2008.09.18 03:03
1. | Windows Server 2003 CD의 SupportTools 폴더에서 Suptools.msi를 실행하여 Netdiag.exe를 설치합니다. |
2. | 명령 프롬프트를 연 다음 작업 폴더를 C:Program FilesSupport Tools로 설정합니다. |
3. | 다음 명령을 실행하여 컴퓨터에 이미 할당된 기존 IPSec 정책이 없는지 확인합니다.
netdiag /test:ipsec 할당된 정책이 없으면 다음과 같은 메시지가 나타납니다.
|
1. | Windows XP CD의 SupportTools 폴더에서 Setup.exe를 실행하여 Netdiag.exe를 설치합니다. |
2. | 명령 프롬프트를 연 다음 작업 폴더를 C:Program FilesSupport Tools로 설정합니다. |
3. | 다음 명령을 실행하여 컴퓨터에 이미 할당된 기존 IPSec 정책이 없는지 확인합니다.
netdiag /test:ipsec 할당된 정책이 없으면 다음과 같은 메시지가 나타납니다.
|
1. | Windows 2000 CD의 SupportTools 폴더에서 Setup.exe를 실행하여 Netdiag.exe를 설치합니다. |
2. | 명령 프롬프트를 연 다음 작업 폴더를 C:Program FilesSupport Tools로 설정합니다. |
3. | 다음 명령을 실행하여 컴퓨터에 이미 할당된 기존 IPSec 정책이 없는지 확인합니다.
netdiag /test:ipsec 할당된 정책이 없으면 다음과 같은 메시지가 나타납니다.
|
1. | 서비스 MMC 스냅인에서 IPSec 정책 에이전트 서비스가 사용 가능하게 설정되어 있고 시작되었는지 확인합니다. |
2. | IPSeccmd.exe를 설치합니다. IPSeccmd.exe는 Windows XP 서비스 팩 2(SP2) 지원 도구에 포함되어 있습니다. 참고 IPSeccmd.exe는 Windows XP 및 Windows Server 2003 운영 체제에서 실행되지만 Windows XP SP2 지원 도구 패키지에서만 제공됩니다. Windows XP 서비스 팩 2 지원 도구를 다운로드하고 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 838079 (http://support.microsoft.com/kb/838079/) Windows XP 서비스 팩 2 지원 도구 |
3. | 명령 프롬프트를 연 다음 작업 폴더를 Windows XP 서비스 팩 2 지원 도구가 설치된 폴더로 설정합니다. 참고 Windows XP SP2 지원 도구의 기본 폴더는 C:Program FilesSupport Tools입니다. |
4. | 임의의 IP 주소에서 구성 중인 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터의 IP 주소로 향하는 네트워크 트래픽에 적용되는 로컬 IPSec 정책과 필터링 규칙을 새로 만들려면 다음 명령을 사용합니다. 참고 다음 명령에서 Protocol 및 PortNumber는 변수입니다. IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x 예를 들어, 임의의 IP 주소와 원본 포트에서 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터의 대상 포트 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 Microsoft SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x 다음 예제에서는 TCP 포트 80에 대한 인바운드 액세스는 차단하지만 아웃바운드 TCP 80 액세스는 여전히 허용합니다. 이 정책을 사용하면 "Code Red" 및 "Nimda" 웜으로부터 Microsoft 인터넷 정보 서비스(IIS) 5.0 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x 참고 -x 스위치는 정책을 즉시 할당합니다. 이 명령을 입력하면 "Block UDP 1434 Filter" 정책이 할당 해제되고 "Block TCP 80 Filter" 정책이 할당됩니다. 정책을 추가하되 할당하지는 않으려면 끝에 -x 스위치를 추가하지 말고 이 명령을 입력하십시오. |
5. | Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터에서 임의의 IP 주소로 향하는 네트워크 트래픽을 차단하는 기존의 "Block UDP 1434 Filter" 정책에 다른 필터링 규칙을 추가하려면 다음 명령을 사용합니다. 참고 이 명령에서 Protocol 및 PortNumber는 변수입니다. IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK 예를 들어, Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터에서 다른 호스트의 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK 참고 이 명령을 사용하면 원하는 만큼 많은 수의 필터링 규칙을 정책에 추가할 수 있습니다. 예를 들어, 같은 정책으로 여러 포트를 차단하려는 경우 이 명령을 사용할 수 있습니다. |
6. | 5단계의 정책이 이제 적용되어 컴퓨터를 다시 시작할 때마다 지속됩니다. 그러나 나중에 해당 컴퓨터에 도메인 기반 IPSec 정책을 할당하면 이 로컬 정책이 재정의되어 더 이상 적용되지 않습니다. 필터링 규칙이 성공적으로 할당되었는지 확인하려면 명령 프롬프트에서 작업 폴더를 C:Program FilesSupport Tools로 설정하고 다음 명령을 입력합니다. netdiag /test:ipsec /debug 이러한 예제와 같이 인바운드 및 아웃바운드 트래픽 모두에 대한 정책을 할당하면 다음과 같은 메시지가 나타납니다.
참고 IP 주소와 GUID(그래픽 사용자 인터페이스) 번호는 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터에 따라 다릅니다. |
1. | 서비스 MMC 스냅인에서 IPSec 정책 에이전트 서비스가 사용 가능하게 설정되어 있고 시작되었는지 확인합니다. |
2. | 다음 Microsoft 웹 사이트를 방문하여 Ipsecpol.exe를 다운로드하고 설치합니다.
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361 (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)(영문) |
3. | 명령 프롬프트를 열고 작업 폴더를 Ipsecpol.exe를 설치한 폴더로 설정합니다. 참고 Ipsecpol.exe의 기본 폴더는 C:Program FilesResource Kit입니다. |
4. | 임의의 IP 주소에서 구성 중인 Windows 2000 기반 컴퓨터의 IP 주소로 향하는 네트워크 트래픽에 적용되는 로컬 IPSec 정책과 필터링 규칙을 새로 만들려면 다음 명령을 사용합니다. 여기서 Protocol 및 PortNumber는 변수입니다.
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x 예를 들어, 임의의 IP 주소와 원본 포트에서 Windows 2000 기반 컴퓨터의 대상 포트 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 Microsoft SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x 다음 예제에서는 TCP 포트 80에 대한 인바운드 액세스는 차단하지만 아웃바운드 TCP 80 액세스는 여전히 허용합니다. 이 정책을 사용하면 "Code Red" 및 "Nimda" 웜으로부터 Microsoft 인터넷 정보 서비스(IIS) 5.0 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x 참고 -x 스위치는 정책을 즉시 할당합니다. 이 명령을 입력하면 "Block UDP 1434 Filter" 정책이 할당 해제되고 "Block TCP 80 Filter" 정책이 할당됩니다. 정책을 추가하되 할당하지는 않으려면 끝에 -x 스위치를 추가하지 말고 이 명령을 입력하십시오. |
5. | Windows 2000 기반 컴퓨터에서 임의의 IP 주소로 향하는 네트워크 트래픽을 차단하는 기존의 "Block UDP 1434 Filter" 정책에 다른 필터링 규칙을 추가하려면 아래의 명령을 사용합니다. 여기서 Protocol 및 PortNumber는 변수입니다.
