서버에 대한 고급 방화벽 구성

인포매텍 디지털 » Recursos » 서버에 대한 고급 방화벽 구성

마스터하세요 서버에 대한 고급 방화벽 구성 이제 대기업만의 문제가 아닙니다. 사이버 보안을 중요하게 생각하는 모든 기업은 네트워크를 분할하고, 영역을 정의하고, 세부적인 규칙을 만들고, 경계 방화벽과 모든 컴퓨터 및 서버의 Windows 방화벽 자체를 최대한 활용하는 방법을 이해해야 합니다.

이 가이드 전체를 통해 여러분은 그 과정을 상당히 자세하게 살펴보게 될 것입니다. 차세대 방화벽(NGFW)영역(LAN, WAN, DMZ, VLAN)을 설계하는 방법, 적용할 규칙 유형(프로그램, 포트, 프로토콜, IP 등)은 무엇이며, 이러한 기능을 어떻게 활용할 수 있을까요? 고급 보안이 포함된 Windows 방화벽SimpleWall과 같은 도구는 어떤 역할을 하며, 이러한 구조 전체가 관리 불가능한 혼란으로 변질되는 것을 방지하기 위해 어떤 모범 사례를 따라야 할까요?

차세대 서버 방화벽: 포트 필터링 그 이상

차세대 방화벽은 다음과 같습니다. 포티게이트 NGFW이 제품들은 고급 네트워킹 기능과 강력한 보안 기능을 하나의 장치에 결합했습니다. 단순히 포트를 열고 닫는 것뿐만 아니라, 애플리케이션 수준에서 트래픽을 분석하고, 암호화된 콘텐츠를 검사하며, 복잡한 클라우드, LAN, WLAN 및 원격 액세스 아키텍처와 통합됩니다.

FortiGate의 경우 시스템의 핵심은 다음과 같습니다. 포티OS보안 정책과 네트워크 기능을 통합하는 특정 운영 체제: 통합 SD-WAN, 범용 ZTNA, 무선 및 유선 네트워크의 트래픽 제어, FortiManager를 통한 중앙 집중식 관리 기능을 제공합니다.

게다가 이 팀들은 다음과 같은 것에 의존합니다. 독자적인 ASIC 아키텍처 (전용 칩을 사용하여) 네트워크 부하가 심하고 수백 또는 수천 개의 세션이 동시에 접속하는 상황에서도 성능 저하나 전력 소비 급증 없이 패킷 검사 및 복호화 속도를 높입니다.

위협에 대한 보호는 다음을 통해 강화됩니다. FortiGuard 서비스인공지능을 추가하여 멀웨어, 의심스러운 트래픽, 익스플로잇 및 표적 공격을 탐지하고, 네트워크, 엔드포인트 및 클라우드를 포괄하는 보안 패브릭인 Fortinet Security Fabric 개념에 모든 것을 통합하여 사고에 대해 조정된 방식으로 대응할 수 있도록 합니다.

서버의 방화벽 영역 설계 및 네트워크 분할

내일이 없는 것처럼 규칙을 만들기 전에, 먼저 설계를 해야 합니다... 구역 설정 건축 과 네트워크 세분화네트가 평평할수록 공격수가 안쪽으로 들어간 후 측면으로 움직이기가 더 쉬워집니다.

첫 번째 단계는 식별하는 것입니다 핵심 자산 및 서비스웹 서버, 데이터베이스, 내부 애플리케이션, POS 단말기, VoIP PBX, 게스트 네트워크 등은 중요도와 노출 정도에 따라 서로 다른 논리적 영역으로 그룹화됩니다.

일반적인 관행은 다음과 같은 것을 만드는 것입니다. DMZ(비무장지대) 이메일, VPN, 웹 애플리케이션, 공용 포털 등과 같이 인터넷에 직접 서비스를 제공하는 서버의 경우, 이러한 시스템은 외부 네트워크와 가장 민감한 내부 네트워크 모두로부터 격리되어야 하며, 서로 다른 영역 간에 흐를 수 있는 트래픽을 최대한 제한해야 합니다.

조직 내부에서만 접근 가능한 서버는 다음 위치에 있습니다. 내부 서버 영역이러한 네트워크는 사용자 네트워크, 관리 네트워크, 그리고 실험실이나 테스트 환경과 분리되어 있습니다. 이를 실현하기 위해서는 일반적으로 다음과 같은 기능을 지원하는 스위치를 사용합니다. VLAN 2단계에서도 분리 상태를 유지하기 위해서입니다.

