네트워크 정책 및 액세스 서비스는 다음 네트워크 연결 솔루션을 제공합니다.

  • NAP(네트워크 액세스 보호). NAP는 클라이언트 상태 정책을 만들고 적용하고 수정하는 기술로서, Windows Vista® 클라이언트 운영 체제와 Windows Server® 2008 운영 체제에 포함되어 있습니다. 시스템 관리자는 NAP를 사용하여 소프트웨어 요구 사항, 보안 업데이트 요구 사항, 필요한 컴퓨터 구성 및 기타 설정을 포함하는 상태 정책을 만들고 자동으로 적용할 수 있습니다. 상태 정책을 준수하지 않는 클라이언트 컴퓨터는 해당 구성이 업데이트되어 정책을 준수할 때까지 네트워크 액세스가 제한될 수 있습니다. 선택하는 NAP 배포 방법에 따라, 사용자가 컴퓨터를 수동으로 업데이트하거나 다시 구성하지 않고도 신속하게 모든 네트워크 액세스 권한을 다시 얻을 수 있도록, 정책을 준수하지 않는 클라이언트를 자동으로 업데이트할 수 있습니다.

  • 보안 무선 및 유선 액세스. 802.1X 무선 액세스 지점을 배포하면 보안 무선 액세스는 무선 사용자에게 쉽게 배포할 수 있는 보안 암호 기반 인증 방법을 제공합니다. 802.1X 인증 스위치를 배포할 경우 유선 액세스는 인트라넷 사용자가 먼저 인증을 받은 후 DHCP를 사용하여 네트워크에 연결하거나 IP 주소를 획득할 수 있도록 하여 네트워크의 보안을 유지할 수 있습니다.

  • 원격 액세스 솔루션. 원격 액세스 솔루션을 사용하면 사용자에게 VPN(가상 사설망) 및 조직의 네트워크에 대한 기존의 전화 접속 액세스를 제공할 수 있습니다. 또한 VPN 솔루션을 사용하여 지점을 네트워크에 연결하고 네트워크에 모든 기능을 갖춘 소프트웨어 라우터를 배포하며 인트라넷에서 인터넷 연결을 공유할 수 있습니다.

  • RADIUS 서버 및 프록시를 통한 중앙 네트워크 정책 관리. 각 네트워크 액세스 서버에 무선 액세스 지점, 802.1X 인증 스위치, VPN 서버 및 전화 접속 서버와 같은 네트워크 액세스 정책을 구성하는 대신 네트워크 연결을 허용할 사용자, 연결할 수 있는 시기 및 네트워크에 연결하기 위해 사용해야 하는 보안 수준을 포함하는 네트워크 연결 요청의 모든 측면을 지정하는 정책을 단일 위치에 만들 수 있습니다.

네트워크 정책 및 액세스 서비스의 역할 서비스

네트워크 정책 및 액세스 서비스를 설치하면 다음 역할 서비스를 사용할 수 있습니다.

  • NPS(네트워크 정책 서버). NPS는 Microsoft에서 구현한 RADIUS 서버 및 프록시입니다. NPS를 사용하면 무선 액세스 지점, VPN 서버, 전화 접속 서버 및 802.1X 인증 스위치를 비롯한 다양한 네트워크 액세스 서버를 통해 중앙에서 네트워크 액세스를 관리할 수 있습니다. 또한 NPS를 사용하여 무선 연결용 PEAP(Protected Extensible Authentication Protocol)-MS-CHAP v2와 함께 보안 암호 인증을 배포할 수 있습니다. 또한 NPS에는 네트워크에 NAP를 배포하기 위한 주요 구성 요소가 포함되어 있습니다.

    NPS 역할 서비스를 설치한 후에 다음 기술을 배포할 수 있습니다.

    • NAP 상태 정책 서버. NPS를 NAP 상태 정책 서버로 구성하면 NPS는 네트워크에서 통신하려는 NAP 가능 클라이언트 컴퓨터가 전송한 SoH(상태 설명)를 평가합니다. 클라이언트 컴퓨터가 구성을 업데이트하여 조직의 네트워크 정책을 준수할 수 있도록 허용하는 NAP 정책을 NPS에서 구성할 수 있습니다.

