도메인 격리 정책 디자인Domain Isolation Policy Design

적용 대상Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

도메인 격리 정책 디자인에서는 동일한 격리된 도메인의 구성원으로 인증된 장치에서 오는 연결만 수락하도록 네트워크의 장치를 구성합니다.In the domain isolation policy design, you configure the devices on your network to accept only connections coming from devices that are authenticated as members of the same isolated domain.

이 디자인은 일반적으로 기본 방화벽 정책 디자인 섹션에 설명된 바와 같이 구성된 네트워크에서 시작됩니다.This design typically begins with a network configured as described in the Basic Firewall Policy Design section. 이 디자인에서는 연결 보안 및 IPsec 규칙을 추가하여 격리된 도메인의 디바이스가 격리된 도메인의 구성원으로 인증할 수 있는 다른 장치의 네트워크 트래픽만 수락하도록 구성합니다.For this design, you then add connection security and IPsec rules to configure devices in the isolated domain to accept only network traffic from other devices that can authenticate as a member of the isolated domain. 새 규칙을 구현한 후 장치는 격리된 도메인의 구성원이 아닌 장치의 원치 않는 네트워크 트래픽을 거부합니다.After implementing the new rules, your devices reject unsolicited network traffic from devices that are not members of the isolated domain.

격리된 도메인이 단일 Active Directory 도메인이 아 않을 수 있습니다.The isolated domain might not be a single Active Directory domain. 포리스트의 모든 도메인 또는 포리스트 간에 양측 트러스트 관계가 구성된 별도의 포리스트의 도메인으로 구성될 수 있습니다.It can consist of all the domains in a forest, or domains in separate forests that have two-way trust relationships configured between them.

IPsec을 기반으로 하는 연결 보안 규칙을 사용하면 동일한 실제 네트워크 세그먼트에 연결되어 있는 경우에도 장치 간의 논리적 장벽을 제공합니다.By using connection security rules based on IPsec, you provide a logical barrier between devices even if they are connected to the same physical network segment.

다음 그림에는 허용된 통신 경로를 표시하는 화살표가 있는 디자인이 나와 있습니다.The design is shown in the following illustration, with the arrows that show the permitted communication paths.

격리된 도메인 경계 영역

다이어그램과 같이 이 디자인의 특징은 다음과 같습니다.Characteristics of this design, as shown in the diagram, include the following:

  • 격리된 도메인(영역 A) - 격리된 도메인의 장치는 격리된 도메인의 다른 구성원 또는 인증 면제 규칙에서 참조되는 장치에서만 원치 않는 인바운드 트래픽을 수신합니다.Isolated domain (area A) - Devices in the isolated domain receive unsolicited inbound traffic only from other members of the isolated domain or from devices referenced in authentication exemption rules. 격리된 도메인의 장치는 모든 장치로 트래픽을 보낼 수 있습니다.Devices in the isolated domain can send traffic to any device. 여기에는 격리된 도메인에 없는 장치에 대한 확인되지 않은 트래픽이 포함됩니다.This includes unauthenticated traffic to devices that are not in the isolated domain. Active Directory 도메인에 가입할 수 없지만 인증에 인증서를 사용할 수 있는 장치는 격리된 도메인의 일부일 수 있습니다.Devices that cannot join an Active Directory domain, but that can use certificates for authentication, can be part of the isolated domain. 자세한 내용은 인증서 기반의 인증 정책 디자인을 참조하세요.For more info, see the Certificate-based Isolation Policy Design.

  • 경계 영역(영역 B) - 경계 영역의 장치는 격리된 도메인의 일부이지만 인터넷에 있는 클라이언트와 같은 불안정한 장치의 인바운드 연결을 허용할 수 있습니다.Boundary zone (area B) - Devices in the boundary zone are part of the isolated domain but are allowed to accept inbound connections from untrusted devices, such as clients on the Internet.

