기본 방화벽 정책 설정 계획

적용 대상

  • Windows 10
  • Windows Server 2016

요구 사항을 식별하고 네트워크 레이아웃 및 장치에 대한 정보를 사용할 수 있도록 한 후 디바이스에 요구 사항을 적용할 수 있도록 하는 GPO 설정 및 규칙을 디자인할 수 있습니다.

다음은 기본 방화벽 디자인에 포함하기 위해 고려할 수 있는 방화벽 설정 목록과 분석을 위한 시작점으로 사용할 권장 사항입니다.

  • 프로필 선택. 네트워크 및 공유 센터에 있는 네트워크 위치 프로필(도메인, 공용 및 개인)에 대해 방화벽 규칙을 구성할 수 있습니다. **** **** 대부분의 설정은 사용자가 변경할 수 있는 옵션 없이 도메인 프로필에 적용됩니다. 그러나 사용자가 구성할 수 있는 프로필 설정을 조직의 실제 네트워크에서 사용하여 공용 또는 홈 네트워크에 가입할 수 있는 장치에서 남겨두는 것이 좋습니다. 공용 및 개인 프로필을 잠그면 사용자가 필요한 네트워크 프로그램 또는 서비스에 액세스하지 못하게 할 수 있습니다. 이러한 규칙이 조직의 네트워크에 있지 않은 경우 GPO에 규칙 변경 내용을 배포하여 연결 문제를 해결할 수 없습니다. 다음에 있는 각 섹션에 대해 각 프로필을 고려하고 조직에 대해 해당 프로필에 규칙을 적용합니다.

    중요: 예기치 않은 프로필 전환으로 인해 네트워크 연결이 중단되지 않도록 모든 프로필에 대한 모든 규칙을 설정하는 서버 장치에서 권장됩니다. 데스크톱 장치에 대해 유사한 방법을 고려하고 휴대용 장치에서만 다른 프로필을 지원할 수 있습니다.

  • 방화벽 상태:. 사용자가 끄지 못하도록 하는 것이 좋습니다.

  • 인바운드 연결의 기본 동작: 차단. 원치 않는 인바운드 연결을 차단하는 기본 동작을 적용하는 것이 좋습니다. 특정 프로그램에 대한 네트워크 트래픽을 허용하기 위해 이 기본 동작의 예외로 사용할 인바운드 규칙을 만드시다.

  • 아웃바운드 연결의 기본 동작: 허용. 아웃바운드 연결을 허용하는 기본 동작을 적용하는 것이 좋습니다.

  • 유니캐스트 응답 허용: 예. 그렇지 않은 경우 특정 요구 사항이 없는 경우 기본 설정인 Yes를 사용하는 것이 좋습니다.

  • 로컬 방화벽 규칙 적용: 예. 사용자가 로컬 방화벽 규칙을 만들고 사용할 수 있도록 하는 것이 좋습니다. 아니요로 설정하면 사용자가 알림 메시지에서 **** 새 프로그램에 대한 트래픽을 허용하도록 허용을 클릭하면 Windows에서 새 방화벽 규칙을 만들지 않고 트래픽이 차단된 상태로 남아 있습니다. ****

    사용자와 IT 직원이 허용된 모든 응용 프로그램에 대한 방화벽 규칙 목록을 만들고 유지 관리하고 GOS를 사용하여 배포할 수 있는 경우 이 값을 No로 설정할 수 있습니다.

  • 로컬 연결 보안 규칙 적용: 아니요. 사용자가 자신의 연결 보안 규칙을 만들고 사용하지 못하게 하는 것이 좋습니다. 충돌하는 규칙으로 인해 발생된 연결 오류는 문제 해결이 어려울 수 있습니다.

  • 로깅. 로컬 하드 디스크의 파일에 로깅을 사용하도록 설정하는 것이 좋습니다. 사용자의 하드 디스크를 채워 성능 문제를 유발하지 않도록 크기를 제한해야 합니다(예: 4096 KB). 고급 보안이 있는 방화벽 서비스 계정에 쓰기 Windows Defender 폴더를 지정해야 합니다.

  • 인바운드 규칙. 네트워크의 다른 장치에서 원치 않는 인바운드 네트워크 패킷을 수신할 수 있어야 하는 프로그램에 대한 인바운드 규칙을 만들 수 있습니다. 규칙을 최대한 구체적으로 만들어 악성 프로그램이 규칙을 악용할 위험을 줄입니다. 예를 들어 프로그램 번호와 포트 번호를 모두 지정합니다. 프로그램을 지정하면 프로그램이 실제로 실행될 때만 규칙이 활성화되고 포트 번호를 지정하면 프로그램이 다른 포트에서 예기치 않은 트래픽을 수신할 수 없습니다.

    인바운드 규칙은 클라이언트 장치가 연결하는 서비스를 호스트하기 때문에 서버에서 일반적입니다. 서버에 프로그램 및 서비스를 설치할 때 설치 프로그램은 일반적으로 규칙을 만들고 사용할 수 있습니다. 규칙을 검사하여 필요한 것보다 더 많은 포트를 열지 않도록 합니다.

    중요: RPC Endpoint Mapper동적 RPC 규칙 옵션을 사용하여 RPC 네트워크 트래픽을 허용하는 인바운드 규칙을 만드는 경우 방화벽이 대상 응용 프로그램의 UUID를 기반으로 네트워크 트래픽을 필터링할 수 없는 경우 모든 인바운드 RPC 네트워크 트래픽이 허용됩니다.

  • 아웃바운드 규칙. 모든 경우에 방지해야 하는 네트워크 트래픽을 차단하는 아웃바운드 규칙만 만들어야 합니다. 조직에서 특정 네트워크 프로그램 사용을 금지하는 경우 프로그램에서 사용하는 알려진 네트워크 트래픽을 차단하여 해당 정책을 지원할 수 있습니다. 필요한 권한이 부여된 프로그램에 대한 트래픽을 막기 위해 제한을 배포하기 전에 테스트해야 합니다.

다음: 도메인 고리 영역 계획