Microsoft Windows Server 2003의 방화벽 기능은 너무 초보적이어서 많은 시스템 관리자가 이를 쓸모없다고 여깁니다. 이는 항상 인바운드 보호만 지원하는 단순한 호스트 기반 상태 저장 방화벽이었습니다. Windows Server 2008이 우리에게 가까워지면서 내장된 방화벽 기능이 크게 향상되었습니다. 이 새로운 최고점을 살펴보자
Windows용 호스트 기반 방화벽을 사용해야 하는 이유는 무엇입니까?
오늘날 많은 기업에서는 외부 보안 하드웨어를 사용하여 네트워크를 강화하고 있습니다. 이는 방화벽과 침입 방지 시스템을 사용하여 네트워크 주위에 철벽을 구축하여 인터넷의 악의적인 공격자로부터 네트워크를 자연스럽게 보호한다는 의미입니다. 그러나 공격자가 경계 방어를 뚫고 내부 네트워크에 액세스할 수 있는 경우 Windows 인증 보안만이 회사의 가장 귀중한 자산인 데이터에 액세스하는 것을 방지할 수 있습니다.
이는 대부분의 IT 전문가가 서버를 강화하기 위해 호스트 기반 방화벽을 사용하지 않기 때문입니다. 왜 이런 일이 발생합니까? 대부분의 IT 전문가는 호스트 기반 방화벽을 배포하면 그것이 가져오는 가치보다 더 많은 문제가 발생한다고 믿기 때문입니다.
이 기사를 읽은 후 잠시 시간을 내어 Windows 호스트 기반 방화벽에 대해 생각해 보시길 바랍니다. Windows Server 2008에서는 이 호스트 기반 방화벽이 Windows에 기본 제공되고 사전 설치되어 제공되며 이전 버전보다 더 많은 기능을 갖추고 구성이 더 쉽습니다. 이는 중요한 기본 서버를 강화하는 가장 좋은 방법 중 하나입니다. 고급 보안이 포함된 Windows 방화벽은 호스트 방화벽과 IPSec를 결합합니다. 경계 방화벽과 달리 고급 보안이 포함된 Windows 방화벽은 이 Windows 버전을 실행하는 모든 컴퓨터에서 실행되며 경계 네트워크를 통과하거나 조직 내에서 발생할 수 있는 네트워크 공격에 대해 로컬 보호를 제공합니다. 또한 컴퓨터 간 연결 보안을 제공하므로 통신에 인증 및 데이터 보호를 요구할 수 있습니다.
그렇다면 이 Windows Server 고급 방화벽은 무엇을 할 수 있으며 어떻게 구성합니까?
새로운 방화벽의 기능과 이것이 어떻게 도움이 되는지
Windows Server 2008에 내장된 방화벽은 이제 "고급"입니다. 단순히 고급이라고 말하는 것이 아니라 Microsoft는 이제 이를 고급 보안이 포함된 Windows 방화벽(간단히 WFAS)이라고 부릅니다.
새로운 이름을 정당화하는 새로운 기능은 다음과 같습니다.
1. 새로운 그래픽 인터페이스.
이제 관리 콘솔 장치를 통해 이 고급 방화벽을 구성하십시오.
2. 양방향 보호.
아웃바운드 및 인바운드 통신을 필터링합니다.
3. IPSEC와의 협력 강화.
고급 보안이 포함된 Windows 방화벽은 Windows 방화벽 기능과 IPSec(인터넷 프로토콜 보안)을 단일 콘솔에 통합합니다. 이러한 고급 옵션을 사용하여 환경에 필요한 방식으로 키 교환, 데이터 보호(무결성 및 암호화) 및 인증 설정을 구성합니다.
4. 고급 규칙 구성.
Windows Server 의 다양한 개체에 대한 방화벽 규칙을 만들고 방화벽 규칙을 구성하여 고급 보안이 포함된 Windows 방화벽을 통해 트래픽을 차단하거나 허용할지 여부를 결정할 수 있습니다.