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK 예를 들어, Windows 2000 기반 컴퓨터에서 다른 호스트의 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK 참고 이 명령을 사용하면 원하는 만큼 많은 수의 필터링 규칙을 정책에 추가할 수 있습니다. 예를 들어, 같은 정책으로 여러 포트를 차단하려는 경우 이 명령을 사용할 수 있습니다. |
6. | 5단계의 정책이 이제 적용되어 컴퓨터를 다시 시작할 때마다 지속됩니다. 그러나 나중에 해당 컴퓨터에 도메인 기반 IPSec 정책을 할당하면 이 로컬 정책이 재정의되어 더 이상 적용되지 않습니다. 필터링 규칙이 성공적으로 할당되었는지 확인하려면 명령 프롬프트에서 작업 폴더를 C:Program FilesSupport Tools로 설정하고 다음 명령을 입력합니다.
netdiag /test:ipsec /debug 이러한 예제와 같이 인바운드 및 아웃바운드 트래픽 모두에 대한 정책을 할당하면 다음과 같은 메시지가 나타납니다.
참고 IP 주소와 GUID(그래픽 사용자 인터페이스) 숫자는 다를 수 있습니다. 이들은 해당 Windows 2000 기반 컴퓨터의 IP 주소와 GUID를 나타냅니다. |
1. | IPSeccmd.exe를 설치합니다. IPSeccmd.exe는 Windows XP SP2 지원 도구에 포함되어 있습니다. Windows XP 서비스 팩 2 지원 도구를 다운로드하고 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 838079 (http://support.microsoft.com/kb/838079/) Windows XP 서비스 팩 2 지원 도구 |
2. | 현재 할당되어 있는 IPSec 정책의 이름을 확인합니다. 이렇게 하려면 명령 프롬프트에서 다음을 입력합니다.
netdiag /test:ipsec 정책이 할당되어 있으면 다음과 같은 메시지가 나타납니다.
|
3. | 컴퓨터(로컬 또는 도메인)에 이미 할당된 IPSec 정책이 있으면 다음 명령을 사용하여 기존 IPSec 정책에 다른 BLOCK 필터 규칙을 추가합니다. 참고 이 명령에서 Existing_IPSec_Policy_Name, Protocol 및 PortNumber는 변수입니다. IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK 예를 들어, TCP 포트 80에 대한 인바운드 액세스를 차단하는 필터 규칙을 기존의 Block UDP 1434 Filter에 추가하려면 다음 명령을 입력합니다.
IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK |
1. | 다음 Microsoft 웹 사이트를 방문하여 Ipsecpol.exe를 다운로드하고 설치합니다.
http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)(영문) |
2. | 현재 할당되어 있는 IPSec 정책의 이름을 확인합니다. 이렇게 하려면 명령 프롬프트에서 다음을 입력합니다.
netdiag /test:ipsec 정책이 할당되어 있으면 다음과 같은 메시지가 나타납니다.
|
3. | 컴퓨터(로컬 또는 도메인)에 이미 할당된 IPSec 정책이 있으면 다음 명령을 사용하여 기존 IPSec 정책에 다른 BLOCK 필터링 규칙을 추가합니다. 여기서 Existing_IPSec_Policy_Name, Protocol 및 PortNumber는 변수입니다.
ipsecpol -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK 예를 들어, TCP 포트 80에 대한 인바운드 액세스를 차단하는 필터 규칙을 기존의 Block UDP 1434 Filter에 추가하려면 다음 명령을 입력합니다.
ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK |
1. | IPSeccmd.exe를 설치합니다. IPSeccmd.exe는 Windows XP 서비스 팩 2 지원 도구에 포함되어 있습니다. 참고 IPSeccmd.exe는 Windows XP 및 Windows Server 2003 운영 체제에서 실행되지만 Windows XP SP2 지원 도구 패키지에서만 제공됩니다. Windows XP 서비스 팩 2 지원 도구를 다운로드하고 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 838079 (http://support.microsoft.com/kb/838079/) Windows XP 서비스 팩 2 지원 도구 |
2. | 임의의 IP 주소에서 사용자 시스템의 IP 주소와 대상 포트로 향하는 패킷을 모두 차단하는 동적 BLOCK 필터를 추가하려면 명령 프롬프트에서 아래와 같이 입력합니다. 참고 다음 명령에서 Protocol 및 PortNumber는 변수입니다. IPSeccmd.exe -f [*=0:PortNumber:Protocol] 참고 이 명령은 차단 필터를 동적으로 만듭니다. 정책은 IPSec 정책 에이전트가 실행되는 동안 계속 할당된 상태로 있습니다. IPSec 정책 에이전트 서비스를 다시 시작하거나 컴퓨터를 다시 시작하면 이 정책은 없어집니다. 시스템을 다시 시작할 때마다 IPSec 필터링 규칙을 동적으로 다시 할당하려면 시작 스크립트를 만들어 필터 규칙을 다시 적용하십시오. 이 필터를 영구적으로 적용하려면 필터를 정적 IPSec 정책으로 구성하십시오. IP 보안 정책 관리 MMC 스냅인에서는 그래픽 사용자 인터페이스를 사용하여 IPSec 정책 구성을 관리할 수 있습니다. 이미 도메인 기반 IPSec 정책을 적용한 경우에는 도메인 관리자 자격 증명을 가진 사용자가 netdiag /test:ipsec /debug 명령을 실행할 경우에만 필터 세부 정보가 표시될 수 있습니다. |
1. | 다음 Microsoft 웹 사이트를 방문하여 Ipsecpol.exe를 다운로드하고 설치합니다.
http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)(영문) |
2. | 임의의 IP 주소에서 사용자 시스템의 IP 주소와 대상 포트로 향하는 패킷을 모두 차단하는 동적 BLOCK 필터를 추가하려면 명령 프롬프트에서 아래와 같이 입력합니다. 여기서 Protocol 및 PortNumber는 변수입니다.
ipsecpol -f [*=0:PortNumber:Protocol] 참고 이 명령은 동적으로 차단 필터를 만들고 해당 정책은 IPSec 정책 에이전트 서비스가 실행되는 동안 계속 할당된 상태로 있습니다. IPSec 서비스를 다시 시작하거나 컴퓨터를 다시 부팅하면 이 설정은 없어집니다. 시스템을 다시 시작할 때마다 IPSec 필터링 규칙을 동적으로 다시 할당하려면 시작 스크립트를 만들어 필터 규칙을 다시 적용하십시오. 이 필터를 영구적으로 적용하려면 필터를 정적 IPSec 정책으로 구성하십시오. IP 보안 정책 관리 MMC 스냅인에서는 그래픽 사용자 인터페이스를 사용하여 IPSec 정책 구성을 관리할 수 있습니다. 이미 도메인 기반 IPSec 정책을 적용한 경우에는 도메인 관리자 자격 증명을 가진 사용자가 netdiag /test:ipsec /debug 명령을 실행할 경우에만 명령이 필터 세부 정보를 표시할 수 있습니다. 로컬 관리자도 도메인 기반 IPSec 정책을 볼 수 있는 업데이트된 Netdiag.exe 버전은 Windows 2000 서비스 팩 4와 함께 제공될 예정입니다. |
• | 로컬로 정의된 정적 정책이 있는 컴퓨터
| ||||||
• | 로컬로 정의된 동적 정책이 있는 컴퓨터 net stop policyagent 명령을 사용하여 IPSec 정책 에이전트 서비스를 중지하면 동적 IPSec 정책이 적용 해제됩니다. IPSec 정책 에이전트 서비스를 중지하지 않고 이전에 사용한 특정 명령을 삭제하려면 다음과 같이 하십시오.
|
• | 로컬로 정의된 정적 정책이 있는 컴퓨터
| ||||||
• | 로컬로 정의된 동적 정책이 있는 컴퓨터 net stop policyagent 명령을 사용하여 IPSec 정책 에이전트 서비스를 중지하면 동적 IPSec 정책이 적용 해제됩니다. 그러나 IPSec 정책 에이전트 서비스를 중지하지 않고 이전에 사용한 특정 명령을 삭제하려면 다음과 같이 하십시오.
|