IPv4 환경에서는 모든 내부 네트워크가 IPv4를 사용해야 합니다. 개인 사격장 (RFC1918)을 준수하며 인터넷 접속을 위해 NAT 메커니즘을 사용합니다. 변환은 일반적으로 경계 방화벽에서 수행되며, 이 방화벽은 각 영역에 대한 인바운드 및 아웃바운드 트래픽 정책도 적용합니다.

접근 제어 목록(ACL) 및 영역 간 규칙

영역을 정의하고 방화벽 인터페이스 또는 서브인터페이스에 할당했으면 이제 다음 단계로 넘어갈 차례입니다... ACL(액세스 제어 목록)이는 해당 구역 간에 어떤 통행이 허용되고 어떤 통행이 거부되는지를 결정하는 규칙입니다.

핵심은 각 인터페이스 또는 하위 인터페이스에 대해 가능한 한 간단한 규칙 집합을 정의하는 것입니다. 구체적이고 세부적인 요구 사항에는 출발지 IP 또는 서브넷, 목적지 IP 또는 서브넷, 프로토콜(TCP, UDP, ICMP 등), 관련 포트 및 동작(허용 또는 거부)이 포함될 수 있습니다. 규칙이 구체적일수록 보안 취약점이 줄어듭니다.

좋은 관행은 각 ACL을 다음과 같은 규칙으로 끝내는 것입니다. "모든 것을 부인하라"는 암묵적인 의미이는 안전망 역할을 합니다. 패킷이 기존 권한 규칙과 일치하지 않으면 차단됩니다. 그 후, 실제로 필요한 흐름에 대해서만 매우 구체적인 예외가 생성됩니다.

또한 비활성화하는 것이 좋습니다. 관리자 인터페이스에 대한 공개 액세스 방화벽(HTTP, HTTPS, SSH 등)을 통해 특정 내부 네트워크 또는 보안 관리 VPN을 통해서만 관리를 허용합니다.

최신 차세대 방화벽(NGFW)은 포트 및 IP를 넘어 다양한 기능을 활용할 수 있습니다. 애플리케이션 제어웹 카테고리, IPS 및 고급 파일 분석(샌드박싱) 기능이 있습니다. 이미 이러한 기능에 대한 비용을 지불했다면, 특히 경계를 넘나드는 중요한 워크플로에서 이러한 기능을 활성화하고 구성하는 것이 좋습니다.

서버에서 허용형 방화벽과 제한형 방화벽 중 어떤 것을 사용할지 고민이시라면?

방화벽 정책(경계 방화벽이든 운영 체제 방화벽이든)을 설계할 때 중요한 점은 정책 수립 단계에서부터 시작할지 여부를 결정하는 것입니다. 허용적인 또는 제한적인.

한 곳에서 허용적인 방화벽 궁극적으로 암묵적인 규칙은 "모든 것을 허용"하는 것입니다. 명시적인 거부 규칙으로 정의된 항목만 차단됩니다. 이 접근 방식은 일반적으로 신뢰할 수 있는 근거리 통신망(LAN)이나 Windows에서 "사설 네트워크"로 구성된 컴퓨터에서 사용됩니다.

한 곳에서 제한적인 방화벽 정반대의 경우가 발생합니다. 궁극적인 규칙은 "모두 차단"입니다. 명시적인 허용 규칙과 일치하는 트래픽만 통과됩니다. 이러한 접근 방식은 광역 네트워크(WAN) 인터페이스, pfSense 또는 기업용 차세대 방화벽(NGFW)과 같은 방화벽, 그리고 "공용 네트워크"로 구성된 장치에서 흔히 볼 수 있습니다.

예를 들어 윈도우는 기본적으로 사용합니다. 수신 연결에 대한 제한적인 정책 (명시적으로 허용되지 않은 모든 것을 차단합니다) 지출에 대한 관대한 정책 (차단한 항목을 제외한 모든 것을 허용합니다.) 이 설정은 방화벽의 고급 속성에서 조정할 수 있습니다.

윈도우 방화벽은 서버에서 실제로 어떤 기능을 제공할 수 있을까요?

