고급 보안 디자인 가이드를 사용하여 방화벽 Windows Defender

고급 보안이 포함된 Windows Defender 방화벽은 두 가지 방법으로 디바이스를 보호하는 데 도움이 되는 호스트 방화벽입니다. 먼저 네트워크에서 디바이스를 입력하는 데 허용되는 네트워크 트래픽을 필터링하고 디바이스가 네트워크로 보낼 수 있는 네트워크 트래픽을 제어할 수 있습니다. 둘째, Windows Defender 방화벽은 IPsec을 지원하므로 디바이스와 통신하려는 모든 디바이스에서 인증을 요구할 수 있습니다. 인증이 필요한 경우 인증할 수 없는 디바이스는 디바이스와 통신할 수 없습니다. IPsec을 사용하면 디바이스 간에 전송하는 동안 특정 네트워크 트래픽이 읽거나 가로채지 않도록 특정 네트워크 트래픽을 암호화하도록 요구할 수도 있습니다.

Windows Defender 방화벽에 대한 인터페이스는 Windows Defender 방화벽 제어판 있는 소비자 친화적인 인터페이스보다 훨씬 더 유능하고 유연합니다. 둘 다 동일한 기본 서비스와 상호 작용하지만 해당 서비스에 대해 서로 다른 수준의 제어를 제공합니다. Windows Defender 방화벽 제어판 홈 환경에서 단일 디바이스를 보호해야 하는 요구 사항을 충족하지만, 일반적인 비즈니스 엔터프라이즈 환경에서 더 복잡한 네트워크 트래픽을 보호하는 데 도움이 되는 충분한 중앙 집중식 관리 또는 보안 기능을 제공하지는 않습니다.

자세한 개요 정보는 Windows Defender Advanced Security를 사용하여 방화벽을 참조하세요.

가이드 소개

이 가이드에서는 엔터프라이즈 환경에서 Windows Defender 방화벽을 배포하기 위한 디자인을 선택하거나 만드는 데 도움이 되는 권장 사항을 제공합니다. 이 가이드에서는 Windows Defender 방화벽을 사용하기 위한 몇 가지 일반적인 목표를 설명한 다음 시나리오에 적용되는 목표를 이 가이드에 제시된 디자인에 매핑하는 데 도움이 됩니다.

이 가이드는 조직의 보안 목표를 충족하는 데 도움이 되도록 조직의 네트워크에 방화벽 및 IPsec 기술을 배포하는 작업을 할당받은 IT 전문가를 위한 것입니다.

Windows Defender 방화벽은 경계 방화벽, 침입 감지 시스템, VPN(가상 사설망), 무선 및 유선 연결을 위한 IEEE 802.1X 인증 및 IPsec 연결 보안 규칙과 같은 다양한 보안 기술을 구현하는 포괄적인 보안 솔루션의 일부여야 합니다.

이 가이드를 성공적으로 사용하려면 Windows Defender 방화벽에서 제공하는 기능과 Active Directory에서 그룹 정책 사용하여 관리되는 디바이스에 구성 설정을 제공하는 방법을 모두 잘 이해해야 합니다.

구현 목표를 사용하여 고급 보안 디자인으로 이러한 Windows Defender 방화벽 중 하나를 구성하거나 여기에 제시된 목표의 요소를 결합하는 사용자 지정 디자인을 구성할 수 있습니다.

  • 기본 방화벽 정책 디자인. 디바이스 내/외부의 네트워크 트래픽을 필요하고 권한이 부여된 트래픽으로만 제한합니다.

  • 도메인 격리 정책 디자인. 도메인 멤버인 디바이스가 도메인 멤버가 아닌 디바이스에서 원치 않는 네트워크 트래픽을 수신하지 못하도록 방지합니다. 다음과 같은 일부 디바이스의 특별한 요구 사항을 지원하기 위해 더 많은 "영역"을 설정할 수 있습니다.

    • 격리되지 않은 디바이스에서 요청을 받을 수 있어야 하는 디바이스에 대한 "경계 영역"입니다.

    • 네트워크 전송 중에 보호해야 하는 중요한 데이터를 저장하는 디바이스에 대한 "암호화 영역"입니다.

  • 서버 격리 정책 디자인. 서버에 대한 액세스를 권한 있는 사용자 및 디바이스의 제한된 그룹으로만 제한합니다. 이 서버는 일반적으로 도메인 격리 디자인에서 영역으로 구성할 수 있지만 독립 실행형 디자인으로 구성할 수도 있으므로 소규모 디바이스 집합에 대한 도메인 격리의 많은 이점을 제공합니다.

