IPsec은 암호화 보안 서비스를 사용하여 IP 네트워크를 통한 보안된 개인 통신을 보장하는 개방형 표준 프레임워크입니다. Microsoft Windows의 IPsec 구현은 IETF(Internet Engineering Task Force) IPsec 작업 그룹에서 개발한 표준을 기반으로 합니다.

IPsec에서는 원본 IP 주소에서 대상 IP 주소에 이르기까지 신뢰와 보안을 설정합니다. 보안할 트래픽에 관해 인식해야 하는 유일한 컴퓨터는 수신 및 송신 컴퓨터입니다. 각 컴퓨터는 통신이 이루어지는 환경이 안전하지 않다는 가정 하에 각 끝 지점에서 보안을 해결합니다. 두 컴퓨터 간에 방화벽 형식의 패킷 필터링 또는 NAT(Network Address Translation)가 수행되지 않으면 원본에서 대상까지 데이터를 라우팅만하는 컴퓨터에는 IPsec을 지원할 필요가 없습니다.

IP 보안 정책 스냅인을 사용하여 이 컴퓨터와 원격 컴퓨터에서 IPsec 정책을 만들고 편집하며 할당할 수 있습니다.

참고

이 설명서는 IP 보안 정책 스냅인을 이해하고 사용하는 데 필요한 정보를 제공하는 것이 목적입니다. 정책 디자인 및 배포에 대한 정보는 이 설명서에서 다루지 않습니다.

IPsec 정책 정보

IPsec 정책은 IPsec 보안 서비스를 구성하는 데 사용됩니다. 이 정책은 대부분의 기존 네트워크에 나타나는 대부분의 트래픽 종류에 대한 다양한 수준의 보호를 제공합니다. 컴퓨터, OU(조직 구성 단위), 도메인, 사이트 또는 글로벌 엔터프라이즈의 보안 요구 사항을 충족하도록 IPsec 정책을 구성할 수 있습니다. 이 버전의 Windows에서 제공된 IP 보안 정책 스냅인을 사용하여 도메인 구성원은 그룹 정책 개체를 통해 컴퓨터의 IPsec 정책을 정의할 수 있으며 도메인 구성원이 아니면 로컬 컴퓨터나 원격 컴퓨터에 대해 정의할 수 있습니다.

중요

IP 보안 정책 스냅인은 Windows Vista 및 이후 버전의 Windows를 실행하는 컴퓨터에 적용할 수 있는 IPsec 정책을 만드는 데 사용할 수 있지만 Windows Vista 및 이후 버전의 Windows에서 사용 가능한 새 보안 알고리즘과 기타 새 기능은 사용하지 않습니다. 이러한 컴퓨터에 대해 IPsec 정책을 만들려면 고급 보안이 포함된 Windows 방화벽 스냅인을 사용합니다. 고급 보안이 포함된 Windows 방화벽 스냅인은 이전 버전의 Windows에 적용할 수 있는 정책을 만들지 않습니다.

IPsec 정책은 일반 IPsec 정책 설정과 규칙으로 구성됩니다. 일반 IPsec 정책 설정은 구성된 규칙에 관계없이 적용됩니다. 이 설정은 정책 이름, 관리 목적의 설명, 키 교환 설정 및 키 교환 방법을 결정합니다. 하나 이상의 IPsec 규칙에 따라 IPsec으로 검사해야 하는 트래픽 종류, 트래픽 처리 방법, IPsec 피어 인증 방법 및 기타 설정이 결정됩니다.

정책을 만들면 도메인, 사이트, OU 및 로컬 수준에 적용할 수 있습니다. 정책은 컴퓨터에서 한 번에 하나만 사용할 수 있습니다. 그룹 정책 개체를 사용하여 배포 및 적용된 정책이 로컬 정책보다 우선합니다.

IPsec 정책 스냅인 작업

이 절에서는 IP 보안 정책 스냅인을 사용하여 수행할 수 있는 가장 일반적인 몇 가지 작업을 설명합니다.