El 고급 보안이 포함된 Windows 방화벽 이 기능은 많은 사람들이 생각하는 것보다 훨씬 강력합니다. 수신 및 발신 트래픽을 제어하고, IP ​​주소, 포트, 프로토콜, 서비스, 네트워크 인터페이스, 프로필 유형(도메인, 개인, 공용)별로 필터링할 수 있으며, 특정 시나리오에서는 사용자 또는 그룹별로도 필터링할 수 있습니다.

이 제품의 기능 중 특히 다음과 같은 점들이 두드러집니다. 패킷 필터링 하위 수준에서 이 프로그램은 상세한 로그를 생성하고(이 로그는 이벤트 뷰어로 분석하거나 SIEM으로 전송할 수 있음), 공용 네트워크를 감지하여 자동으로 더 엄격한 프로필을 적용하며, Windows Defender와 같은 다른 보안 계층과 통합됩니다.

소규모 기업 및 많은 서버 환경에서 잘 구성된 서버는 다음과 같은 이점을 제공할 수 있습니다. 충분하다특히 강력한 안티바이러스 소프트웨어와 우수한 관리 관행을 함께 사용할 경우 효과적입니다. 하지만 한계점도 분명히 인지해야 합니다. 차세대 방화벽(NGFW)이나 전용 침입 방지 시스템(IPS)을 대체할 수는 없습니다.

단점으로는 윈도우 방화벽이 기본적으로 이 기능을 제공하지 않는다는 점을 언급해야 합니다. 심층 패킷 검사 고급 서명 기능을 사용하지만, 시스템 원격 측정 데이터를 기본적으로 차단하지 않으며, 알림이 눈에 띄지 않고(새 연결에 대한 알림이 거의 없음), 로그를 확인하는 방법이 비전문가 사용자에게는 친숙하지 않습니다.

고급 보안 기능을 갖춘 Windows 방화벽에 액세스

환경에서 고급 방화벽 설정을 관리하려면 Active Directory 도메인이상적으로는, 함께 일해야 합니다. GPO(그룹 정책 개체)도메인 관리자 그룹에 속해 있거나 GPO에 대한 위임된 권한이 있어야 합니다.

정책 관리 콘솔에서 다음 단계로 이동합니다. 정책 > 컴퓨터 구성 > Windows 설정 > 보안 설정 > 고급 보안이 포함된 Windows 방화벽여기서는 도메인에 가입된 클라이언트 컴퓨터와 서버에 대한 공통 규칙을 정의할 수 있습니다.

그것이 대략 인 경우에 단일 서버 또는 로컬 컴퓨터해당 기기에서 관리자 권한만 있으면 됩니다. 콘솔을 여는 가장 빠른 방법은 시작 버튼을 누르고 명령어를 입력하는 것입니다. wf.msc 그런 다음 Enter 키를 누르십시오. 해당 컴퓨터에 대한 고급 보안 기능이 포함된 Windows 방화벽 콘솔이 열립니다.

메인 화면에는 다음이 표시됩니다. 수신 규칙, 발신 규칙, 연결 보안 규칙 또한 다양한 프로필(도메인, 개인, 공용) 구성과 함께 활성화된 규칙만 표시되는 모니터링 영역도 제공됩니다.

프로필, 전역 정책 및 기본 동작

방화벽 속성 패널은 각 항목에 대한 전역 옵션을 제어합니다. 네트워크 프로파일 (도메인, 개인, 공용). 이러한 옵션은 네트워크 어댑터가 특정 네트워크 유형과 연결될 때 방화벽의 동작 방식을 결정합니다.

각 프로필에 대해 방화벽 활성화 여부를 결정할 수 있습니다. 켜기 또는 끄기규칙에 부합하지 않는 수신 연결을 차단할지 허용할지 여부와 발신 연결에 대해서도 마찬가지입니다.

다음과 같은 매개변수도 조정할 수 있습니다. 프로그램 차단 시 알림그 장소는 방화벽 로그또한 로그의 최대 크기와 IPsec VPN 터널로 보호되는 트래픽에 대한 특별 처리가 있는데, 이는 일반적으로 더 안정적인 것으로 간주됩니다.

섹션에서 감독 현재 활성화된 모든 규칙이 표시됩니다. 여기에는 그룹 정책 개체(GPO)에서 가져온 규칙과 로컬에서 정의된 규칙이 모두 포함됩니다. 여기에서 실제로 활성화된 규칙과 해당 매개변수를 확인할 수 있으며, 여기에서 규칙의 속성을 열고 수정할 수 있습니다.