  • 인증서 기반 격리 정책 디자인. 이 디자인은 이전 두 디자인 중 하나를 보완하며 해당 기능을 지원합니다. Active Directory에서 기본적으로 사용되는 Kerberos V5 인증 대신 인증을 위해 클라이언트 및 서버에 배포되는 암호화 인증서를 사용합니다. 이 디자인을 사용하면 Windows 이외의 운영 체제를 실행하는 디바이스와 같이 Active Directory 도메인에 속하지 않는 디바이스가 격리 솔루션에 참여할 수 있습니다.

각 디자인에 대한 설명 및 예제 외에도 환경에 대한 필수 데이터를 수집하기 위한 지침을 찾을 수 있습니다. 그런 다음, 이러한 지침을 사용하여 고급 보안 배포를 사용하여 Windows Defender 방화벽을 계획하고 디자인할 수 있습니다. 이 가이드를 읽고 조직의 요구 사항 수집, 문서화 및 매핑을 완료한 후에는 고급 보안 배포가 포함된 Windows Defender 방화벽 가이드의 지침을 사용하여 Windows Defender 방화벽 배포를 시작하는 데 필요한 정보가 있습니다.

다음 위치에서 고급 보안 배포 가이드를 사용하여 Windows Defender 방화벽을 찾을 수 있습니다.

이 섹션의 내용

항목 설명
고급 보안 디자인 프로세스를 사용하여 Windows Defender 방화벽 이해 고급 보안 디자인 프로세스를 사용하여 Windows Defender 방화벽을 시작하는 방법을 알아봅니다.
고급 보안 배포 목표를 사용하여 Windows Defender 방화벽 식별 고급 보안 구현 목표를 사용하여 Windows Defender 방화벽을 식별하는 방법을 알아봅니다.
고급 보안 디자인을 사용하여 배포 목표를 Windows Defender 방화벽에 매핑 고급 보안 구현 목표를 사용하여 기존 Windows Defender 방화벽 검토를 완료하고 특정 배포에 중요한 목표를 결정한 후 고급 보안 설계를 사용하여 특정 Windows Defender 방화벽에 해당 목표를 매핑할 수 있습니다.
고급 보안 전략을 사용하여 Windows Defender 방화벽 디자인 네트워크를 보호하기 위한 가장 효과적인 디자인을 선택하려면 현재 컴퓨터 환경에 대한 주요 정보를 수집하는 데 시간을 할애해야 합니다.
고급 보안 디자인을 사용하여 Windows Defender 방화벽 계획 이전 섹션에서 관련 정보를 수집하고 이 가이드의 앞부분에서 설명한 대로 디자인의 기본 사항을 이해한 후에는 요구 사항에 맞는 디자인(또는 디자인 조합)을 선택할 수 있습니다.
부록 A: 이 가이드에서 사용되는 설정에 대한 샘플 GPO 템플릿 파일 GPMC(그룹 정책 관리 콘솔)의 기본 설정 기능을 사용하여 사용자 지정된 레지스트리 기본 설정을 포함하는 XML 파일을 그룹 정책 개체(GPO)로 가져올 수 있습니다.

이 가이드에서 사용되는 용어

다음 표에서는 이 가이드 전체에서 사용되는 용어를 식별하고 정의합니다.

