연습: 보안 영역 만들기(2)
업데이트: 2007년 11월
이 연습은 연습: 보안 영역 만들기(1)를 바탕으로 합니다. 이 연습을 통해 다음과 같은 작업을 완료하는 방법을 배웁니다.
HardenedIIS 웹 서버에 호스팅된 응용 프로그램에 대한 정책 설정
기존의 구성된 IIS 서버 설정을 HardenedIIS로 가져오기
HardenedIIS에 대한 웹 서비스 배포 평가
웹 서버에 호스팅된 응용 프로그램에 대한 정책을 설정하려면
HardenedIIS 웹 서버를 클릭하여 설정 및 제약 조건 편집기를 표시합니다.
응용 프로그램 제약 조건에서 ASP.NET 보안의 확인란을 선택합니다.
확인란 옆의 ASP.NET 보안 머리글을 선택합니다.
설정 및 제약 조건 편집기의 오른쪽 창에 ASP.NET 보안 제약 조건 대화 상자가 나타납니다.
허용되는 보안 모드에서 폼을 선택합니다.
이 값만 선택해야 합니다.
가장 필요를 선택합니다.
.gif "참고")
참고:설정 및 제약 조건 편집기의 크기에 따라 이 옵션을 보기 위해 편집기의 오른쪽 창에서 스크롤 막대를 사용해야 할 수 있습니다.
설정 및 제약 조건 편집기의 왼쪽 창에서 ASP.NET 세션 상태의 확인란을 선택합니다.
확인란 옆의 ASP.NET 세션 상태 머리글을 선택합니다.
편집기 오른쪽 창의 세션 상태 모드에서 SQLServer만 선택되어 있는지 확인합니다.
이러한 두 제약 조건에서는 이 서버에 호스팅된 모든 웹 응용 프로그램이 가장을 통해 폼 인증을 사용하고 SQL 세션 상태를 사용하여 세션 정보를 저장해야 합니다. 이 두 제약 조건 대화 상자는 미리 정의된 제약 조건의 예입니다. 이전에 스크립트 맵 및 보안 바인딩에 대해 만든 제약 조건은 사용자 정의 제약 조건의 예입니다. 사용 가능한 제약 조건 형식 및 제약 조건 작성 방법에 대한 자세한 내용은 응용 프로그램 및 응용 프로그램 호스팅 관계 제한 및 일반적인 응용 프로그램, 시스템 및 논리 서버 구성 작업을 참조하십시오.
다음 단계에서는 기존 IIS 웹 서버에서 HardenedIIS로 설정을 가져옵니다. 이 단계는 옵션입니다. 사용할 수 있는 IIS 웹 서버가 없는 경우 다음 절차로 건너뜁니다.
기존 IIS 웹 서버에서 설정을 가져오려면
HardenedIIS를 마우스 오른쪽 단추로 클릭한 다음 설정 가져오기를 선택합니다.
IIS 설정 가져오기 마법사가 나타납니다. 방법: IIS 서버에서 설정 가져오기에 지정된 절차를 사용하여 선택한 웹 서버에서 설정을 가져옵니다. 설정을 가져올 수 없는 경우 그 이유를 설명하는 오류가 표시됩니다. 자세한 내용은 IIS 및 ASP.NET 설정 가져오기 문제 해결을 참조하십시오.
IIS 가져오기 마법사를 사용하여 전역 설정, 모든 웹 사이트 또는 응용 프로그램 풀(Windows Server 2003에서 가져오는 경우)을 가져올 수 있습니다. 응용 프로그램 풀은 Windows XP 또는 IIS 6.0 이전 버전에서는 지원되지 않습니다.
설정을 가져왔으면 Hardened IIS를 선택한 다음 논리 서버 설정 노드를 찾아 설정 및 제약 조건 편집기에서 해당 설정을 확인합니다. 설정을 쉽게 찾으려면 검색 기능을 사용합니다. 자세한 내용은 방법: 설정 검색을 참조하십시오.
다음 단계에서는 웹 서비스를 빌드하고 이 영역에 대한 웹 서비스 배포를 평가합니다.
웹 서비스를 빌드하려면
솔루션 탐색기에서 솔루션 노드를 마우스 오른쪽 단추로 클릭하고 추가를 클릭한 다음 새 분산 시스템 다이어그램을 클릭합니다.
새 항목 추가 - 솔루션 항목 대화 상자가 나타납니다.
템플릿에서 응용 프로그램 다이어그램을 클릭한 다음 추가를 클릭합니다.
응용 프로그램 디자이너에서 새 응용 프로그램 다이어그램이 열립니다.
