윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

까먹을까봐...

[그림 출처 : http://www.mariasarang.net/bbs/bbs_view.asp?index=program_win2k&no=85]

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

가령 인바운드 내에 동일 구성으로 차단과 허용을 운영중이라면

차단이 최우선 적용된다는 말

테스트 해보니 중복된 특정 ip대역에 중복 허용 있을 경우에는 부분보다 전체가 우선인듯

가령 물리 ip가 2개가 있을 경우

하나는 1번 ip에 대해서 특정 ip만 허용하고

하나는 모든 ip에 대해서 모든 ip허용이란 정책 적용 시

2014서버에서 테스트 해보니 전자가 안먹고 모두 허용 됨

다만 sqlserver 인스턴스 미등록시 동작 임

인스턴스 등록시에는 특정 ip만 허용을 해도 위의 예쩨에서의

후자와 같이 동작 됨

더불어

CIDR표기법은

xxx,xxx,xxx,xxx/yy

형태의 IP주소방식을 의미 함

까먹을까봐 끄적임..

까마귀 고기를 먹었나 한살더먹으니 머리가 안돌아간다

위의 경우를 활용해야 되는 경우는

망항 중국의 계정 Brute-Force공격...

sql서버단에서 스크립트로 자동 블럭킹 등록도 있던데

그냥 뭐 고정 ip대역에 서비스하는 망이면 방화벽에서 그냥 막는게 ..

p.s : sa계정 비활성화 하고 방화벽까지 막아놓으니 이제야 뭔가 서버가 로그가 깨끗하네 

주요 콘텐츠로 건너뛰기

이 브라우저는 더 이상 지원되지 않습니다.

최신 기능, 보안 업데이트, 기술 지원을 이용하려면 Microsoft Edge로 업그레이드하세요.

Windows Defender 방화벽 구성 모범 사례

  • 아티클
  • 10/28/2022
  • 읽는 데 22분 걸림
  • 적용 대상:✅ Windows 10, ✅ Windows 11, ✅ Windows Server 2016, ✅ Windows Server 2019, ✅ Windows Server 2022

이 문서의 내용

적용 대상

  • Windows 10
  • Windows 11
  • Windows Server 2016 이상

고급 보안이 포함된 Windows Defender 방화벽은 호스트 기반 양방향 네트워크 트래픽 필터링을 제공하고 로컬 디바이스로 들어오거나 나가는 권한 없는 네트워크 트래픽을 차단합니다. 다음 모범 사례를 기반으로 Windows 방화벽을 구성하면 네트워크의 디바이스에 대한 보호를 최적화하는 데 도움이 될 수 있습니다. 이러한 권장 사항은 홈 네트워크 및 엔터프라이즈 데스크톱/서버 시스템을 포함한 광범위한 배포를 포함합니다.

Windows 방화벽을 열려면 시작 메뉴로 이동하여 실행을 선택하고 WF.msc를 입력한 다음 확인을 선택합니다. Windows 방화벽 열기도 참조하세요.

기본 설정 유지

Windows Defender 방화벽을 처음으로 열면 로컬 컴퓨터에 적용되는 기본 설정을 볼 수 있습니다. 개요 패널에는 디바이스가 연결할 수 있는 각 네트워크 유형에 대한 보안 설정이 표시됩니다.

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 1: Windows Defender 방화벽

  1. 도메인 프로필: Azure Active Directory DC와 같은 DC(도메인 컨트롤러)에 대한 계정 인증 시스템이 있는 네트워크에 사용됩니다.

  2. 프라이빗 프로필: 홈 네트워크와 같은 프라이빗 네트워크에서 설계되고 가장 잘 사용됩니다.

  3. 공개 프로필: Wi-Fi 핫스팟, 커피숍, 공항, 호텔 또는 상점과 같은 공공 네트워크를 위해 더 높은 보안을 염두에 두고 설계되었습니다.

왼쪽 창에서 고급 보안 노드가 있는 최상위 Windows Defender 방화벽을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택하여 각 프로필에 대한 자세한 설정을 봅니다.

가능하면 Windows Defender 방화벽에서 기본 설정을 유지 관리합니다. 이러한 설정은 대부분의 네트워크 시나리오에서 사용할 디바이스를 보호하도록 설계되었습니다. 한 가지 주요 예는 인바운드 연결에 대한 기본 블록 동작입니다.

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 2: 기본 인바운드/아웃바운드 설정

중요

최대 보안을 유지하려면 인바운드 연결에 대한 기본 차단 설정을 변경하지 마세요.

