이 설정을 사용하여 피어 컴퓨터의 사용자 계정이 인증되는 방식을 지정할 수 있습니다. 컴퓨터에 컴퓨터 상태 인증서가 있어야 하도록 지정할 수도 있습니다. 두 번째 인증 방법은 IPsec(인터넷 프로토콜 보안) 협상 중 주 모드 단계의 확장 모드에서 AuthIP(인증된 IP)에 의해 수행됩니다.

이 인증에 사용할 방법을 여러 개 지정할 수 있습니다. 지정한 순서대로 방법이 시도되며 첫 번째로 성공한 방법이 사용됩니다.

이 대화 상자에서 사용할 수 있는 인증 방법에 대한 자세한 내용은 Windows에서 지원되는 IPsec 알고리즘 및 방법(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=129230)을 참조하십시오.

이 대화 상자를 표시하려면
  • 시스템 수준의 기본 설정을 수정하는 경우

    1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인의 탐색 창에서 고급 보안이 포함된 Windows 방화벽을 클릭한 다음 개요에서 Windows 방화벽 속성을 클릭합니다.

    2. IPsec 설정 탭을 클릭한 다음 IPsec 기본값에서 사용자 지정을 클릭합니다.

    3. 인증 방법에서 고급을 선택하고 사용자 지정을 클릭합니다.

    4. 두 번째 인증에서 방법을 선택하고 편집 또는 추가를 클릭합니다.

  • 새 연결 보안 규칙을 만드는 경우

    1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인의 탐색 창에서 연결 보안 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙을 클릭합니다.

    2. 규칙 종류 페이지에서 인증 예외를 제외한 종류를 선택합니다.

    3. 인증 방법 페이지에서 고급을 선택하고 사용자 지정을 클릭합니다.

    4. 두 번째 인증에서 방법을 선택하고 편집 또는 추가를 클릭합니다.

  • 기존 보안 규칙을 수정하는 경우

    1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인의 탐색 창에서 연결 보안 규칙을 클릭합니다.

    2. 수정할 연결 보안 규칙을 두 번 클릭합니다.

    3. 인증 탭을 클릭합니다.

    4. 방법에서 고급을 클릭하고 사용자 지정을 클릭합니다.

    5. 두 번째 인증에서 방법을 선택하고 편집 또는 추가를 클릭합니다.

사용자(Kerberos V5)

이 방법을 사용하여 동일한 도메인에 속하거나 트러스트 관계를 갖는 별도의 도메인에 있는 원격 컴퓨터에 로그온한 사용자를 인증할 수 있습니다. 로그온한 사용자는 도메인 계정이 있어야 하고 컴퓨터는 동일한 포리스트의 도메인에 가입되어 있어야 합니다.

사용자(NTLMv2)

NTLMv2는 동일한 도메인에 있거나 로컬 컴퓨터의 도메인과 트러스트 관계를 갖는 도메인에 있는 원격 컴퓨터에 로그온한 사용자를 인증하는 대체 방법입니다. 사용자 계정과 컴퓨터는 동일한 포리스트에 포함된 도메인에 가입되어 있어야 합니다.

사용자 인증서

외부 비즈니스 파트너와의 통신이나 Kerberos 버전 5 인증 프로토콜을 실행하지 않는 컴퓨터가 포함된 환경에서는 공개 키 인증서를 사용합니다. 공개 키 인증서를 사용하려면 하나 이상의 신뢰할 수 있는 루트 CA(인증 기관)가 구성되어 있거나 네트워크를 통해 해당 루트 CA에 액세스할 수 있어야 하며, 해당 클라이언트 컴퓨터에 연결된 컴퓨터 인증서가 있어야 합니다. 이 방법은 사용자가 동일한 도메인에 속하지 않거나 양방향 트러스트 관계가 없는 별도의 도메인에 속하며 Kerberos 버전 5를 사용할 수 없는 경우에 유용합니다.

서명 알고리즘

인증서를 암호화 방식으로 보호하는 데 사용되는 서명 알고리즘을 지정합니다.

RSA(기본값)

인증서가 RSA 공개 키 암호화 알고리즘을 사용하여 서명되어 있으면 이 옵션을 선택합니다.

ECDSA-P256

인증서가 256비트 키 강도의 ECDSA(Elliptic Curve Digital Signature Algorithm)를 사용하여 서명되어 있으면 이 옵션을 선택합니다.

ECDSA-P384

인증서가 384비트 키 강도의 ECDSA를 사용하여 서명되어 있으면 이 옵션을 선택합니다.

인증서 저장소 유형

인증서가 있는 저장소를 식별하여 인증서 유형을 지정합니다.

루트 CA(기본값)

인증서가 루트 CA에서 발급되었으며 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 저장되어 있으면 이 옵션을 선택합니다.

중간 CA

인증서가 중간 CA에서 발급되었으며 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 저장되어 있으면 이 옵션을 선택합니다.

계정 매핑에 인증서 사용

IPsec의 인증서와 계정 간 매핑을 사용하는 경우 IKE(Internet Key Exchange) 및 AuthIP 프로토콜은 사용자 인증서를 Active Directory 도메인 또는 포리스트의 사용자 계정에 연결(매핑)한 다음 사용자 보안 그룹 목록을 포함하는 액세스 토큰을 가져옵니다. 이 프로세스를 통해 IPsec 피어에서 제공된 인증서가 도메인의 활성 사용자 계정과 대응하게 되고, 해당 인증서는 해당 사용자가 사용해야 하는 인증서가 됩니다.