진입 및 진출 규칙: 교통 방향

윈도우 방화벽에서 규칙을 설정할 때 가장 흔히 저지르는 실수 중 하나는 다음과 같습니다. 교통 방향을 혼란스럽게 하다수신 규칙은 컴퓨터로 들어오는 패킷에 적용되고, 송신 규칙은 컴퓨터에서 다른 컴퓨터로 나가는 패킷에 적용됩니다.

인터넷에서 서버로의 연결을 차단하는 것이 목표라면, 서버를 생성하거나 수정해야 합니다. 입장 규칙반면에 서버 서비스나 프로그램이 외부와 연결되는 것을 차단하는 것이 목표라면, 다음과 같은 조치를 취해야 합니다. 종료 규칙.

목록의 각 항목은 규칙이 활성화되었는지(녹색 체크 표시 아이콘) 또는 비활성화되었는지를 나타냅니다. 비활성화된 규칙은 정의되어 있더라도 트래픽에 영향을 미치지 않습니다. 일반적으로 Windows에는 필요할 때까지 활성화되지 않은 상태로 존재하는 미리 정의된 규칙이 많습니다.

잘 이해하려면 출발지/도착지 흐름 및 로컬/원격 포트 이는 적용되지 않거나 실제로 필요한 것보다 더 많은 권한을 부여하는 규칙을 만드는 것을 방지하는 데 필수적이며, 복잡한 서비스를 구성할 때 매우 흔히 발생하는 문제입니다.

윈도우 방화벽의 규칙 유형

Windows 방화벽 새 규칙 마법사는 다음 네 가지 주요 범주를 제공합니다. 프로그램, 포트, 사전 정의 및 사용자 정의각각은 서로 다른 시나리오에 맞춰 설계되었으므로, 달성하고자 하는 목표에 따라 신중하게 선택하는 것이 중요합니다.

규칙 프로그램 특정 실행 파일에 집중하세요; 포트 TCP 또는 UDP 포트 번호로 필터링합니다. 사전 정의 이러한 서비스는 익숙한 Windows 서비스 관리를 간소화합니다. 개인화 이러한 기능은 여러 기준을 한 번에 결합하여 매우 세밀한 조정을 가능하게 합니다.

모든 경우에 마법사는 적용할 작업(허용, IPsec으로 보안된 경우에만 허용 또는 차단)과 해당 규칙을 적용할 네트워크 프로필(도메인, 개인, 공용)을 묻는 것으로 끝납니다. 마지막으로, 이름과 설명 나중에 쉽게 식별할 수 있도록요.

중요 서버의 경우, 시간을 들여 규칙을 제대로 문서화하는 것이 좋습니다. 이 서비스는 어떤 서비스를 보호하며, 존재하는 이유는 무엇인가요?따라서 향후 감사나 변경 시 그 유용성에 대해 의심의 여지가 없을 것입니다.

프로그램별 규칙: 특정 서비스에 대한 세밀한 제어

유형 규칙 프로그램 포트 포워딩은 애플리케이션이 사용하는 모든 포트를 외울 필요 없이 애플리케이션의 트래픽을 편리하게 제어할 수 있는 방법입니다. 수신 및 송신 트래픽 모두에 적용할 수 있습니다.

마법사에서 "이 프로그램 경로" 옵션을 선택하고 경로를 지정하십시오. 실행 파일 경로환경 변수를 사용하면 프로그램이 서로 다른 컴퓨터에 다른 경로에 설치되어 있더라도 규칙이 올바르게 적용되도록 할 수 있습니다.

서비스를 호스팅하는 서버에서 svchost.exe를 다른 멀티 서비스 컨테이너의 경우, 서비스의 짧은 이름을 선택하여 특정 서비스에만 규칙이 적용되도록 사용자 지정할 수 있습니다. 이를 통해 예를 들어 동일한 프로세스 내에서 특정 RPC 서비스의 트래픽을 구분할 수 있습니다.

프로그램 규칙과 탭의 제한 사항을 함께 사용하는 것이 좋습니다. 프로토콜 및 포트해당 애플리케이션이 수신하거나 사용할 수 있는 포트를 명시적으로 지정합니다. 다른 포트를 열려고 하면 방화벽에서 차단합니다.