들어오는 패킷이 컴퓨터에 도달하면 고급 보안이 포함된 Windows 방화벽은 패킷을 검사하여 방화벽 규칙에 지정된 기준을 충족하는지 확인합니다. 패킷이 규칙의 기준과 일치하면 고급 보안이 포함된 Windows 방화벽은 규칙에 지정된 작업, 즉 연결을 차단하거나 연결을 허용하는 작업을 수행합니다. 패킷이 규칙의 기준과 일치하지 않으면 고급 보안이 포함된 Windows 방화벽은 패킷을 삭제하고 방화벽 로그 파일에 항목을 만듭니다(로깅이 활성화된 경우).
규칙을 구성할 때 애플리케이션 이름, 시스템 서비스 이름, TCP 포트, UDP 포트, 로컬 IP 주소, 원격 IP 주소, 구성 파일, 인터페이스 유형(예: 네트워크 어댑터), 사용자 등 다양한 기준 중에서 선택할 수 있습니다. , 사용자 그룹, 컴퓨터, 컴퓨터 그룹, 프로토콜, ICMP 유형 등 규칙의 기준은 함께 추가됩니다. 더 많은 기준을 추가할수록 고급 보안이 포함된 Windows 방화벽이 들어오는 트래픽과 더 세밀하게 일치합니다.
양방향 보호, 더 나은 그래픽 인터페이스 및 고급 규칙 구성을 추가함으로써 고급 보안이 포함된 Windows 방화벽은 ZoneAlarm Pro와 같은 기존 호스트 기반 방화벽만큼 강력해지고 있습니다.
서버 관리자가 호스트 기반 방화벽을 사용할 때 가장 먼저 생각하는 것은 이 중요한 서버 인프라의 정상적인 작동에 영향을 미칠 것인가 하는 점입니다. 그러나 이는 Windows 2008 고급 보안과 같은 모든 보안 조치에서 발생할 수 있는 문제입니다. 이 서버에 추가된 새 역할에 대한 새 규칙을 자동으로 구성합니다. 그러나 서버에서 Microsoft 이외의 응용 프로그램을 실행 중이고 인바운드 네트워크 연결이 필요한 경우 통신 유형에 따라 새 규칙을 만들어야 합니다.
이 고급 방화벽을 사용하면 공격으로부터 서버를 더욱 강화하고, 서버가 다른 사람을 공격하기 위해 악용되는 것을 방지하고, 서버에 들어오고 나가는 데이터를 실제로 확인할 수 있습니다. 이러한 목표를 달성하는 방법을 살펴보겠습니다.
Windows 방화벽 고급 보안 구성 옵션에 대해 알아보기
이전 버전의 Windows Server 에서는 제어판에서 네트워크 어댑터를 구성하거나 Windows 방화벽을 구성할 수 있었습니다. 이 구성은 매우 간단합니다.
고급 보안이 포함된 Windows 방화벽의 경우 대부분의 관리자는 Windows 서버 관리자 또는 고급 보안이 포함된 Windows 방화벽 MMC 스냅인에서만 구성할 수 있습니다. 다음은 두 구성 인터페이스의 스크린샷입니다.
그림 1. Windows Server 2008 서버 관리자
그림 2. Windows 2008 고급 보안 방화벽 관리 콘솔
고급 보안이 포함된 Windows 방화벽을 시작하는 가장 쉽고 빠른 방법은 아래와 같이 시작 메뉴의 검색 상자에 '방화벽'을 입력하는 것입니다.
그림 3. Windows 2008 고급 보안 방화벽 관리 콘솔을 빠르게 시작하는 방법
또한 네트워크 구성 요소 설정을 구성하는 명령줄 도구인 Netsh를 사용하여 고급 보안이 포함된 Windows 방화벽을 구성할 수 있습니다. netsh advfirewall을 사용하여 IPv4 및 IPv6 트래픽 모두에 대한 고급 보안이 포함된 일련의 Windows 방화벽 설정을 자동으로 구성하는 스크립트를 만듭니다. netsh advfirewall 명령을 사용하여 고급 보안이 포함된 Windows 방화벽의 구성 및 상태를 표시할 수도 있습니다.