용어 정의
Active Directory 도메인 Active Directory Domain Services(AD DS)를 사용하여 관리자가 관리하는 디바이스 및 사용자 그룹입니다. 도메인의 디바이스는 공통 디렉터리 데이터베이스 및 보안 정책을 공유합니다. 포리스트를 보안 경계로 설정하는 트러스트 관계를 통해 여러 도메인이 "포리스트"에 공존할 수 있습니다.
Authentication 메시지의 발신자가 수신자에게 해당 ID를 증명할 수 있도록 하는 프로세스입니다. Windows의 연결 보안을 위해 IPsec 프로토콜 제품군에서 인증을 구현합니다.
경계 영역 격리된 도메인의 멤버가 아닌 디바이스에서 원치 않는 인증되지 않은 네트워크 트래픽을 수신할 수 있어야 하는 격리된 도메인에 있는 디바이스의 하위 집합입니다. 경계 영역의 디바이스는 요청하지만 인증이 필요하지 않습니다. IPsec을 사용하여 격리된 도메인의 다른 디바이스와 통신합니다.
연결 보안 규칙 조건 집합과 조건과 일치하는 네트워크 패킷에 적용할 작업을 포함하는 Windows Defender 방화벽의 규칙입니다. 이 작업은 패킷을 허용하거나, 패킷을 차단하거나, IPsec으로 패킷을 보호하도록 요구할 수 있습니다. 이전 버전의 Windows에서는 이 규칙을 IPsec 규칙이라고 했습니다.
인증서 기반 격리 대체 인증 기술을 사용하여 Kerberos V5 인증을 사용할 수 없는 디바이스를 격리된 도메인에 추가하는 방법입니다. 격리된 도메인의 모든 디바이스와 Kerberos V5를 사용할 수 없는 디바이스에는 서로 인증하는 데 사용할 수 있는 디바이스 인증서가 제공됩니다. 인증서 기반 격리에는 적절한 인증서를 만들고 배포하는 방법이 필요합니다(상용 인증서 공급자로부터 인증서를 구입하지 않기로 선택한 경우).
도메인 격리 정보를 교환하기 전에 디바이스가 서로의 ID를 인증하도록 요구하고 인증할 수 없는 디바이스의 연결 요청을 거부하여 조직의 디바이스를 보호하는 기술입니다. 도메인 격리는 Active Directory 도메인 멤버 자격 및 도메인의 모든 멤버가 사용할 수 있는 Kerberos V5 인증 프로토콜을 활용합니다. 또한 이 표에서 "격리된 도메인"을 참조하세요.
암호화 영역 중요한 데이터를 처리하는 격리된 도메인에 있는 디바이스의 하위 집합입니다. 암호화 영역의 일부인 디바이스에는 권한이 없는 사용자가 볼 수 없도록 모든 네트워크 트래픽이 암호화됩니다. 암호화 영역의 일부인 디바이스에는 일반적으로 서버 격리의 액세스 제어 제한이 적용됩니다.
방화벽 규칙 네트워크 패킷이 방화벽을 통과할 수 있는지 여부를 결정하는 데 사용되는 조건 집합을 포함하는 Windows Defender 방화벽의 규칙입니다.
기본적으로 방화벽은 Windows Server 2016. Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 11, Windows 10, Windows 8, Windows 7 및 Windows Vista는 원치 않는 인바운드 네트워크 트래픽을 차단합니다. 마찬가지로 기본적으로 모든 아웃바운드 네트워크 트래픽이 허용됩니다. 이전 버전의 Windows에 포함된 방화벽은 인바운드 네트워크 트래픽만 필터링했습니다.
IPsec(인터넷 프로토콜 보안) 업계 표준 암호화 기반 보호 서비스 및 프로토콜 세트입니다. IPsec은 ARP(주소 확인 프로토콜)를 제외한 TCP/IP 프로토콜 제품군의 모든 프로토콜을 보호합니다.
IPsec 정책 디바이스를 들어오고 나가는 네트워크 트래픽에 필요한 보호를 제공하는 연결 보안 규칙의 컬렉션입니다. 보호에는 송신 디바이스와 수신 디바이스의 인증, 두 디바이스 간에 교환되는 네트워크 트래픽의 무결성 보호가 포함되며 암호화가 포함될 수 있습니다.
격리된 도메인 IPsec 연결 보안 규칙을 사용하여 멤버 디바이스를 보호하는 데 도움이 되는 그룹 정책 설정이 적용된 Active Directory 도메인(또는 Active Directory 포리스트 또는 양방향 트러스트 관계가 있는 도메인 집합)입니다. 격리된 도메인의 멤버는 모든 원치 않는 인바운드 연결(다른 영역에서 처리되는 예외 제외)에 대한 인증이 필요합니다.
이 가이드에서 격리된 도메인 이라는 용어는 인증을 공유할 수 있는 디바이스 그룹의 IPsec 개념을 나타냅니다. Active Directory 도메인이라는 용어는 Active Directory를 사용하여 보안 데이터베이스를 공유하는 디바이스 그룹을 나타냅니다.
서버 격리 그룹 멤버 자격을 사용하여 일반적으로 이미 격리된 도메인의 멤버인 서버에 대한 액세스를 제한하는 기술입니다. 추가 보호는 요청 디바이스의 인증 자격 증명을 사용하여 그룹 멤버 자격을 확인한 다음 컴퓨터 계정(및 선택적으로 사용자 계정)이 권한 있는 그룹의 구성원인 경우에만 액세스를 허용하는 것입니다.
요청된 네트워크 트래픽 요청에 대한 응답으로 전송되는 네트워크 트래픽입니다. 기본적으로 Windows Defender 방화벽은 모든 요청된 네트워크 트래픽을 통해 허용합니다.
원치 않는 네트워크 트래픽 이전 요청에 대한 응답이 아니며 수신 디바이스가 반드시 예상할 수 없는 네트워크 트래픽입니다. 기본적으로 Windows Defender 방화벽은 원치 않는 모든 네트워크 트래픽을 차단합니다.
영역 영역은 통신 요구 사항으로 인해 공통 IPsec 정책을 공유하는 디바이스의 논리적 그룹화입니다. 예를 들어 경계 영역은 신뢰할 수 없는 디바이스의 인바운드 연결을 허용합니다. 암호화 영역에는 모든 연결을 암호화해야 합니다.
이 용어 영역은 DNS(도메인 이름 시스템)에서 사용하는 영역과 관련이 없습니다.

다음:고급 보안 디자인 프로세스를 사용하여 Windows Defender 방화벽 이해