포트 규칙: 기존 TCP/UDP 필터링

유형 규칙 포트 이 기능을 사용하면 로컬 또는 원격 포트 번호와 프로토콜(주로 TCP 또는 UDP)을 기준으로 트래픽을 허용하거나 차단할 수 있습니다. 인바운드 및 아웃바운드 규칙 모두에 사용할 수 있습니다.

예를 들어, 일반적인 수신 규칙을 사용하여 이메일을 열 때, TCP 포트 21TCP가 선택되고 "특정 로컬 포트"가 지정된 후 21이 입력됩니다. 쉼표로 구분하여 여러 포트를 지정할 수 있으며(예: 21,20,22), 5000-5100과 같은 포트 범위를 지정할 수도 있고, 동일한 규칙에서 개별 포트와 포트 범위를 혼합하여 사용할 수도 있습니다.

다음으로, 어떤 조치를 취할지(허용, 보안 설정된 경우 허용, 차단)와 적용할 프로필을 선택합니다. 특정 프로그램의 세부 설정에 신경 쓰지 않고도 HTTP, HTTPS, RDP 등과 같은 표준 서비스를 간단하게 열 수 있는 방법입니다.

의 경우 종료 규칙가장 일반적인 방법은 서버가 연결을 시도하는 대상 포트인 원격 포트를 지정하는 것입니다. 대표적인 사용 사례로는 의심스러운 포트로 향하는 모든 아웃바운드 트래픽을 차단하거나 특정 애플리케이션이 매우 특정한 포트를 통해서만 통신하도록 제한하는 경우가 있습니다.

사전 정의된 규칙 및 사용자 지정 규칙

라스 사전 정의된 규칙 이 기능은 일반적인 Windows 서비스(파일 및 프린터 공유, 원격 데스크톱 등)에 대한 미리 설정된 구성을 그룹화합니다. 서비스를 선택하고 허용 또는 차단 여부를 지정한 다음 프로필을 선택하면 완료됩니다.

이 옵션은 각 경우에 사용되는 포트와 프로토콜을 일일이 조사하지 않고도 내부 서비스를 신속하게 활성화하거나 제한하려는 경우에 편리합니다. 시스템은 백그라운드에서 해당 서비스에 적용되는 몇 가지 특정 규칙을 생성합니다.

라스 맞춤 규칙 이러한 설정은 가장 포괄적이며 최고의 제어 기능을 제공합니다. 프로그램(또는 모든 프로그램), 서비스 유형, IP 프로토콜(TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route 등의 목록 포함), 로컬 및 원격 포트 조합, 소스 및 대상 IP 주소(범위 및 서브넷 포함) 및 추가 조건 등 모든 매개변수를 지정할 수 있습니다.

ICMPv4 또는 ICMPv6과 같은 프로토콜에서는 다음 사항을 선택할 수 있습니다. 그들은 모든 유형의 ICMP를 지원합니다. 또는 특정 메시지(에코 요청, 에코 응답, 시간 초과 등)만 표시할 수도 있습니다. 일반 목록에 나타나지 않는 특정 유형과 코드를 정의할 수도 있습니다.

또한 범위 섹션에서 IP 주소를 정의할 때 마법사는 다음을 허용합니다. 전체 범위 또는 서브넷을 추가합니다. (예: 192.168.10.0/24)와 같이 지정하여 로컬 및 원격으로 해당 규칙을 사용할 수 있는 장치를 더욱 세분화할 수 있습니다.

서버에 대한 ICMP 인바운드 규칙

서버로의 ICMP 트래픽 허용 여부는 전략적 결정입니다. 수신 ICMP 규칙 이 기능은 장치가 핑 및 특정 네트워크 진단 메시지에 응답할 수 있도록 해주므로 관리 작업에 매우 유용하지만 공격자에게 정보를 제공할 수도 있습니다.

Windows 방화벽에서 인바운드 ICMP 규칙을 만들려면 고급 콘솔을 열고 다음으로 이동하십시오. 레 글라스 데 엔트라 다 그러면 새로운 사용자 지정 규칙이 생성됩니다. 프로그램 섹션에서는 일반적으로 "모든 프로그램"을 선택합니다.

프로토콜 화면에서 선택하세요 ICMPv4 또는 ICMPv6 이는 사용 중인 네트워크 스택에 따라 다릅니다. IPv4와 IPv6를 모두 사용하는 경우 각각에 대한 규칙을 생성해야 합니다. 사용자 지정 옵션을 사용하면 허용할 특정 ICMP 유형(에코 요청/에코 응답만 또는 더 광범위한 유형)을 선택할 수 있습니다.