정책 만들기

오직 하나의 컴퓨터와 해당 IPsec 피어에서 정책을 만드는 경우가 아니라면 해당 IT 환경에 맞도록 IPsec 정책 집합을 만들어야 합니다. 정책을 디자인하고 만들고 배포하는 과정은 도메인 크기, 도메인의 컴퓨터 간 동질성 및 기타 요인에 따라 복잡해질 수 있습니다.

일반적으로 진행 과정은 다음과 같습니다.

  1. 해당 환경의 컴퓨터, 서브넷 및 조건과 일치하는 IP 필터 목록을 만듭니다.

  2. 원하는 연결 인증 방법, 적용할 데이터 무결성 및 암호화할 데이터에 해당하는 필터 동작을 만듭니다. 또한 필터 동작은 다른 조건에 관계없이 차단 또는 허용일 수 있습니다. 차단 동작은 다른 동작보다 우선합니다.

  3. 필요한 필터링 및 필터 동작(보안) 요구 사항과 일치하는 정책 집합을 만듭니다.

  4. 먼저 허용차단 필터 동작을 사용하는 정책을 배포한 다음 IPsec 환경에서 이러한 정책에 대한 조정이 필요할 수 있는 문제를 모니터링합니다.

  5. 암호화되지 않은 텍스트 통신으로 변경하는 옵션과 함께 보안 협상 필터 동작을 사용하여 정책을 배포합니다. 이렇게 하면 해당 환경에서 통신을 중단하지 않고 IPsec 작업을 테스트할 수 있습니다.

  6. 정책에 필요한 미세 조정이 모두 끝났으면 암호화되지 않은 텍스트 통신으로의 변경 동작을 바로 제거합니다. 이렇게 하면 연결을 만들기 전에 정책에 대한 인증과 보안이 필요하게 됩니다.

  7. 해당 환경에서 수행되지 않은 통신, 즉 주 모드 협상 실패 통계에서 급격한 증가로 표시될 수 있는 부분을 모니터링합니다.

새 IPsec 정책 만들기

  1. IP 보안 정책 노드를 마우스 오른쪽 단추로 클릭한 다음 IP 보안 정책 만들기를 클릭합니다.

  2. IP 보안 정책 마법사에서 다음을 클릭합니다.

  3. 정책의 이름과 설명(옵션)을 입력하고 다음을 클릭합니다.

  4. 기본 응답 규칙 활성화 확인란을 선택하거나 선택하지 않은 상태로 두고 다음을 클릭합니다.

    참고

    기본 응답 규칙은 Windows XP와 Windows Server 2003 이전 버전에 적용되는 정책에만 사용할 수 있습니다. 이후 버전의 Windows에서는 기본 응답 규칙을 사용할 수 없습니다.

  5. 기본 응답 규칙을 사용하는 경우 인증 방법을 선택하고 다음을 클릭합니다.

    기본 응답 규칙에 대한 자세한 내용은 IPsec 규칙을 참조하십시오.

  6. 속성 편집 확인란을 선택한 상태로 두고 다음을 클릭합니다. 필요한 경우 정책에 규칙을 추가할 수 있습니다.

정책에 규칙 추가 또는 변경

정책 규칙 추가하기

  1. IPsec 정책을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  2. 속성 대화 상자에서 규칙을 만들려면 추가 마법사 사용 확인란 선택을 취소합니다. 마법사를 사용하려면 확인란을 선택한 상태로 둡니다. 추가를 클릭합니다. 다음은 대화 상자를 사용하여 규칙을 만드는 데 필요한 정보입니다.

  3. 새 규칙 속성 대화 상자의 IP 필터 목록 탭에서 해당 필터 목록을 선택하거나 추가를 클릭하여 새 필터 목록을 추가합니다. 필터 목록이 이미 만들어졌으면 IP 필터 목록에 표시됩니다. 필터 목록을 만들고 사용하는 방법은 필터 목록을 참조하십시오.