도구 상자에서 ASP.NETWebService를 다이어그램으로 끈 다음 이름을 MyWebService로 지정합니다.
참고:응용 프로그램 다이어그램을 만들 때 웹 서비스 정보 창이 나타납니다. 이 창을 사용하여 웹 서비스 작업을 보거나 작성하는 방법에 대한 자세한 내용은 ASP.NET 웹 서비스에 대한 작업 정의를 참조하십시오.
MyWebService를 마우스 오른쪽 단추로 클릭한 다음 배포 정의를 선택합니다.
기존 논리 데이터 센터 다이어그램이 선택된 상태로 배포 정의 대화 상자가 나타납니다.
확인을 클릭합니다.
배포 디자이너에서 배포 다이어그램이 열립니다. 배포 다이어그램은 참조되는 논리 데이터 센터 다이어그램의 복제본이며 데이터 센터에 대한 응용 프로그램 배포를 평가하는 데 사용됩니다.
시스템 뷰 창에서 MyWebService를 HardenedIIS로 끕니다.
이 작업은 MyWebService를 데이터 센터의 HardenedIIS 웹 서버에 배포해야 함을 나타냅니다. 배포 다이어그램을 사용하여 데이터 센터의 논리 서버와 영역에 대한 형식 및 구성에 대해 알고 있는 내용과 이 위치에 호스팅하려는 응용 프로그램의 형식 및 구성을 기반으로 이 배포의 성공을 평가합니다.
배포 다이어그램을 마우스 오른쪽 단추로 클릭하고 다이어그램 유효성 검사를 선택합니다.
다음과 같은 유효성 검사 경고가 오류 목록 창에 표시됩니다.
"제약 조건 매개 변수 '허용되는 보안 모드'에서는 '모드' 설정을 '폼'으로 지정해야 합니다. 현재 'Windows'로 설정되어 있습니다."
"제약 조건 매개 변수 '가장 필요'에서는 '가장' 설정을 'True'로 지정해야 합니다. 현재 'False'로 설정되어 있습니다."
"제약 조건 매개 변수 '세션 상태 모드'에서는 '모드' 설정을 'SQLServer'로 지정해야 합니다. 현재 'InProc'로 설정되어 있습니다."
설정에는 '{IPAddress="", Port="443")' 값 집합 중 하나 이상이 있어야 합니다. 현재 값은 '<null>'입니다.
설정은 '{FileExtension=".asmx", ScriptProcessor="%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll"... 값 집합을 가질 수 없습니다.
이러한 경고가 발생하는 이유는 HardenedIIS 또는 PerimeterNetwork 영역에 호스팅된 응용 프로그램에 대해 지정된 설정 요구 사항이 호스팅된 응용 프로그램인 MyWebService의 실제 설정과 충돌하기 때문입니다. 설정 및 제약 조건 편집기를 사용하여 HardenedIIS에 대해 ASP.NET 보안 및 ASP.NET 세션 상태 제약 조건을 설정할 때 이러한 요구 사항을 설정합니다.
다음 단계에서는 이러한 경고를 수정합니다.
유효성 검사 경고를 수정하려면
오류 목록 창에서 첫 번째 경고를 마우스 오른쪽 단추로 클릭하고 이동을 가리킨 다음 MyWebService의 모드 설정(Application Diagram)을 선택합니다.
이 작업은 설정 및 제약 조건 편집기에서 MyWebService에 대한 모드 설정을 선택하는 것과 같습니다.
설정을 "Windows"에서 "폼"으로 변경합니다.
솔루션 탐색기에서 DefaultSystem1.dd 파일을 마우스 오른쪽 단추로 클릭한 다음 열기를 선택하여 배포 다이어그램을 표시합니다.
같은 방법으로 두 번째 경고와 세 번째 경고를 수정합니다.
네 번째 경고는 포트 443을 통한 트래픽이 필요한 데이터 센터에 통신 제약 조건이 있음을 나타냅니다. 논리 데이터 센터 다이어그램의 작성자는 이 제약 조건이 발생하는 이유를 알고 있을 것입니다. 논리 데이터 센터 다이어그램의 소비자는 다른 경고를 확인할 때와 동일한 과정을 통해 이 경고가 발생하는 이유를 확인할 수 있습니다.
마지막 오류의 원인은 .asmx 파일의 스크립트 맵 제약 조건입니다. 이 제약 조건은 영역 내의 웹 서버가 웹 서비스 호스팅을 허용하는지 여부에 관계없이 웹 서비스가 PerimeterNetwork 영역에서 호스팅되지 못하게 합니다.
배포 다이어그램의 유효성을 다시 검사합니다.
나머지 경고를 수정합니다.