그룹 정책을 사용하여 규칙 구성
이 문서에는 고급 보안 콘솔에서 Windows 방화벽을 사용하여 Windows 방화벽 규칙을 구성하는 방법에 대한 예제가 포함되어 있습니다.
고급 보안 콘솔을 사용하여 Windows 방화벽에 액세스
Active Directory 도메인에 조인된 디바이스를 구성하는 경우 이러한 절차를 완료하려면 도메인 관리자 그룹의 구성원이거나 도메인에서 GPO를 수정할 수 있는 위임된 권한이 있어야 합니다. 고급 보안 콘솔을 사용하여 Windows 방화벽에 액세스하려면 GPO(그룹 정책 개체)를 만들거나 편집하고 고급 보안을 사용하여 Windows 설정보안 설정>>Windows 방화벽 노드 >> 를 확장합니다. 그룹 정책 사용할 때 그룹 정책 처리 고려 사항에 주의하세요.
단일 디바이스를 구성하는 경우 디바이스에 대한 관리 권한이 있어야 합니다. 이 경우 고급 보안 콘솔을 사용하여 Windows 방화벽에 액세스하려면 시작을 선택하고 를 입력 wf.msc
한 다음 Enter 키를 누릅니 다.
인바운드 ICMP 규칙 만들기
이 유형의 규칙을 사용하면 네트워크의 디바이스에서 ICMP 요청 및 응답을 받을 수 있습니다. 인바운드 ICMP 규칙을 만들려면 다음을 수행합니다.
- 고급 보안 콘솔을 사용하여 Windows 방화벽 열기
- 탐색 창에서 인바운드 규칙을 선택합니다.
- 작업을 선택한 다음, 새 규칙을 선택합니다.
- 새 인바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
- 프로그램 페이지에서 모든 프로그램을 선택한 다음, 다음을 선택합니다.
- 프로토콜 및 포트 페이지의 프로토콜유형 목록에서 ICMPv4 또는 ICMPv6을 선택합니다. 네트워크에서 IPv4 및 IPv6을 모두 사용하는 경우 각각에 대해 별도의 ICMP 규칙을 만들어야 합니다.
- 사용자 지정을 선택합니다.
-
ICMP 설정 사용자 지정 대화 상자에서 다음 중 하나를 수행합니다.
- 모든 ICMP 네트워크 트래픽을 허용하려면 모든 ICMP 유형을 선택한 다음 확인을 선택합니다.
- 미리 정의된 ICMP 형식 중 하나를 선택하려면 특정 ICMP 형식을 선택한 다음, 허용하려는 목록에서 각 형식을 선택합니다. 확인을 선택합니다.
- 목록에 표시되지 않는 ICMP 형식을 선택하려면 특정 ICMP 유형을 선택하고, 목록에서 형식 번호를 선택하고, 목록에서 코드 번호를 선택하고, 추가를 선택한 다음, 목록에서 새로 만든 항목을 선택합니다. 확인을 선택합니다.
- 다음 선택
- 범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
- 작업 페이지에서 연결 허용을 선택한 다음, 다음을 선택합니다.
- 프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
- 이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.
인바운드 포트 규칙 만들기
이 유형의 규칙을 사용하면 지정된 TCP 또는 UDP 포트에서 수신 대기하는 모든 프로그램이 해당 포트로 전송된 네트워크 트래픽을 수신할 수 있습니다. 인바운드 포트 규칙을 만들려면 다음을 수행합니다.
- 고급 보안 콘솔을 사용하여 Windows 방화벽 열기
- 탐색 창에서 인바운드 규칙을 선택합니다.
- 작업을 선택한 다음, 새 규칙을 선택합니다.
- 새 인바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
참고
프로그램 또는 포트를 선택하여 규칙을 만들 수 있지만 이러한 선택 항목은 마법사에서 제공하는 페이지 수를 제한합니다. 사용자 지정을 선택하면 모든 페이지가 표시되고 규칙을 유연하게 만들 수 있습니다.
-
프로그램 페이지에서 모든 프로그램을 선택한 다음, 다음을 선택합니다.