기본 방화벽 설정 구성에 대한 자세한 내용은 Windows 방화벽 켜기 및 기본 동작 및 검사 목록 구성: 기본 방화벽 설정 구성을 참조하세요.

인바운드 규칙의 규칙 우선 순위 이해

대부분의 경우 관리자를 위한 다음 단계는 사용자 앱 또는 다른 유형의 소프트웨어로 작업할 수 있도록 규칙(필터라고도 함)을 사용하여 이러한 프로필을 사용자 지정하는 것입니다. 예를 들어 관리자 또는 사용자는 프로그램을 수용하거나, 포트 또는 프로토콜을 열거나, 미리 정의된 유형의 트래픽을 허용하는 규칙을 추가하도록 선택할 수 있습니다.

이 규칙 추가 작업은 인바운드 규칙 또는 아웃바운드 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙을 선택하여 수행할 수 있습니다. 새 규칙을 추가하기 위한 인터페이스는 다음과 같습니다.

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 3: 규칙 만들기 마법사

대부분의 경우 애플리케이션이 네트워크에서 작동하려면 특정 유형의 인바운드 트래픽을 허용해야 합니다. 관리자는 이러한 인바운드 예외를 허용할 때 다음 규칙 우선 순위 동작을 염두에 두어야 합니다.

  1. 명시적으로 정의된 허용 규칙이 기본 블록 설정보다 우선합니다.

  2. 명시적 블록 규칙은 충돌하는 허용 규칙보다 우선합니다.

  3. 2에 언급된 명시적 블록 규칙이 있는 경우를 제외하고 보다 구체적인 규칙이 덜 구체적인 규칙보다 우선합니다. 예를 들어 규칙 1의 매개 변수에 IP 주소 범위가 포함되어 있는 반면 규칙 2의 매개 변수에 단일 IP 호스트 주소가 포함된 경우 규칙 2가 우선합니다.

1과 2 때문에 정책 집합을 디자인할 때 실수로 겹칠 수 있는 다른 명시적 블록 규칙이 없는지 확인하여 허용하려는 트래픽 흐름을 방지하는 것이 중요합니다.

인바운드 규칙을 만들 때 일반적인 보안 모범 사례는 가능한 한 구체적이어야 합니다. 그러나 포트 또는 IP 주소를 사용하는 새 규칙을 만들어야 하는 경우 가능한 경우 개별 주소 또는 포트 대신 연속 범위 또는 서브넷을 사용하는 것이 좋습니다. 이 방법은 내부적으로 여러 필터를 만들지 않도록 방지하고 복잡성을 줄이며 성능 저하를 방지하는 데 도움이 됩니다.

참고

Windows Defender 방화벽은 기존의 가중치, 관리자 할당 규칙 순서 지정을 지원하지 않습니다. 위에서 설명한 몇 가지 일관되고 논리적인 규칙 동작을 염두에 두고 예상 동작이 있는 효과적인 정책 집합을 만들 수 있습니다.

처음 시작하기 전에 새 애플리케이션에 대한 규칙 만들기

인바운드 허용 규칙

처음 설치되면 네트워크로 연결된 애플리케이션 및 서비스는 제대로 작동하는 데 필요한 프로토콜/포트 정보를 지정하는 수신 대기 호출을 실행합니다. Windows Defender 방화벽에 기본 블록 작업이 있으므로 이 트래픽을 허용하려면 인바운드 예외 규칙을 만들어야 합니다. 앱 또는 앱 설치 관리자 자체에서 이 방화벽 규칙을 추가하는 것이 일반적입니다. 그렇지 않으면 사용자(또는 사용자를 대신하여 방화벽 관리자)가 수동으로 규칙을 만들어야 합니다.

활성 애플리케이션 또는 관리자 정의 허용 규칙이 없는 경우 대화 상자는 앱이 처음 시작되거나 네트워크에서 통신을 시도할 때 애플리케이션의 패킷을 허용하거나 차단하라는 메시지를 사용자에게 표시합니다.

  • 사용자에게 관리자 권한이 있는 경우 메시지가 표시됩니다. 아니요로 응답하거나 프롬프트를 취소하면 차단 규칙이 만들어집니다. 일반적으로 TCP 및 UDP 트래픽에 대해 각각 하나씩 두 개의 규칙이 만들어집니다.

  • 사용자가 로컬 관리자가 아닌 경우 메시지가 표시되지 않습니다. 대부분의 경우 블록 규칙이 만들어집니다.

위의 시나리오 중 하나에서 이러한 규칙이 추가되면 프롬프트를 다시 생성하기 위해 삭제해야 합니다. 그렇지 않은 경우 트래픽은 계속 차단됩니다.