인증서와 계정 간의 매핑은 매핑을 수행하는 컴퓨터와 동일한 포리스트에 있는 사용자 계정에 대해서만 사용할 수 있습니다. 이렇게 하면 단순히 유효한 인증서 체인을 허용하는 것보다 훨씬 강력한 인증이 제공됩니다. 예를 들어 이 기능을 사용하여 동일한 포리스트 내의 사용자만 액세스하도록 제한할 수 있습니다. 하지만 인증서와 계정 간 매핑을 사용한다고 해서 신뢰할 수 있는 특정 사용자의 IPsec 액세스가 허용되는 것은 아닙니다.

인증서와 계정 간 매핑은 특히 비즈니스 파트너가 타사 공급자로부터 인증서를 받은 경우와 같이 AD DS(Active Directory 도메인 서비스) 배포와 통합되어 있지 않은 PKI(공개 키 인프라)의 인증서인 경우에 유용합니다. 특정 루트 CA에 대해 인증서를 도메인 사용자 계정에 매핑하도록 IPsec 정책 인증 방법을 구성할 수 있습니다. 발급하는 CA의 모든 인증서를 한 사용자 계정에 매핑할 수도 있습니다. 이렇게 하면 많은 포리스트가 있고 각 포리스트가 하나의 내부 루트 CA 아래에서 자동 등록을 수행하는 환경에서 인증서 인증을 사용하여 IPsec 액세스가 허용되는 포리스트를 제한할 수 있습니다. 인증서와 계정 간의 매핑 프로세스가 올바르게 완료되지 않으면 인증이 실패하고 IPsec으로 보호되는 연결이 차단됩니다.

컴퓨터 상태 인증서

지정한 CA에서 발급된 인증서를 제시하며 NAP(네트워크 액세스 보호) 상태 인증서로 표시된 컴퓨터만이 이 연결 보안 규칙을 사용하여 인증할 수 있도록 지정하려면 이 옵션을 사용합니다. NAP를 사용하면 바이러스 백신 소프트웨어가 없는 컴퓨터나 최신 소프트웨어 업데이트가 없는 컴퓨터와 같이 네트워크 정책에 맞지 않는 컴퓨터에서 현재 네트워크에 쉽게 액세스할 수 없도록 상태 정책을 정의하고 적용할 수 있습니다. NAP를 구현하려면 서버 및 클라이언트 컴퓨터에서 NAP 설정을 구성해야 합니다. 자세한 내용은 NAP MMC 스냅인 도움말을 참조하십시오. 이 방법을 사용하려면 도메인에 NAP 서버가 설정되어 있어야 합니다.

서명 알고리즘

인증서를 암호화 방식으로 보호하는 데 사용되는 서명 알고리즘을 지정합니다.

RSA(기본값)

인증서가 RSA 공개 키 암호화 알고리즘을 사용하여 서명되어 있으면 이 옵션을 선택합니다.

ECDSA-P256

인증서가 256비트 키 강도의 ECDSA(Elliptic Curve Digital Signature Algorithm)를 사용하여 서명되어 있으면 이 옵션을 선택합니다.

ECDSA-P384

인증서가 384비트 키 강도의 ECDSA를 사용하여 서명되어 있으면 이 옵션을 선택합니다.

인증서 저장소 유형

인증서가 있는 저장소를 식별하여 인증서 유형을 지정합니다.

루트 CA(기본값)

인증서가 루트 CA에서 발급되었으며 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 저장되어 있으면 이 옵션을 선택합니다.

중간 CA

인증서가 중간 CA에서 발급되었으며 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 저장되어 있으면 이 옵션을 선택합니다.

계정 매핑에 인증서 사용

IPsec의 인증서와 계정 간 매핑을 사용하는 경우 IKE 및 AuthIP 프로토콜은 인증서를 Active Directory 도메인 또는 포리스트의 사용자 또는 컴퓨터 계정에 연결(매핑)한 다음 보안 그룹 목록을 포함하는 액세스 토큰을 가져옵니다. 이 프로세스를 통해 IPsec 피어에서 제공된 인증서가 도메인의 활성 컴퓨터 또는 사용자 계정과 대응하게 되고, 해당 인증서는 해당 계정이 사용해야 하는 인증서가 됩니다.

인증서와 계정 간의 매핑은 매핑을 수행하는 컴퓨터와 동일한 포리스트에 있는 계정에 대해서만 사용할 수 있습니다. 이렇게 하면 단순히 유효한 인증서 체인을 허용하는 것보다 훨씬 강력한 인증이 제공됩니다. 예를 들어 이 기능을 사용하여 동일한 포리스트 내의 계정만 액세스하도록 제한할 수 있습니다. 하지만 인증서와 계정 간 매핑을 사용할 경우 신뢰할 수 있는 특정 계정의 IPsec 액세스가 허용되도록 할 수는 없습니다.

인증서와 계정 간 매핑은 특히 비즈니스 파트너가 타사 인증서 공급자로부터 인증서를 받은 경우와 같이 AD DS 배포와 통합되어 있지 않은 PKI의 인증서인 경우에 유용합니다. 특정 루트 CA에 대해 인증서를 도메인 계정에 매핑하도록 IPsec 정책 인증 방법을 구성할 수 있습니다. 발급하는 CA의 모든 인증서를 한 컴퓨터 또는 사용자 계정에 매핑할 수도 있습니다. 이렇게 하면 많은 포리스트가 있고 각 포리스트가 하나의 내부 루트 CA 아래에서 자동 등록을 수행하는 환경에서 IKE 인증서 인증을 사용하여 IPsec 액세스가 허용되는 포리스트를 제한할 수 있습니다. 인증서와 계정 간의 매핑 프로세스가 올바르게 완료되지 않으면 인증이 실패하고 IPsec으로 보호되는 연결이 차단됩니다.

추가 참조


목차