참고
이러한 유형의 규칙은 종종 프로그램 또는 서비스 규칙과 결합됩니다. 규칙 유형을 결합하면 지정된 포트로 트래픽을 제한하고 지정된 프로그램이 실행 중인 경우에만 트래픽을 허용하는 방화벽 규칙이 표시됩니다. 지정된 프로그램은 다른 포트에서 네트워크 트래픽을 받을 수 없으며 다른 프로그램은 지정된 포트에서 네트워크 트래픽을 수신할 수 없습니다. 이렇게 하려면 이 절차의 단계 외에도 인바운드 프로그램 또는 서비스 규칙 만들기 절차의 단계에 따라 프로그램 및 포트 조건을 모두 사용하여 네트워크 트래픽을 필터링하는 단일 규칙을 만듭니다.
-
프로토콜 및 포트 페이지에서 허용할 프로토콜 유형을 선택합니다. 규칙을 지정된 포트 번호로 제한하려면 TCP 또는 UDP를 선택해야 합니다. 이는 들어오는 규칙이므로 일반적으로 로컬 포트 번호만 구성합니다. 다른 프로토콜을 선택하면 IP 헤더의 프로토콜 필드가 이 규칙과 일치하는 패킷만 방화벽을 통해 허용됩니다.
해당 번호로 프로토콜을 선택하려면 목록에서 사용자 지정 을 선택한 다음 프로토콜 번호 상자에 숫자를 입력합니다.
프로토콜 및 포트를 구성한 경우 다음을 선택합니다. - 범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
- 작업 페이지에서 연결 허용을 선택한 다음, 다음을 선택합니다.
-
프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
참고
이 GPO가 이동하지 않는 Windows Server 2008을 실행하는 서버 컴퓨터를 대상으로 하는 경우 모든 네트워크 위치 유형 프로필에 적용되도록 규칙을 수정하는 것이 좋습니다. 이렇게 하면 새 네트워크 카드 설치 또는 기존 네트워크 카드 케이블의 연결 끊김으로 인해 네트워크 위치 유형이 변경되는 경우 적용된 규칙이 예기치 않게 변경되지 않습니다. 연결이 끊긴 네트워크 카드 공용 네트워크 위치 유형에 자동으로 할당됩니다.
- 이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.
아웃바운드 포트 규칙 만들기
기본적으로 Windows 방화벽은 트래픽을 금지하는 규칙과 일치하지 않는 한 모든 아웃바운드 네트워크 트래픽을 허용합니다. 이 유형의 규칙은 지정된 TCP 또는 UDP 포트 번호와 일치하는 아웃바운드 네트워크 트래픽을 차단합니다. 아웃바운드 포트 규칙을 만들려면 다음을 수행합니다.
- 고급 보안 콘솔을 사용하여 Windows 방화벽 열기
- 탐색 창에서 아웃바운드 규칙을 선택합니다.
- 작업을 선택한 다음, 새 규칙을 선택합니다.
- 새 아웃바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
참고
프로그램 또는 포트를 선택하여 규칙을 만들 수 있지만 이러한 선택 항목은 마법사에서 제공하는 페이지 수를 제한합니다. 사용자 지정을 선택하면 모든 페이지가 표시되고 규칙을 유연하게 만들 수 있습니다.
- 프로그램 페이지에서 모든 프로그램을 선택한 다음, 다음을 선택합니다.
- 프로토콜 및 포트 페이지에서 차단하려는 프로토콜 유형을 선택합니다. 규칙을 지정된 포트 번호로 제한하려면 TCP 또는 UDP를 선택해야 합니다. 이 규칙은 아웃바운드 규칙이므로 일반적으로 원격 포트 번호만 구성합니다. 다른 프로토콜을 선택하면 IP 헤더의 프로토콜 필드가 이 규칙과 일치하는 패킷만 Windows Defender 방화벽에 의해 차단됩니다. 일치하는 다른 규칙이 프로토콜을 차단하지 않는 한 프로토콜에 대한 네트워크 트래픽이 허용됩니다. 해당 번호로 프로토콜을 선택하려면 목록에서 사용자 지정 을 선택한 다음 프로토콜 번호 상자에 숫자를 입력합니다. 프로토콜 및 포트를 구성한 경우 다음을 선택합니다.