참고

방화벽의 기본 설정은 보안을 위해 설계되었습니다. 기본적으로 모든 인바운드 연결을 허용하면 네트워크가 다양한 위협을 받습니다. 따라서 타사 소프트웨어에서 인바운드 연결에 대한 예외를 만드는 것은 신뢰할 수 있는 앱 개발자, 사용자 또는 사용자를 대신하여 관리자가 결정해야 합니다.

자동 규칙 만들기와 관련된 알려진 문제

네트워크에 대한 방화벽 정책 집합을 디자인할 때 호스트에 배포된 모든 네트워크 애플리케이션에 대해 허용 규칙을 구성하는 것이 가장 좋습니다. 사용자가 애플리케이션을 처음 시작하기 전에 이러한 규칙을 적용하면 원활한 환경을 보장하는 데 도움이 됩니다.

이러한 단계적 규칙이 없다고 해서 결국 애플리케이션이 네트워크에서 통신할 수 없다는 의미는 아닙니다. 그러나 런타임 시 애플리케이션 규칙의 자동 생성과 관련된 동작에는 사용자 상호 작용 및 관리 권한이 필요합니다. 비관리 사용자가 디바이스를 사용해야 하는 경우 예기치 않은 네트워킹 문제를 방지하려면 애플리케이션이 처음 시작되기 전에 모범 사례를 따르고 이러한 규칙을 제공해야 합니다.

일부 애플리케이션이 네트워크에서 통신이 차단되는 이유를 확인하려면 다음 인스턴스를 확인합니다.

  1. 충분한 권한이 있는 사용자는 애플리케이션이 방화벽 정책을 변경해야 한다는 쿼리 알림을 받습니다. 프롬프트를 완전히 이해하지 못한 사용자는 프롬프트를 취소하거나 해제합니다.

  2. 사용자에게 충분한 권한이 없으므로 애플리케이션이 적절한 정책을 변경할 수 있도록 허용하라는 메시지가 표시되지 않습니다.

  3. 로컬 정책 병합이 비활성화되어 애플리케이션 또는 네트워크 서비스가 로컬 규칙을 만들지 못하게 됩니다.

런타임 시 애플리케이션 규칙 만들기는 설정 앱 또는 그룹 정책 사용하는 관리자가 금지할 수도 있습니다.

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 4: 액세스를 허용하는 대화 상자

검사 목록: 인바운드 방화벽 규칙 만들기도 참조하세요.

로컬 정책 병합 및 애플리케이션 규칙 설정

방화벽 규칙을 배포할 수 있습니다.

  1. 방화벽 스냅인(WF.msc)을 사용하여 로컬로
  2. PowerShell을 사용하여 로컬로
  3. 디바이스가 Active Directory 이름, System Center Configuration Manager 또는 Intune 구성원인 경우 원격으로 그룹 정책 사용(작업 공간 조인 사용)

규칙 병합 설정은 다양한 정책 원본의 규칙을 결합하는 방법을 제어합니다. 관리자는 도메인, 프라이빗 및 퍼블릭 프로필에 대해 서로 다른 병합 동작을 구성할 수 있습니다.

규칙 병합 설정은 로컬 관리자가 그룹 정책 가져온 규칙 외에도 자체 방화벽 규칙을 만들 수 있도록 허용하거나 방지합니다.

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 5: 규칙 병합 설정

방화벽 구성 서비스 공급자에서 해당 설정은 AllowLocalPolicyMerge입니다. 이 설정은 각 프로필 노드, DomainProfile, PrivateProfile 및 PublicProfile에서 ** 찾을 수 있습니다.

로컬 정책 병합을 사용하지 않도록 설정하면 인바운드 연결이 필요한 앱에 대해 중앙 집중식 규칙 배포가 필요합니다.

관리자는 엔드포인트에 대한 엄격한 제어를 유지하기 위해 높은 보안 환경에서 LocalPolicyMerge 를 사용하지 않도록 설정할 수 있습니다. 이 설정은 위에서 설명한 대로 설치 시 로컬 방화벽 정책을 자동으로 생성하는 일부 애플리케이션 및 서비스에 영향을 줄 수 있습니다. 이러한 유형의 앱 및 서비스가 작동하려면 관리자는 GP(그룹 정책), MDM(모바일 장치 관리) 또는 둘 다(하이브리드 또는 공동 관리 환경의 경우)를 통해 중앙에서 규칙을 푸시해야 합니다.

방화벽 CSP 및 정책 CSP 에는 규칙 병합에 영향을 줄 수 있는 설정도 있습니다.