[컷 페이지] 새로운 고급 보안이 포함된 Windows 방화벽 MMC 스냅인을 사용하여 무엇을 구성할 수 있습니까?
이 새로운 방화벽 관리 콘솔을 사용하여 구성할 수 있는 기능이 너무 많기 때문에 그 기능을 모두 언급하는 것은 불가능합니다. Windows 2003에 내장된 방화벽 구성 그래픽 인터페이스를 본 적이 있다면 이 새로운 Windows 고급 보안 방화벽에 너무 많은 옵션이 숨겨져 있다는 것을 금방 알 수 있을 것입니다. 가장 일반적으로 사용되는 기능 중 일부를 선택하여 소개하겠습니다.
기본적으로 고급 보안이 포함된 Windows 방화벽 관리 콘솔에 처음 들어가면 고급 보안이 포함된 Windows 방화벽이 기본적으로 활성화되어 인바운드 규칙과 일치하지 않는 인바운드 연결을 차단하는 것을 볼 수 있습니다. 또한 이 새로운 아웃바운드 방화벽은 기본적으로 해제되어 있습니다.
또 다른 점은 고급 보안이 포함된 Windows 방화벽에는 사용자가 선택할 수 있는 여러 프로필이 있다는 것입니다. 
그림 4. 고급 보안이 포함된 Windows 2008 방화벽에서 제공되는 구성 파일
이 고급 보안 기능이 포함된 Windows 방화벽에는 도메인 프로필, 개인 프로필 및 공개 프로필이 있습니다. 프로필은 연결된 위치에 따라 컴퓨터에 적용되는 방화벽 규칙 및 연결 보안 규칙과 같은 설정을 그룹화하는 방법입니다. 예를 들어, 컴퓨터가 회사 LAN에 있는지 아니면 지역 커피숍에 있는지에 따라 다릅니다.
제 생각에는 Windows 2008 고급 보안 방화벽에서 논의한 모든 개선 사항 중에서 가장 중요한 개선 사항은 더욱 복잡한 방화벽 규칙입니다. 아래와 같이 Windows Server 2003 방화벽에 예외를 추가하는 옵션을 살펴보십시오.
[img]/u/info_img/2009-06/05/20071018183935294.jpg
그림 5. Windows 2003 서버 방화벽 예외 창
Windows 2008 Server 의 구성 창을 비교해 보겠습니다.
프로토콜 및 포트 탭은 이 다중 탭 창의 작은 부분일 뿐입니다. 사용자와 컴퓨터, 프로그램과 서비스, IP 주소 범위에 규칙을 적용할 수도 있습니다. 이 복잡한 방화벽 규칙 구성을 통해 Microsoft는 Windows 고급 보안 방화벽을 Microsoft의 IAS 서버 로 이동했습니다.
고급 보안이 포함된 Windows 방화벽이 제공하는 기본 규칙의 수도 놀랍습니다. Windows 2003 Server 에는 세 가지 기본 예외 규칙만 있습니다. Windows 2008 고급 보안 방화벽은 약 90개의 기본 인바운드 방화벽 규칙과 최소 40개의 기본 아웃바운드 규칙을 제공합니다.
사용자 정의 인바운드 규칙을 만드는 방법은 무엇입니까?
Windows 2008 Server 에 Apache 웹 사이트 서버의 Windows 버전을 설치했다고 가정해 보겠습니다. 이미 Windows에 내장된 IIS 웹 서버를 사용하고 있다면 이 포트가 자동으로 열립니다. 그러나 현재 타사의 웹 서버를 사용하고 있고 인바운드 방화벽이 활성화되어 있으므로 이 창을 수동으로 열어야 합니다.
단계는 다음과 같습니다.
·차단하려는 프로토콜을 확인하십시오. 우리의 경우에는 TCP/IP입니다(대응은 UDP/IP 또는 ICMP입니다).
