널에서 고급 구성 옵션을 클릭하기만 하면 됩니다.
Vista 방화벽을 사용하면 공용 메시 또는 개인 네트워크 중 하나를 선택할 수 있으며 Windows 7에서는 공용 네트워크, 홈 네트워크 및 사무실 네트워크의 세 가지 선택이 있습니다. 후자의 두 가지 옵션은 개인 네트워크를 개선한 것입니다.
"홈 네트워크" 옵션을 선택하면 "홈 그룹"을 생성할 수 있습니다. 이 환경에서는 네트워크 검색이 자동으로 시작되고 귀하는 네트워크에 있는 다른 컴퓨터와 장치를 볼 수 있으며 다른 컴퓨터와 장치도 귀하의 컴퓨터를 볼 수 있습니다. "홈 그룹"에 속한 컴퓨터는 사진, 음악, 비디오, 문서 라이브러리 및 프린터와 같은 하드웨어 장치를 공유할 수 있습니다. 문서 라이브러리에 공유하고 싶지 않은 폴더가 있는 경우 해당 폴더를 제외할 수도 있습니다.
"회사 네트워크"를 선택하면 "네트워크 검색"도 자동으로 시작되지만 "홈 그룹"을 만들거나 가입할 수는 없습니다. 컴퓨터가 Windows 도메인에 가입하고(제어판 - 시스템 및 보안 - 시스템 - 고급 시스템 구성 - 컴퓨터 이름 탭을 통해) DC 확인을 통과하면 방화벽은 자동으로 네트워크 유형을 도메인 환경 네트워크로 식별합니다.
"공용 네트워크" 유형은 공항, 호텔, 카페에 있거나 모바일 광대역 네트워크를 사용하여 공용 Wi-Fi 네트워크에 연결할 때 적합한 선택입니다. "네트워크 검색"은 컴퓨터가 기본적으로 꺼집니다. 다른 네트워크에서는 공유가 검색되지 않으며 홈 그룹을 만들거나 가입할 수 없습니다.
모든 네트워크 모드에서 Windows 7 방화벽은 기본적으로 화이트리스트에 없는 응용 프로그램으로 전송된 모든 연결을 차단합니다. Windows 7에서는 다양한 네트워크 유형을 별도로 구성할 수 있습니다.
다목적 방화벽 정책
Vista에서는 공개 및 비공개라는 두 개의 프로필이 있지만 주어진 시간에 하나만 활성화됩니다. 따라서 컴퓨터가 동시에 두 개의 서로 다른 네트워크에 연결되어야 한다면 운이 좋지 않을 것입니다. 가장 제한적인 프로필이 모든 연결에 사용됩니다. 즉, 공용 네트워크의 규칙에 따라 작업하고 있기 때문에 로컬(개인) 네트워크에서 원하는 작업을 수행하지 못할 수도 있습니다. Windows 7(및 Server 2008 R2)에서는 서로 다른 네트워크 어댑터에서 서로 다른 구성 파일을 사용할 수 있습니다. 즉, 개인 네트워크 간의 네트워크 연결은 개인 네트워크 규칙에 따라 관리되고, 공용 네트워크로 들어오고 나가는 트래픽은 공용 네트워크 규칙에 따라 관리됩니다.
사소하고 눈에 띄지 않는 것들이 차이를 만든다
대부분의 경우 더 나은 사용성은 작은 변경으로 귀결되는 경우가 많으며 MS는 사용자의 의견을 듣고 Windows 7 방화벽에 "눈에 띄지 않지만 효과적인 작은 기능"을 추가했습니다. 예를 들어 Vista에서 방화벽 규칙을 생성하는 경우 각 IP 주소와 포트를 별도로 나열해야 합니다. 이제 범위만 지정하면 일반적인 관리 작업을 수행하는 데 소요되는 시간이 줄어듭니다.
또한 netsh 명령을 사용하지 않고도 방화벽 콘솔에서 연결 보안 규칙을 생성하여 IPsec이 필요한 포트나 프로토콜을 지정할 수 있습니다. 이는 GUI를 선호하는 사용자에게 더욱 편리한 개선 사항입니다.