다음으로, 범위(핑을 보낼 수 있는 IP 주소), 동작(일반적으로 연결 허용), 그리고 규칙이 적용될 네트워크 프로필을 정의합니다. 마지막으로, 규칙을 쉽게 식별할 수 있도록 설명적인 이름을 지정합니다.

입출국 서비스 또는 프로그램 규칙

어떤 상황에서는, 원하는 것은 놓아주는 것입니다. 특정 서비스, 수신 트래픽을 수신합니다. 필요한 포트를 통해 프로그램을 실행하거나, 반대로 어떤 포트를 통해서도 외부와 통신하지 못하도록 차단할 수 있습니다.

들어오는 부분에 대해서는 사용자 지정 규칙을 생성하고 "이 프로그램 경로"를 선택한 다음 서비스 실행 파일을 지정합니다. 그런 다음 서비스의 짧은 이름을 선택하여 해당 실행 파일 내에서 호스팅되는 서비스에만 규칙이 적용되도록 사용자 지정할 수 있습니다.

조정할 수 있는 옵션도 있습니다. 서비스 SID 유형 sc sidtype 명령어를 사용하여 이는 방화벽 규칙 내에서 해당 서비스를 사용하는 방식에 영향을 미칩니다. 설정을 '제한됨(RESTRICTED)'으로 변경하면 서비스가 시작되지 않을 수 있으므로, 신중하게 변경해야 하며 이러한 유형의 보호가 필요한 경우에만 사용해야 합니다.

나가는 부분의 과정도 비슷하지만, 생성 방식은 다릅니다. 종료 규칙해당 프로그램의 인터넷 접속을 완전히 차단하려면 실행 파일의 경로를 지정하고, 동작을 "연결 차단"으로 설정한 다음, 제한할 프로필을 선택하십시오.

RPC 및 동적 포트에 대한 특수 구성

사용하는 서비스 RPC(원격 프로시저 호출) 이러한 트래픽은 시스템이 런타임에 할당하는 동적 포트를 사용하기 때문에 특히 민감할 수 있습니다. Windows 방화벽을 통해 이러한 트래픽을 제어된 방식으로 허용하려면 일반적으로 두 가지 특정 규칙을 생성해야 합니다.

첫 번째는 다음으로 향합니다. RPC 엔드포인트 할당 서비스%systemroot%\system32\svchost.exe에 위치한 규칙입니다. 이 규칙은 RpcSs 서비스에 적용되도록 사용자 지정되었으며, 프로토콜은 TCP로 설정되었고, 로컬 포트는 "RPC 엔드포인트 매퍼" 옵션이 선택되었습니다.

두 번째 규칙은 다음과 같은 목적으로 만들어졌습니다. RPC 지원 네트워크 서비스 허용하려는 포트를 지정하고, 해당 포트를 호스팅하는 실행 파일의 경로를 지정한 다음, 특정 서비스와 연결합니다. 이 경우 로컬 포트에는 "RPC 동적 포트"가 선택됩니다.

두 규칙 모두에서 범위(허용되는 IP 주소), 동작(연결 허용) 및 프로필을 조정합니다. 이렇게 하면 이러한 조건을 충족하는 장치와 서비스만 RPC 포트 포워딩을 활용할 수 있습니다.

윈도우 방화벽 로깅, 감사 및 문제 해결

무언가가 제대로 작동하지 않을 때 방화벽 로그와 감사 이벤트가 표시됩니다. 첫 번째 정보 출처로그 수집은 필요하기 전에 미리 제대로 구성해 두는 것이 좋습니다.

방화벽 속성에서 각 프로필 탭에서 다음을 사용자 지정할 수 있습니다. 로그 파일 경로최대 크기(KB)와 패킷 손실, 연결 성공 또는 둘 다를 기록할지 여부를 지정합니다. 서버 환경에서는 명확한 개요를 위해 둘 다 기록하는 것이 일반적으로 좋습니다.

반면에 명령줄 도구를 사용하면 auditpol.exe 정책 변경과 같은 특정 감사 하위 범주를 활성화하면 방화벽 또는 IPsec 정책이 수정될 때 시스템에서 자세한 이벤트를 생성할 수 있습니다.

