Windows Secpol을 이용한 보안 방법

회사에서 CMS리포트를 작성하기 위해 만든 것입니다.
의외로 모르시는 분들도 많고해서, 간단하지만 잘 설정하면 좋은 서비스 입니다 ^^
- 불펌은 절대 금지입니다~!

 간단히 원도우에서 특정 port / IP 서비스를 막을 수 있는 방법을 소개해 드리겠습니다.
사용하시기 전 운용하고 있는 서버에서 정확히 어떤 서비스가 되고 있는지, 그에 따른 포트는 어떤 것을 사용하는지 필히 알아보시고, 진행하셔야 서비스에 차질이 없습니다.

 

주요 서비스의 포트는 아래 표와 같습니다.

Web	TCP 80	FTP	TCP 20, 21
HTTPS(SSL)	TCP 443	telnet	TCP 23
DNS	TCP / UDP 53	SMTP	TCP 25
원격데스크톱	TCP 3389	POP3	TCP 110
MS-SQL	TCP / UDP 1433

시작->실행 secpol.msc 를 실행 합니다.

오른쪽 버튼을 눌러 아래와 같은 선택 목록을 만듭니다.

IP보안 정책 만들기를 선택합니다.

마법사가 실행 됩니다. 다음을 선택합니다.

이름을 정합니다. 여기에서는 기본보안 정책으로 설정 하였습니다.

기본 응답 규칙 활성화에 체크가 되어있습니다. 다음을 선택합니다.

인증방법을 선택하는 화면입니다. Active Directory 기본값으로 미리 선택이 되어 있으며, 변경하지 않고 다음을 선택합니다.

Active Directory가 활성화 되지 않아 경고 메시지 창이 뜹니다. 인증방법을 선택하지 않아도 되므로 예를 선택합니다.

마법사가 모두 끝났습니다. 마침을 선택합니다.

추가를 선택합니다.

새 규칙 등록 정보 화면이 나옵니다.

80번 포트를 허용 해야 하니 추가를 선택합니다.

규칙이름은 다른 관리자가 보더라도 알기 쉽도록 하는 것이 좋습니다.

여기에서는 Web이라 정하겠습니다. 추가를 선택합니다.

주소 지정 탭에서 원본은 소스 즉 클라이언트를 의미 합니다.

대상 주소는 목적지를(서버) 의미 합니다.

80번 포트로 서버와 클라이언트가 데이터를 주고받으니 여기에서는 미러 옵션을 체크합니다.

* IPSEC 필터는 다른 방화벽과 다르게 in-out / out-in을 각각 다르게 적용합니다.

위와 같은 옵션을 선택하면 클라이언트->서버 접속은 가능하지만, 해당서버-> 다른 웹 서버

연결은 불가 합니다. 참고하시어 원본 / 대상주소를 적절히 선택 후 정책을 만드시길 바랍니다.

 

프로토콜 탭으로 넘어가 종류를 선택합니다 TCP80번 포트만 허용하기 위해서는 프로토콜에는 TCP 소스포트는 아무 포트에서 80번 포트로 가는 것을 선택합니다.

확인을 누르고 규칙 편집화면까지 돌아갑니다.

필터 목록을 작성 후에는 그 필터를 어떻게 동작 시킬지 설정을 해주어야 합니다.

필터 동작 탭에 가서 허용에 선택을 한 후 확인 선택합니다.

 

이제 80번 포트 외 다른 서비스를 거부하는 필터목록을 만들겠습니다. 순서는 위와 동일합니다.

이번에는 이름에 서비스 거부라 적겠습니다.

원본은 모든 외부IP주소 / 대상 주소는 자신(서버)IP로 설정합니다.

서버 쪽에서 나가는 데이터는 제한을 받으면 안되니 미러 옵션은 체크를 해지해 줍니다.

이번에는 모든 프로토콜을 막아야 하므로, 종류에 모두를 선택하고 확인을 선택합니다.

필터동작에서 거부를 선택합니다.

이제 마지막으로 할당하는 과정만 남았습니다.

기본적으로 정책은 할당되어 있지 않은 상태입니다. 동작을 위해서는 오른쪽마우스를 눌러 할당을 선택하시면 이제 이 해당 서버는 80번 포트에 대해서는 허용하게 됩니다.

 

위와 같이 모든 포트를 막고 필요한 서비스 포트만 오픈 하여 운용하는 방법도 있으며, 특정 IP / 대역만 막는 방법은 아래와 같습니다.

상황에 따라 적절하게 사용한다면 보안에 큰 도움이 될 것입니다.