연습: 보안 영역 만들기(1)
업데이트: 2007년 11월
이 연습은 연습: 논리 데이터 센터 다이어그램 만들기를 바탕으로 합니다.
이 연습에서는 사용자 정의 제약 조건 및 영역 끝점 제약 조건을 사용하여 해당 영역 내에서 호스팅되는 논리 서버에 대한 요구 사항을 만드는 방법을 배웁니다. 또한 도구 상자에 저장할 수 있는 영역의 다시 사용 가능한 프로토타입을 만드는 방법을 배웁니다. 첫 번째 단계에서는 영역에 허용되는 통신 유형을 제한합니다. 이 연습의 경우 연습: 논리 데이터 센터 다이어그램 만들기에서 만든 PerimeterNetwork 보안 영역으로 작업합니다.
포트 443에서의 https를 통한 인바운드 영역 트래픽만 허용하려면
Internet 인바운드 영역 끝점을 마우스 오른쪽 단추로 클릭한 다음 설정 및 제약 조건을 클릭하여 설정 및 제약 조건 편집기를 표시합니다.
영역 통신 제약 조건에서 DatabaseServerEndpoint 및 GenericServerEndpoint 확인란의 선택을 취소합니다.
그러면 데이터베이스 또는 제네릭 서버가 인바운드 영역 끝점에 연결되지 않습니다.
WebSiteEndpoint에서 사용자 정의 확인란을 선택합니다.
사용자 정의를 확장하고 사용자 정의에서 WebSite 확인란을 선택합니다.
그러면 인바운드 영역 끝점과 통신(연결)하는 웹 사이트에 대한 제약 조건을 작성할 수 있습니다.
편집기의 왼쪽 창에서 웹 사이트 머리글을 클릭합니다. 오른쪽 창에서 인증 트리를 확장하고 SecureBindings 확인란을 선택합니다.
연산자에서 하나 포함을 선택합니다.
값 필드를 클릭한 다음 줄임표(...)를 클릭합니다.
ComplexSetting 컬렉션 편집기가 나타납니다.
추가를 클릭합니다.
포트에 443을 입력합니다.
IPAddress 필드는 빈 상태로 둡니다.
확인을 클릭합니다.
이제 인바운드 영역 끝점을 통해 들어오는 모든 트래픽이 HTTPS 트래픽을 처리하는 포트 443을 통과하도록 제한되었습니다. 다음 단계에서는 영역에 포함될 수 있는 논리 서버의 형식을 제한합니다.
영역에 포함될 수 있는 형식을 제한하려면
영역 모양을 선택하고 설정 및 제약 조건 편집기를 표시합니다.
영역 제한 제약 조건에서 GenericServer, WindowsClient 및 영역 확인란의 선택을 취소합니다.
이렇게 하면 영역이 제한되므로 해당 영역에 제네릭 서버(모든 종류의 응용 프로그램을 호스팅할 수 있는 서버), Windows 서버(Windows 클라이언트를 호스팅할 수 있는 서버) 또는 다른 영역이 포함되지 않습니다. 도구 상자 또는 논리 데이터 센터 다이어그램의 다른 위치에서 해당 영역 내의 이러한 항목을 삭제하려고 해도 삭제할 수 없습니다.
다음 단계에서는 데이터베이스 서버를 영역에 추가합니다.
데이터베이스 서버를 영역에 추가하려면
도구 상자에서 DatabaseServer를 다이어그램으로 끌어 PerimeterNetwork 영역 내부에 놓습니다.
서버의 이름을 SessionStore로 지정합니다.
이 서버는 HardenedIIS 웹 서버에서 SQL 세션 상태 정보를 저장하는 데 사용됩니다.
SessionStore에서 공급자 끝점을 선택하고 Alt 키를 누른 채로 HardenedIIS에 연결합니다.
다음 단계에서는 웹 서버가 웹 서비스를 호스팅하지 못하게 하는 영역 제약 조건을 작성합니다.
웹 서버가 웹 서비스를 호스팅하지 못하게 제한하려면
영역을 클릭합니다.
영역 제한 제약 조건에서 IISWebServer를 확장하고 사용자 정의, InternetInformationServices 및 WebSites 확인란을 차례로 선택합니다.