문제를 조사할 때 네트워크 상태를 캡처하는 것이 도움이 됩니다. netstat -ano > netstat.txt 그리고 프로세스 목록은 다음과 같습니다. 작업 목록 > tasklist.txttasklist의 프로세스 PID와 netstat의 활성 연결을 상호 참조하면 특정 포트를 사용하는 프로그램을 찾을 수 있습니다.

복잡한 시나리오에서 Microsoft는 다음과 같은 스크립트를 제공합니다. TSS.ps1 Windows 필터링 엔진(WFP)의 고급 추적 정보를 수집하여 ZIP 파일로 압축한 다음 분석하거나 기술 지원팀에 제출할 수 있습니다.

외부 도구: SimpleWall 및 타사 방화벽

윈도우에 내장된 방화벽은 잘 작동하지만, 종종 간과되는 경우가 많습니다. 보다 직관적인 인터페이스 그리고 애플리케이션이 처음으로 인터넷에 접속하려고 할 때 명확한 알림을 보내야 합니다. 바로 이 부분에서 타사 솔루션이 필요합니다.

Windows용으로 출시된 가볍고 오픈 소스 옵션 중 하나는 다음과 같습니다. 심플월이 프로그램은 Windows 필터링 플랫폼(WFP)을 사용하지만 Windows 방화벽을 직접 수정하지는 않습니다. 대신 WFP를 통해 자체 규칙을 생성하여 어떤 애플리케이션이 액세스할 수 있는지 제어합니다.

그 특징 중에는 다음과 같은 것들이 있습니다. 간단한 규칙 편집기Windows 원격 측정 및 스파이 행위를 차단하는 내부 목록, 차단된 패킷 로그, IPv6 호환성, 시스템 서비스 및 Microsoft Store 앱 지원 등이 포함됩니다.

SimpleWall을 사용하면 영구 또는 임시 규칙(재부팅 후 사라짐)을 생성하고, 필터를 전역적으로 활성화하고, 프로그램을 허용, 차단 또는 자동 차단으로 분류할 수 있습니다. 단, 규칙이 적용되려면 SimpleWall 자체가 백그라운드에서 실행 중이어야 합니다.

SimpleWall 외에도 일부 사용자는 다른 방법을 선택합니다. 상업용 방화벽 더 많은 기능을 제공합니다. 심층 패킷 검사, 사전 구성된 추적 방지 목록, 샌드박싱, 동작 분석, 고급 그래픽 대시보드, 그리고 아웃바운드 트래픽에 대한 향상된 가시성을 제공합니다. 이러한 제품 중 상당수는 Windows 방화벽과 통합되거나 부분적으로 대체합니다.

서버에서 방화벽을 사용할 때의 성능, 장점 및 단점

경계 방화벽이든 운영 체제 수준 방화벽이든, 방화벽을 사용하는 것은 작은 단점이 있습니다. 성능 비용각 네트워크 패킷은 하나 이상의 규칙에 따라 분석되기 때문입니다. 이는 하드웨어 사양이 매우 제한적이거나 오래된 장비에서 두드러지게 나타날 수 있습니다. 확인해 보세요. 리눅스 서버 최적화 가이드 영향을 완화하기 위해.

하지만, 가지는 것의 이점은 다음과 같습니다. 첫 번째 방어 장벽 이는 매우 중요한 기능입니다. 외부 공격에 대한 노출을 줄이고, 외부에서 연결할 수 있는 애플리케이션을 제어하며, 감사에 유용한 로그를 생성하고, 신뢰할 수 있는 네트워크인지 공용 네트워크인지에 따라 보호 수준을 조정합니다.

성능에 미치는 영향 외에 주요 단점은 다음과 같습니다. 유지 관리 복잡성 (특히 경험이 부족한 사용자에게) 잘못된 안심감을 줄 수 있습니다. 방화벽은 제대로 된 바이러스 백신, 시스템 업데이트, 그리고 물론 관리자의 상식을 대체할 수 없습니다.

또한, 적절한 규칙 관리는 시간이 걸립니다. 실제로 사용 중인 규칙을 검토하고, 더 이상 사용되지 않는 규칙을 제거하고, 변경 사항을 문서화하고, 빠른 테스트나 임시 예외 처리를 할 때 의도치 않게 허점이 남지 않도록 확인해야 합니다.

서버 방화벽 보안을 위한 고급 모범 사례

제대로 된 서버 환경에서는 단순히 규칙 네 개만 설정하고 잊어버리는 것으로는 충분하지 않습니다. 고려해야 할 사항이 많습니다. 좋은 관행 이는 통제력을 유지하고 장기적인 위험을 줄이는 데 도움이 됩니다.