·소스 IP 주소, 소스 포트 번호, 대상 IP 주소, 대상 포트를 식별합니다. 우리가 수행하는 웹 통신은 모든 IP 주소와 포트 번호에서 이 서버의 포트 80으로 흐르는 데이터 통신입니다. (여기서 Apache HTTP 서버와 같은 특정 프로그램에 대한 규칙을 생성할 수 있습니다.)
·고급 보안 관리 콘솔을 사용하여 Windows 방화벽을 엽니다.
·규칙 추가 - 고급 보안이 포함된 Windows 방화벽 MMC에서 새 규칙 버튼을 클릭하여 새 규칙을 시작하기 위한 마법사를 시작합니다.
그림 8. Windows 2008 Server 고급 방화벽 관리 콘솔 - 새 규칙 버튼
·포트에 대해 생성하려는 규칙을 선택합니다.
·프로토콜 및 포트 번호 구성 - 기본 TCP 프로토콜을 선택하고 포트에 80을 입력한 후 다음을 클릭합니다.
·기본값인 "연결 허용"을 선택하고 다음을 클릭합니다.
·기본적으로 모든 프로필에 이 규칙 적용을 선택하고 다음을 클릭합니다.
·이 규칙에 이름을 지정하고 다음을 클릭합니다.
이때 아래와 같은 규칙이 표시됩니다.
그림 9. 규칙 생성 후의 Windows 2008 Server 고급 방화벽 관리 콘솔
테스트 후 이 규칙이 활성화되지 않으면 최근에 설치한 Apache 웹 사이트 서버가 제대로 작동하지 않았습니다. 그러나 이 규칙을 만든 후에는 정상적으로 작동합니다!
결론: 시도해 볼 가치가 있는 훌륭한 개선
방화벽 구성 파일, 복잡한 규칙 설정, 30배에 달하는 기본 규칙 수, 이 문서에서 언급되지 않은 다양한 고급 보안 기능을 갖춘 Windows 2008 Server 고급 보안 방화벽은 Microsoft가 진정한 고급 방화벽이라고 부르는 것입니다. 저는 이 기본 제공되는 무료 고급 호스트 기반 방화벽을 통해 Windows Server가 앞으로 더욱 안전해질 것이라고 믿습니다. 하지만 사용하지 않으면 아무 소용이 없습니다. 그러니 오늘 이 새로운 Windows 고급 방화벽을 사용해 보시길 바랍니다.
Windows 방화벽 고급 보안 구성 옵션에 대해 알아보기
이전 버전의 Windows Server 에서는 제어판에서 네트워크 어댑터를 구성하거나 Windows 방화벽을 구성할 수 있었습니다. 이 구성은 매우 간단합니다.
고급 보안이 포함된 Windows 방화벽의 경우 대부분의 관리자는 Windows 서버 관리자 또는 고급 보안이 포함된 Windows 방화벽 MMC 스냅인에서만 구성할 수 있습니다. 다음은 두 구성 인터페이스의 스크린샷입니다.
그림 1. Windows Server 2008 서버 관리자
그림 2. Windows 2008 고급 보안 방화벽 관리 콘솔
고급 보안이 포함된 Windows 방화벽을 시작하는 가장 쉽고 빠른 방법은 아래와 같이 시작 메뉴의 검색 상자에 '방화벽'을 입력하는 것입니다.
그림 3. Windows 2008 고급 보안 방화벽 관리 콘솔을 빠르게 시작하는 방법
또한 네트워크 구성 요소 설정을 구성하는 명령줄 도구인 Netsh를 사용하여 고급 보안이 포함된 Windows 방화벽을 구성할 수 있습니다. netsh advfirewall을 사용하여 IPv4 및 IPv6 트래픽 모두에 대한 고급 보안이 포함된 일련의 Windows 방화벽 설정을 자동으로 구성하는 스크립트를 만듭니다. netsh advfirewall 명령을 사용하여 고급 보안이 포함된 Windows 방화벽의 구성 및 상태를 표시할 수도 있습니다.