- 범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
- 작업 페이지에서 연결 차단을 선택한 다음, 다음을 선택합니다.
- 프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
- 이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.
인바운드 프로그램 또는 서비스 규칙 만들기
이 유형의 규칙을 사용하면 프로그램이 모든 포트에서 인바운드 네트워크 트래픽을 수신 대기하고 받을 수 있습니다.
참고
이러한 유형의 규칙은 종종 프로그램 또는 서비스 규칙과 결합됩니다. 규칙 유형을 결합하면 지정된 포트로 트래픽을 제한하고 지정된 프로그램이 실행 중인 경우에만 트래픽을 허용하는 방화벽 규칙이 표시됩니다. 프로그램은 다른 포트에서 네트워크 트래픽을 수신할 수 없으며 다른 프로그램은 지정된 포트에서 네트워크 트래픽을 수신할 수 없습니다. 프로그램 및 포트 규칙 형식을 단일 규칙으로 결합하려면 이 절차의 단계 외에도 인바운드 포트 규칙 만들기 절차의 단계를 따릅니다.
프로그램 또는 서비스에 대한 인바운드 방화벽 규칙을 만들려면 다음을 수행합니다.
고급 보안 콘솔을 사용하여 Windows 방화벽 열기
탐색 창에서 인바운드 규칙을 선택합니다.
작업을 선택한 다음, 새 규칙을 선택합니다.
새 인바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
참고
프로그램 또는 포트를 선택하여 규칙을 만들 수 있더라도 사용자가 알 수 있는 정보는 마법사에서 제공하는 페이지 수를 제한합니다. 사용자 지정을 선택하면 모든 페이지가 표시되고 규칙을 유연하게 만들 수 있습니다.
프로그램 페이지에서 이 프로그램 경로를 선택합니다.
텍스트 상자에 프로그램의 경로를 입력합니다. 환경 변수(해당하는 경우)를 사용하여 다른 컴퓨터의 다른 위치에 설치된 프로그램이 올바르게 작동하는지 확인합니다.
다음 중 하나를 수행합니다.
- 실행 파일에 단일 프로그램이 포함된 경우 다음을 선택합니다.
- 실행 파일이 인바운드 네트워크 트래픽을 모두 수신할 수 있어야 하는 여러 서비스에 대한 컨테이너인 경우 사용자 지정을 선택하고 서비스에만 적용을 선택하고 확인을 선택한 다음 다음을 선택합니다.
- 실행 파일이 단일 서비스의 컨테이너이거나 여러 서비스가 포함되어 있지만 규칙이 그 중 하나에만 적용되는 경우 사용자 지정을 선택하고 이 서비스에 적용을 선택한 다음 목록에서 서비스를 선택합니다. 서비스가 목록에 표시되지 않으면 이 서비스 짧은 이름으로 서비스에 적용을 선택한 다음 텍스트 상자에 서비스의 짧은 이름을 입력합니다. 확인을 선택한 다음, 다음을 선택합니다.
중요
이 서비스에 적용 또는 이 서비스 짧은 이름 옵션을 사용하여 서비스에 적용 옵션을 사용하려면 서비스가 RESTRICTED 또는 UNRESTRICTED 형식의 SID(보안 식별자)로 구성되어야 합니다. 서비스의 SID 형식을 검사 다음 명령을 실행합니다.
sc qsidtype <ServiceName>
결과가
NONE
이면 해당 서비스에 방화벽 규칙을 적용할 수 없습니다.서비스에서 SID 형식을 설정하려면 다음 명령을 실행합니다.