연결 보안 규칙은 동적 암호화도 지원합니다. 이는 서버가 클라이언트로부터 암호화되지 않은(그러나 인증된) 정보를 수신하는 경우 보안 협회는 보다 안전한 통신을 설정하기 위해 합의된 "즉시"를 통한 암호화를 요구한다는 것을 의미합니다.
"고급 설정"에서 구성 파일을 구성합니다.
고급 설정 제어판을 사용하여 각 네트워크 유형에 대한 프로필을 구성할 수 있습니다.
구성 파일의 경우 다음 설정을 지정할 수 있습니다.
* 방화벽 켜기/끄기
* (차단, 모든 연결 차단 또는 허용) 인바운드 연결
* (허용 또는 차단) 나가는 연결
* (프로그램 차단 후 알림 여부) 알림 표시
* 유니캐스트가 멀티캐스트 또는 브로드캐스트에 응답하도록 허용
* 로컬 관리자가 그룹 정책 방화벽 규칙 외에 로컬 방화벽 규칙을 생성하고 적용할 수 있도록 허용
netsh.exe를 사용하여 시스템 방화벽 구성 정보
(1) 시스템 방화벽을 확인, 활성화 또는 비활성화합니다.
명령 프롬프트를 열고 "netsh Firewallshow state" 명령을 입력한 후 Enter를 눌러 방화벽 상태를 확인하면 방화벽의 각 기능 모듈이 비활성화되고 활성화되는 것을 볼 수 있습니다. "netsh Firewall set opmode 비활성화" 명령은 시스템 방화벽을 비활성화하는 데 사용되는 반면, "netsh Firewall set opmode 활성화" 명령은 방화벽을 활성화하는 데 사용됩니다.
(2).파일 및 인쇄 공유 허용
파일 및 인쇄 공유는 LAN에서 일반적으로 사용됩니다. 클라이언트가 이 컴퓨터의 공유 파일이나 프린터에 액세스할 수 있도록 하려면 다음 명령을 각각 입력하고 실행할 수 있습니다.
netsh 방화벽 포트 개방 추가 UDP 137 Netbios-ns
(클라이언트가 서버 UDP 프로토콜의 포트 137에 액세스하도록 허용합니다)
netsh 방화벽 포트 개방 추가 UDP 138 Netbios-dgm
(UDP 프로토콜의 포트 138에 대한 액세스를 허용합니다)
netsh 방화벽 포트 개방 추가 TCP 139 Netbios-ssn
(TCP 프로토콜의 포트 139에 대한 액세스를 허용합니다)
netsh 방화벽 포트 개방 추가 TCP 445 Netbios-ds
(TCP 프로토콜의 포트 445에 대한 액세스를 허용합니다)
명령이 실행되면 파일 및 인쇄 공유에 필요한 포트가 모두 방화벽에서 허용됩니다.
(3).ICMP 에코 허용
기본적으로 Windows 7에서는 보안상의 이유로 외부 호스트의 ping을 허용하지 않습니다. 하지만 보안 LAN 환경에서 관리자가 네트워크 테스트를 수행하려면 Ping 테스트가 필요합니다. Windows 7의 핑 테스트 에코를 허용하는 방법은 무엇입니까?
물론 시스템 방화벽 콘솔을 통해 "인바운드 규칙"을 허용하도록 "파일 및 인쇄 공유(에코 요청 – ICMPv4-In)" 규칙을 설정할 수 있습니다(네트워크에서 IPv6를 사용하는 경우 ICMPv6-In 규칙도 허용해야 함). . 그러나 명령줄에서 netsh 명령을 통해 빠르게 구현할 수 있습니다. "netsh Firewall set icmpsetting 8" 명령을 실행하여 ICMP 에코를 활성화하고, 반대로 "netsh Firewall set icmpsetting 8 비활성화" 명령을 실행하여 에코를 비활성화합니다.