    참고

    규칙당 필터 목록을 하나만 사용할 수 있습니다.

  4. 필터 동작 탭에서 해당 필터 동작을 선택하거나 추가를 클릭하여 새 필터 동작을 추가합니다. 필터 동작을 만들고 사용하는 방법은 필터 동작을 참조하십시오.

    참고

    규칙당 필터 동작을 하나만 사용할 수 있습니다.

  5. 인증 방법 탭에서 해당 방법을 선택하거나 추가를 클릭하여 새 방법을 추가합니다. 인증 방법을 만들고 사용하는 방법은 IPsec 인증을 참조하십시오.

    참고

    규칙당 여러 가지 방법을 사용할 수 있습니다. 방법은 목록에 나타나는 순서대로 사용됩니다. 인증서를 사용하도록 지정하는 경우에는 사용할 순서대로 목록에 배치합니다.

  6. 연결 형식 탭에서 규칙을 적용할 연결 형식을 선택합니다. 연결 형식에 대한 자세한 내용은 IPsec 연결 형식을 참조하십시오.

  7. 터널을 사용하는 경우 터널 설정 탭에서 끝점을 지정합니다. 기본적으로 터널은 사용되지 않습니다. 터널 사용에 대한 자세한 내용은 IPsec 터널 설정을 참조하십시오. 터널 규칙은 미러링할 수 없습니다.

  8. 모든 설정이 완료되면 확인을 클릭합니다.
정책 규칙 변경하기

  1. IPsec 정책을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  2. 정책 속성 대화 상자에서 규칙을 선택한 다음 편집을 클릭합니다.

  3. 규칙 속성 편집 대화 상자의 IP 필터 목록 탭에서 해당 필터 목록을 선택하거나 추가를 클릭하여 새 필터 목록을 추가합니다. 필터 목록을 만들고 사용하는 방법은 필터 목록을 참조하십시오.

    참고

    규칙당 필터 목록을 하나만 사용할 수 있습니다.

  4. 필터 동작 탭에서 해당 필터 동작을 선택하거나 추가를 클릭하여 새 필터 목록을 추가합니다. 필터 동작을 만들고 사용하는 방법은 필터 동작을 참조하십시오.

    참고

    규칙당 필터 동작을 하나만 사용할 수 있습니다.

  5. 인증 방법 탭에서 해당 방법을 선택하거나 추가를 클릭하여 새 방법을 추가합니다. 인증 방법을 만들고 사용하는 방법은 IPsec 인증을 참조하십시오.

    참고

    규칙당 여러 가지 방법을 사용할 수 있습니다. 방법은 목록에 나타나는 순서대로 사용됩니다.

  6. 연결 형식 탭에서 규칙을 적용할 연결 형식을 선택합니다. 연결 형식에 대한 자세한 내용은 IPsec 연결 형식을 참조하십시오.

  7. 터널을 사용하는 경우 터널 설정 탭에서 끝점을 지정합니다. 기본적으로 터널은 사용되지 않습니다. 터널 사용에 대한 자세한 내용은 IPsec 터널 설정을 참조하십시오.

  8. 모든 설정이 완료되면 확인을 클릭합니다.

정책 할당

이 컴퓨터에 정책 할당하기

  • 정책을 마우스 오른쪽 단추로 클릭한 다음 할당을 클릭합니다.

    참고
    • 정책은 컴퓨터에 한 번에 하나만 할당할 수 있습니다. 다른 정책을 할당하면 현재 할당된 정책의 할당이 자동으로 취소됩니다. 도메인의 그룹 정책에서 이 컴퓨터에 다른 정책을 할당하고 로컬 정책을 무시할 수 있습니다.
    • 컴퓨터 간 IPsec 정책이 성공하기 위해서는 미러링된 정책을 다른 컴퓨터에 만들고 해당 정책을 그 컴퓨터에 할당해야 합니다.
    • 이 정책을 여러 컴퓨터에 할당하려면 그룹 정책을 사용합니다.

참고 항목

목차