sc sidtype <ServiceName> <Type>
위의 명령에서 의
<Type>
값은 또는RESTRICTED
일UNRESTRICTED
수 있습니다. 명령도 의NONE
값을 허용하지만 이 설정은 여기에 설명된 대로 방화벽 규칙에서 서비스를 사용할 수 없음을 의미합니다. 기본적으로 Windows의 대부분의 서비스는 로 구성UNRESTRICTED
됩니다. SID 유형을RESTRICTED
로 변경하면 서비스가 시작되지 않을 수 있습니다. 방화벽 규칙에서 사용하려는 서비스에서만 SID 형식을 변경하고 SID 형식UNRESTRICTED
을 로 변경하는 것이 좋습니다.프로그램의 방화벽 규칙을 작동하는 데 필요한 포트로만 제한하는 것이 좋습니다. 프로토콜 및 포트 페이지에서 허용되는 트래픽에 대한 포트 번호를 지정할 수 있습니다. 프로그램이 여기에 지정된 포트와 다른 포트에서 수신 대기하려고 하면 차단됩니다. 프로토콜 및 포트 옵션에 대한 자세한 내용은 인바운드 포트 규칙 만들기를 참조하세요. 프로토콜 및 포트 옵션을 구성한 후 다음을 선택합니다.
범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
작업 페이지에서 연결 허용을 선택한 다음, 다음을 선택합니다.
프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.
아웃바운드 프로그램 또는 서비스 규칙 만들기
기본적으로 Windows Defender 방화벽은 트래픽을 금지하는 규칙과 일치하지 않는 한 모든 아웃바운드 네트워크 트래픽을 허용합니다. 이 유형의 규칙은 프로그램이 모든 포트에서 아웃바운드 네트워크 트래픽을 보내는 것을 방지합니다. 프로그램 또는 서비스에 대한 아웃바운드 방화벽 규칙을 만들려면 다음을 수행합니다.
- 고급 보안 콘솔을 사용하여 Windows 방화벽 열기
- 탐색 창에서 아웃바운드 규칙을 선택합니다.
- 작업을 선택한 다음, 새 규칙을 선택합니다.
- 새 아웃바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
참고
프로그램 또는 포트를 선택하여 많은 규칙을 만들 수 있지만 이러한 선택 항목은 마법사에서 제공하는 페이지 수를 제한합니다. 사용자 지정을 선택하면 모든 페이지가 표시되고 규칙을 유연하게 만들 수 있습니다.
- 프로그램 페이지에서 이 프로그램 경로를 선택합니다.
- 텍스트 상자에 프로그램의 경로를 입력합니다. 환경 변수를 적절하게 사용하여 다른 컴퓨터의 다른 위치에 설치된 프로그램이 올바르게 작동하는지 확인합니다.
- 다음 중 하나를 수행합니다.
- 실행 파일에 단일 프로그램이 포함된 경우 다음을 선택합니다.
- 실행 파일이 모두 아웃바운드 네트워크 트래픽 전송을 차단해야 하는 여러 서비스에 대한 컨테이너인 경우 사용자 지정을 선택하고 서비스에만 적용을 선택하고 확인을 선택한 다음 다음을 선택합니다.
- 실행 파일이 단일 서비스의 컨테이너이거나 여러 서비스가 포함되어 있지만 규칙이 그 중 하나에만 적용되는 경우 사용자 지정을 선택하고 이 서비스에 적용을 선택한 다음 목록에서 서비스를 선택합니다. 서비스가 목록에 표시되지 않으면 이 서비스 짧은 이름으로 서비스에 적용을 선택하고 텍스트 상자에 서비스의 짧은 이름을 입력합니다. 확인을 선택한 다음, 다음을 선택합니다.
- 프로그램을 일부 포트에서 보낼 수 있지만 다른 포트에서 보내는 것이 차단되도록 하려면 지정된 포트 또는 프로토콜만 차단하도록 방화벽 규칙을 제한할 수 있습니다. 프로토콜 및 포트 페이지에서 차단된 트래픽에 대한 포트 번호 또는 프로토콜 번호를 지정할 수 있습니다. 프로그램이 여기에 지정된 포트 번호와 다른 포트 번호로 또는 여기에 지정된 것과 다른 프로토콜 번호를 사용하려고 하면 기본 아웃바운드 방화벽 동작을 통해 트래픽이 허용됩니다. 프로토콜 및 포트 옵션에 대한 자세한 내용은 아웃바운드 포트 규칙 만들기를 참조하세요. 프로토콜 및 포트 옵션을 구성한 경우 다음을 선택합니다.
- 범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
- 작업 페이지에서 연결 차단을 선택한 다음, 다음을 선택합니다.