가장 좋은 방법은 통신에 사용되는 네트워크 포트를 포함하여 이러한 앱을 나열하고 기록하는 것이 중요합니다. 일반적으로 앱 웹 사이트에서 지정된 서비스에 대해 열려야 하는 포트를 찾을 수 있습니다. 더 복잡하거나 고객 애플리케이션 배포의 경우 네트워크 패킷 캡처 도구를 사용하여 보다 철저한 분석이 필요할 수 있습니다.

일반적으로 최대 보안을 유지하기 위해 관리자는 합법적인 목적으로 결정된 앱 및 서비스에 대해서만 방화벽 예외를 푸시해야 합니다.

참고

C:*\teams.exe 같은 와일드카드 패턴의 사용은 애플리케이션 규칙에서 지원되지 않습니다. 현재 애플리케이션의 전체 경로를 사용하여 만든 규칙만 지원합니다.

활성 공격에 "보호" 모드를 사용하는 방법 알아보기

활성 공격 중에 손상을 완화하는 데 사용할 수 있는 중요한 방화벽 기능은 "보호" 모드입니다. 이는 방화벽 관리자가 활성 공격에 직면하여 일시적으로 보안을 강화하는 데 사용할 수 있는 쉬운 방법을 언급하는 비공식적인 용어입니다.

Windows 설정 앱 또는 * 레거시 파일firewall.cpl*있는 허용된 앱 설정 목록에 있는 연결을 포함하여 들어오는 모든 연결 차단을 확인하여 보호 기능을 수행할 수 있습니다.

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 6: Windows 설정 앱/Windows 보안/방화벽 보호/네트워크 유형

윈도우 방화벽 정책 순서 - windou banghwabyeog jeongchaeg sunseo

그림 7: 레거시 firewall.cpl

기본적으로 Windows Defender 방화벽은 예외 규칙이 만들어지지 않는 한 모든 항목을 차단합니다. 이 설정은 예외를 재정의합니다.

예를 들어 원격 데스크톱 기능은 사용하도록 설정하면 방화벽 규칙을 자동으로 만듭니다. 그러나 호스트에서 여러 포트 및 서비스를 사용하는 활성 악용이 있는 경우 개별 규칙을 사용하지 않도록 설정하는 대신 방패 업 모드를 사용하여 모든 인바운드 연결을 차단하고 원격 데스크톱에 대한 규칙을 포함하여 이전 예외를 재정의할 수 있습니다. 원격 데스크톱 규칙은 그대로 유지되지만 방패가 활성화되는 한 원격 액세스는 작동하지 않습니다.

비상 사태가 끝나면 설정을 선택 취소하여 일반 네트워크 트래픽을 복원합니다.

아웃바운드 규칙 만들기

다음은 아웃바운드 규칙을 구성하기 위한 몇 가지 일반적인 지침입니다.

  • 아웃바운드 규칙의 기본 구성은 매우 안전한 특정 환경에서 고려할 수 있습니다. 그러나 인바운드 규칙 구성은 기본적으로 트래픽을 허용하는 방식으로 변경되어서는 안 됩니다.

  • 엔터프라이즈에서 사용 편의성보다 엄격한 보안 제어를 선호하지 않는 한 앱 배포를 간소화하기 위해 대부분의 배포에 대해 기본적으로 아웃바운드를 허용하는 것이 좋습니다.

  • 높은 보안 환경에서는 관리자 또는 관리자가 모든 엔터프라이즈 스패닝 앱의 인벤토리를 가져와서 기록해야 합니다. 레코드에는 사용된 앱에 네트워크 연결이 필요한지 여부가 포함되어야 합니다. 관리자는 네트워크 연결이 필요한 각 앱과 관련된 새 규칙을 만들고 GP(그룹 정책), MDM(모바일 장치 관리) 또는 둘 다(하이브리드 또는 공동 관리 환경의 경우)를 통해 중앙에서 해당 규칙을 푸시해야 합니다.

아웃바운드 규칙 만들기와 관련된 작업은 검사 목록: 아웃바운드 방화벽 규칙 만들기를 참조하세요.

변경 내용 문서화

인바운드 또는 아웃바운드 규칙을 만들 때 앱 자체에 대한 세부 정보, 사용된 포트 범위 및 생성 날짜와 같은 중요한 메모를 지정해야 합니다. 사용자와 다른 관리자가 쉽게 검토할 수 있는 규칙을 잘 문서화해야 합니다. 나중에 방화벽 규칙을 더 쉽게 검토할 수 있도록 시간을 내는 것이 좋습니다. 그리고 방화벽에 불필요한 구멍을 만들지 마십시오 .

피드백