왼쪽 창에서 WebSites 노드를 클릭하고 설정 및 제약 조건 편집기의 오른쪽 창에서 내용 노드를 확장합니다.
ScriptMaps를 선택합니다.
.gif "참고")
참고:편집기의 왼쪽 창에서 WebSites 대신 WebSite를 선택한 경우에는 내용 아래에 ScriptMaps 섹션이 표시되지 않습니다.
연산자의 목록 상자에서 포함하지 않음을 선택합니다.
값 필드를 클릭한 다음 줄임표(...)를 클릭합니다.
ComplexSetting 컬렉션 편집기가 나타납니다.
추가를 클릭합니다.
FileExtension에 .asmx를 입력합니다.
IncludedVerbs에 GET,HEAD,POST,DEBUG를 입력합니다.
참고:이 문자열을 표시된 대로 정확하게 입력해야 합니다. 공백을 추가하거나 동사의 순서를 변경하면 이 제약 조건이 적용되지 않습니다.
스크립트를 True로 설정합니다.
ScriptProcessor에 aspnet_isapi.dll의 경로를 입력합니다. (%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll)
확인을 클릭합니다.
이 제약 조건은 웹 서비스가 주변 네트워크 내의 웹 서버에 호스팅되지 않게 합니다. 웹 서버가 특정 스크립트 맵이 실행될 수 있는 웹 사이트를 호스팅하지 못하도록 제한하여 이러한 제한이 적용됩니다. 이 제약 조건은 영역 자체에 대해 작성되어 있으므로 해당 영역 내부에 있는 모든 웹 서버뿐만 아니라 웹 서버에 호스팅된 응용 프로그램도 이 제약 조건에 대해 평가됩니다.
마지막 단계에서는 도구 상자에서 액세스할 수 있고 조직의 다른 사용자와 공유할 수 있는 이 영역의 다시 사용 가능한 버전을 만듭니다.
PerimeterNetwork 영역의 다시 사용 가능한 프로토타입을 만들려면
영역을 클릭합니다.
다이어그램 메뉴에서 도구 상자에 추가를 선택합니다.
도구 상자에 추가 대화 상자가 나타납니다.
이름에 PerimeterNetwork를 입력하고 확인을 클릭합니다.
파일 저장 대화 상자가 나타납니다. 파일이 .lddprototype 파일로 저장됩니다. 즉, 이 파일은 논리 데이터 센터 디자이너에서 사용할 수 있는 프로토타입입니다.
저장을 클릭합니다.
도구 상자를 열고 PerimeterNetwork를 다이어그램으로 끕니다.
이 프로토타입을 만듦으로써 직접 만들거나 편집하는 논리 데이터 센터 다이어그램에서 다시 사용 가능한 PerimeterNetwork 영역의 사용자 지정 버전을 만들었습니다. 이 프로토타입은 새 분산 시스템 솔루션을 만들 때마다 표시됩니다. 이 프로토타입은 프로토타입을 만들 때 열린 솔루션이 아니라 디자이너의 함수입니다.
분산 시스템 디자이너의 다른 사용자는 .lddprototype 파일을 기본 프로토타입 폴더에 복사하여 이 프로토타입을 공유할 수 있습니다. 기본 프로토타입 폴더의 위치는 일반적으로 %ProgramFiles%\Microsoft Visual Studio <versionNumber>\Common7\Tools\DesignerPrototypes\Prototypes입니다. 논리 데이터 센터 디자이너에서 다시 사용 가능한 프로토타입을 만드는 방법에 대한 자세한 내용은 방법: 구성된 영역 및 논리 서버에서 사용자 지정 프로토타입 만들기를 참조하십시오. 이러한 프로토타입을 다른 사용자에게 재배포하는 방법에 대한 자세한 내용은 방법: 새 사용자 지정 프로토타입 가져오기 또는 설치를 참조하십시오.
다음 단계
이 연습의 두 번째 부분에서는 다음과 같은 작업 방법을 배웁니다.
HardenedIIS에 호스팅된 응용 프로그램에 대한 정책 설정
기존의 구성된 IIS 서버 설정을 HardenedIIS로 가져오기
HardenedIIS에 대한 웹 서비스 배포 평가