- 프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
- 이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.
RPC를 지원하는 인바운드 규칙 만들기
RPC(인바운드 원격 프로시저 호출) 네트워크 트래픽을 허용하려면 다음 두 가지 방화벽 규칙을 만들어야 합니다.
- 첫 번째 규칙은 TCP 포트 135에서 RPC 엔드포인트 매퍼 서비스로 들어오는 네트워크 패킷을 허용합니다. 들어오는 트래픽은 지정된 네트워크 서비스와 통신하기 위한 요청으로 구성됩니다. RPC 엔드포인트 매퍼는 클라이언트가 서비스와 통신하는 데 사용해야 하는 동적으로 할당된 포트 번호로 회신합니다.
- 두 번째 규칙은 동적으로 할당된 포트 번호로 전송되는 네트워크 트래픽을 허용합니다.
이 항목에 설명된 대로 구성된 두 규칙을 사용하면 RPC 동적 포트 리디렉션을 받은 디바이스에서만 네트워크 트래픽을 허용하고 RPC 엔드포인트 매퍼에서 할당한 TCP 포트 번호만 허용하여 디바이스를 보호하는 데 도움이 됩니다.
RPC 엔드포인트 매퍼 서비스
- 고급 보안 콘솔을 사용하여 Windows 방화벽 열기
- 탐색 창에서 인바운드 규칙을 선택합니다.
- 작업을 선택한 다음, 새 규칙을 선택합니다.
- 새 인바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
-
프로그램 페이지에서 이 프로그램 경로를 선택한 다음, 를 입력합니다.
%systemroot%\system32\svchost.exe
- 사용자 지정을 선택합니다.
- 서비스 설정 사용자 지정 대화 상자에서 이 서비스에 적용을 선택하고, RpcSs라는 짧은 이름의 RPC(원격 프로시저 호출)를 선택하고 확인을 선택한 다음, 다음을 선택합니다.
- Windows 서비스 강화 규칙에 대한 경고에서 예를 선택합니다.
- 프로토콜 및 포트 대화 상자에서 프로토콜 유형에 대해 TCP를 선택합니다.
- 로컬 포트에서 RPC 엔드포인트 매퍼를 선택한 다음, 다음을 선택합니다.
- 범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
- 작업 페이지에서 연결 허용을 선택한 다음, 다음을 선택합니다.
- 프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
- 이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.
RPC 지원 네트워크 서비스
- 이전 절차에서 편집한 것과 동일한 GPO에서 작업을 선택한 다음, 새 규칙을 선택합니다.
- 새 인바운드 규칙 마법사의 규칙 유형 페이지에서 사용자 지정을 선택한 다음, 다음을 선택합니다.
- 프로그램 페이지에서 이 프로그램 경로를 선택한 다음, 네트워크 서비스를 호스트하는 실행 파일의 경로를 입력합니다. 사용자 지정을 선택합니다.
- 서비스 설정 사용자 지정 대화 상자에서 이 서비스에 적용을 선택한 다음, 허용할 서비스를 선택합니다. 서비스가 목록에 표시되지 않으면 이 서비스 짧은 이름으로 서비스에 적용을 선택한 다음 텍스트 상자에 서비스의 짧은 이름을 입력합니다.
- 확인을 선택한 다음, 다음을 선택합니다.
- 프로토콜 및 포트 대화 상자에서 프로토콜 유형에 대해 TCP를 선택합니다.
- 로컬 포트의 경우 RPC 동적 포트를 선택한 다음, 다음을 선택합니다.
- 범위 페이지에서 이 페이지에 입력한 IP 주소의 네트워크 트래픽에만 규칙이 적용되도록 지정할 수 있습니다. 디자인에 맞게 구성한 다음, 다음을 선택합니다.
- 작업 페이지에서 연결 허용을 선택한 다음, 다음을 선택합니다.
- 프로필 페이지에서 이 규칙이 적용되는 네트워크 위치 유형을 선택한 다음, 다음을 선택합니다.
- 이름 페이지에서 규칙에 대한 이름과 설명을 입력한 다음 마침을 선택합니다.