고급 보안이 Windows Defender 방화벽 배포 계획

적용 대상

  • Windows 10
  • Windows Server 2016

사용자 환경에 대한 정보를 수집하고 Windows Defender 고급보안이 있는 방화벽 디자인 가이드의 지침에 따라 디자인을 결정한 후 디자인 배포 계획을 시작할 수 있습니다. 완성된 디자인 및 이 항목의 정보를 사용하여 조직에서 고급 보안이 있는 방화벽을 Windows Defender 배포하기 위해 수행할 작업을 결정할 수 있습니다.

고급 보안이 Windows Defender 방화벽 디자인 검토

조직에 대한 Windows Defender 방화벽 디자인을 만든 디자인 팀이 이를 구현하는 배포 팀과 다른 경우 배포 팀에서 디자인 팀과 함께 최종 디자인을 검토해야 합니다. 배포를 시작하기 전에 다음 정보를 검토합니다.

GPO에 적용할 장치 결정

GPO에 연결된 WMI 및 보안 그룹 필터를 확인하는 디자인 팀의 전략에 따라 GPO에 적용되는 디바이스가 결정됩니다. 배포 팀은 고급 보안이 있는 방화벽 디자인 가이드의 Windows Defender 항목을 참조할 수 있습니다.

구성원과 장치 간의 통신 구성

격리된 도메인에 있는 각 영역의 구성원과 격리된 도메인 또는 격리된 도메인 제외 목록의 구성원에 없는 장치 간에 허용할 통신을 결정하십시오.

IPsec 인증 요구 사항에서 도메인 컨트롤러 제외

도메인 컨트롤러는 IPsec 인증 요구 사항에서 제외하는 것이 좋습니다. 제외되지 않은 인증이 실패하면 도메인 클라이언트가 도메인 컨트롤러에서 IPsec 연결 보안 규칙에 대한 그룹 정책 업데이트를 받지 못할 수 있습니다.

IPsec 인증 규칙 구성

IPsec의 성공적인 협상이 확인될 때까지 요청하도록 모든 IPsec 인증 규칙을 구성하기 위한 근거입니다. 인증이 올바르게 작동하고 있는지 확인하기 전에 규칙이 인증을 요구하도록 설정된 경우 장치 간의 통신이 실패할 수 있습니다. 규칙이 인증만 요청하도록 설정되어 있는 경우 IPsec 인증 실패로 돌아가서 지우기 동작이 발생합니다. 인증 실패를 조사하는 동안 통신을 계속할 수 있습니다.

모든 장치가 서로 통신할 수 있는지 확인

모든 디바이스가 서로 통신하려면 다음의 공통 집합을 공유해야 합니다.

  • 인증 방법

  • 기본 모드 키 교환 알고리즘

  • 빠른 모드 데이터 무결성 알고리즘

두 장치 간에 하나 이상의 집합이 일치하지 않는 경우 장치가 성공적으로 통신할 수 없습니다.

Windows 방화벽 디자인 계획 배포

디자인 및 배포 팀은 이러한 문제에 동의한 후 Windows Defender 방화벽 디자인의 배포를 진행할 수 있습니다. 자세한 내용은 고급 보안이 있는 방화벽 Windows Defender 구현을 참조하세요.