첫 번째는 적용하는 것입니다. 최소 권한 원칙(PoLP)이는 사용자와 규칙 모두에 적용됩니다. "모든 IP 주소에서 모든 접속 허용"과 같은 일반적인 규칙을 사용하는 대신, 특정 IP 주소 또는 서브넷, 특정 포트, 알려진 애플리케이션에 맞춘 규칙을 정의합니다.

또 다른 중요한 점은 방화벽과 그 구성 요소를 유지 관리하는 것입니다. 항상 업데이트여기에는 운영 체제 패치, 물리적 방화벽 펌웨어, IPS 시그니처 및 공급업체에서 릴리스한 모든 업데이트를 적용하는 작업이 포함되며, 가급적 테스트 환경에서 테스트를 거친 후 진행해야 합니다.

마지막으로 배포하는 것이 필수적입니다. 효과적인 모니터링 및 기록로그를 SIEM 시스템으로 전송하고, 의심스러운 패턴(예: 동일한 IP 주소에서 많은 패킷이 차단되는 경우)에 대한 경고를 정의하고, 단순히 "혹시 모를 경우를 대비해" 수집하는 것이 아니라 정기적으로 보고서를 검토하십시오.

논리 계층 외에도, 물리적 보안 방화벽의 중요한 특징으로는 밀폐형 랙에 장비를 설치하고, 기술실에 대한 접근을 제한하며, 변경 후 문제가 발생할 경우 신속하게 롤백할 수 있도록 구성 백업을 수행하는 것 등이 있습니다.

추가 계층: URL 필터링, VPN, IPS, QoS 및 애플리케이션 제어

대부분의 최신 차세대 방화벽(NGFW)은 기본 패킷 필터링 및 IP/포트 규칙을 보완하는 고급 기능을 활성화할 수 있도록 지원합니다.

El URL 필터링 이 기능을 사용하면 웹사이트를 카테고리별(악성 소프트웨어, 소셜 네트워크, 성인 콘텐츠, P2P 다운로드 등)로 분류하고 부적절하거나 위험하다고 판단되는 웹사이트를 차단할 수 있어 보안을 강화하고 허용 가능한 사용 정책을 시행하는 데 도움이 됩니다.

라스 VPN사이트 간 연결이든 원격 접속이든, VPN은 IPsec 또는 SSL/TLS와 같은 프로토콜을 사용하여 사무실과 원격 사용자 간의 트래픽을 암호화합니다. 방화벽은 일반적으로 이러한 VPN의 종료를 통합하고 암호화된 트래픽에도 네트워크의 나머지 부분과 동일한 제어 정책을 적용합니다.

Un 침입 방지 시스템(IPS) 이 시스템은 실시간으로 트래픽을 검사하여 알려진 공격 패턴이나 비정상적인 동작을 탐지하고, 시스템 또는 애플리케이션의 취약점을 악용하려는 연결을 자동으로 차단할 수 있습니다.

El 애플리케이션 제어 이 기능은 단순히 포트 정보만 제공하는 것이 아니라 훨씬 더 광범위한 가시성을 제공합니다. 표준 포트 또는 암호화된 포트를 사용하는 특정 애플리케이션(예: Skype, Dropbox, 게임 애플리케이션 등)을 허용하거나 차단할 수 있습니다.

마지막으로 서비스 품질(QoS) 이 기능은 중요 트래픽(음성, 화상 회의, 비즈니스 애플리케이션)을 중요도가 낮은 다른 흐름보다 우선 처리하여 대규모 다운로드 또는 백업으로 인해 네트워크가 최종 사용자가 사용할 수 없는 상태로 악화되는 것을 방지합니다.

꼼꼼하게 관리하세요 서버에 대한 고급 방화벽 구성영역 설계 및 세부 규칙 설정부터 차세대 기능, 로깅, 감사, SimpleWall과 같은 도구 또는 전용 차세대 방화벽(NGFW) 사용에 이르기까지, 이러한 요소들은 "그럭저럭 버티는" 네트워크와 공격에 효과적으로 대응하고, 제어권을 잃지 않고 성장하며, 현재의 보안 요구 사항을 충족할 수 있도록 진정으로 준비된 인프라 간의 차이를 만들어냅니다.