    경계 영역 요청의 장치이지만 통신하는 데 인증이 필요하지 않습니다.Devices in the boundary zone request but do not require authentication to communicate. 격리된 도메인의 구성원이 경계 영역 구성원과 통신하면 트래픽이 인증됩니다.When a member of the isolated domain communicates with a boundary zone member the traffic is authenticated. 격리된 도메인에 소속되지 않은 장치가 경계 영역 구성원과 통신하는 경우 트래픽은 인증되지 않습니다.When a device that is not part of the isolated domain communicates with a boundary zone member the traffic is not authenticated.

    경계 영역 장치는 불안정하고 잠재적으로 적대적인 장치의 네트워크 트래픽에 노출되어 있기 때문에 신중하게 관리하고 보호해야 합니다.Because boundary zone devices are exposed to network traffic from untrusted and potentially hostile devices, they must be carefully managed and secured. 이 영역의 외부 장치에서 액세스해야 하는 장치만 넣습니다.Put only the devices that must be accessed by external devices in this zone. 방화벽 규칙을 사용하여 도메인 구성원이 아닌 장치에 노출하려는 서비스에만 네트워크 트래픽이 허용되도록 합니다.Use firewall rules to ensure that network traffic is accepted only for services that you want exposed to non-domain member devices.

  • 신뢰할 수 있는 도메인이 아닌 구성원(영역 C) - 도메인 구성원이 아니거나 IPsec 인증을 사용할 수 없는 네트워크의 장치는 인증 면제 규칙을 구성하여 통신할 수 있습니다.Trusted non-domain members (area C) - Devices on the network that are not domain members or that cannot use IPsec authentication are allowed to communicate by configuring authentication exemption rules. 이러한 규칙을 사용하면 격리된 도메인의 장치가 이러한 신뢰할 수 있는 도메인이 아닌 구성원 장치의 인바운드 연결을 수락할 수 있습니다.These rules enable devices in the isolated domain to accept inbound connections from these trusted non-domain member devices.

  • 트러설되지 않은 도메인이 아닌 구성원(영역 D) - 조직에서 관리하지 않고 알 수 없는 보안 구성을 가지는 장치에는 조직이 비즈니스를 올바르게 수행하기 위해 필요한 장치에만 액세스할 수 있어야 합니다.Untrusted non-domain members (area D) - Devices that are not managed by your organization and have an unknown security configuration must have access only to those devices required for your organization to correctly conduct its business. 도메인은 이러한 불안정한 장치와 조직의 장치 사이에 논리적 장벽을 두기 위해 존재합니다.Domain isolation exists to put a logical barrier between these untrusted Devices and your organization's devices.

이 디자인을 구현한 후 관리 팀은 조직의 장치에 적용된 방화벽 및 연결 보안 규칙을 중앙에서 관리합니다.After implementing this design, your administrative team will have centralized management of the firewall and connection security rules applied to the devices in your organization.

중요

이 디자인은 기본 방화벽 정책 디자인을 기초로 하여 서버 차단 정책 디자인의 토대 역할을 합니다.This design builds on the Basic Firewall Policy Design, and in turn serves as the foundation for the Server Isolation Policy Design. 세 가지를 모두 배포할 계획인 경우 세 가지를 모두 함께 디자인한 다음 제시된 순서대로 배포하는 것이 좋습니다.If you plan to deploy all three, we recommend that you do the design work for all three together, and then deploy in the sequence presented.

이 디자인은 Active Directory 포리스트의 일부인 장치에 적용할 수 있습니다.This design can be applied to Devices that are part of an Active Directory forest. Active Directory는 연결 보안 규칙이 포함된 그룹 정책 개체의 중앙 집중식 관리 및 배포를 제공하는 데 필요합니다.Active Directory is required to provide the centralized management and deployment of Group Policy objects that contain the connection security rules.

Active Directory 도메인에 포함할 수 없는 장치를 포함하기 위해 격리된 도메인을 확장하려면 인증서 기반 격리 정책 디자인을 참조합니다.In order to expand the isolated domain to include Devices that cannot be part of an Active Directory domain, see the Certificate-based Isolation Policy Design.

이 디자인에 대한 자세한 내용은For more info about this design:

다음: 서버 고리 정책 디자인Next: Server Isolation Policy Design