    • IEEE 802.11 무선. NPS MMC 스냅인을 사용하여 IEEE 802.11 무선 클라이언트 네트워크 액세스에 대한 802.1X 기반 연결 요청 정책을 구성할 수 있습니다. 또한 NPS에서 무선 액세스 지점을 RADIUS(Remote Authentication Dial-In User Service) 클라이언트로 구성하고 NPS를 RADIUS 서버로 사용하여 연결 요청을 처리하며 802.11 무선 연결에 대한 인증, 권한 부여 및 계정을 수행할 수 있습니다. 무선 802.1X 인증 인프라를 배포할 때 IEEE 802.11 무선 액세스를 NAP와 완벽하게 통합하여 클라이언트가 네트워크에 연결하기 전에 상태 정책에 대해 무선 클라이언트의 상태를 확인할 수 있습니다.

    • IEEE 802.3 유선. NPS MMC 스냅인을 사용하여 IEEE 802.3 유선 클라이언트 이더넷 네트워크 액세스에 대한 802.1X 기반 연결 요청 정책을 구성할 수 있습니다. 또한 NPS에서 802.1X 호환 스위치를 RADIUS 클라이언트로 구성하고 NPS를 RADIUS 서버로 사용하여 연결 요청을 처리하며 802.3 이더넷 연결에 대한 인증, 권한 부여 및 계정을 수행할 수 있습니다. 유선 802.1X 인증 인프라를 배포할 때 IEEE 802.3 유선 클라이언트 액세스를 NAP와 완전하게 통합할 수 있습니다.

    • RADIUS 서버. NPS는 무선, 인증 스위치, 원격 액세스 전화 접속 및 VPN 연결에 대해 중앙 집중식 연결 인증, 권한 부여 및 계정을 수행합니다. NPS를 RADIUS 서버로 사용할 경우 무선 액세스 지점 및 VPN 서버와 같은 네트워크 액세스 서버를 NPS에서 RADIUS 클라이언트로 구성할 수 있습니다. 또한 NPS가 연결 요청을 허가하기 위해 사용하는 네트워크 정책을 구성할 수 있으며 NPS가 로컬 하드 디스크의 로그 파일이나 Microsoft® SQL Server™ 데이터베이스에 계정 정보를 기록하도록 RADIUS 계정을 구성할 수 있습니다.

    • RADIUS 프록시. NPS를 RADIUS 프록시로 사용하면 다른 RADIUS 서버에 전달할 연결 요청과 연결 요청을 전달하려는 RADIUS 서버를 NPS 서버에 알리는 연결 요청 정책을 구성할 수 있습니다. 또한 원격 RADIUS 서버 그룹에 있는 하나 이상의 컴퓨터에서 기록할 계정 데이터를 전달하도록 NPS를 구성할 수도 있습니다.

  • 라우팅 및 원격 액세스. 라우팅 및 원격 액세스를 사용하여 VPN 및 전화 접속 원격 액세스 서비스와 다중 프로토콜 LAN-to-LAN, LAN-to-WAN, VPN, NAT(Network Address Translation) 라우팅 서비스를 배포할 수 있습니다.

    라우팅 및 원격 액세스 역할 서비스를 설치하는 동안 다음 기술을 배포할 수 있습니다.

    • 원격 액세스 서비스. 라우팅 및 원격 액세스를 사용하여 IPsec(인터넷 프로토콜 보안) VPN 연결을 통해 PPTP(지점 간 터널링 프로토콜), SSTP(Secure Socket Tunneling Protocol) 또는 L2TP(Layer Two Tunneling Protocol)를 배포하여 최종 사용자에게 조직의 네트워크에 대한 원격 액세스를 제공할 수 있습니다. 서로 다른 위치에 있는 두 서버 간에 사이트 간 VPN 연결을 만들 수도 있습니다. 각 서버는 개인 데이터를 안전하게 전송하기 위해 라우팅 및 원격 액세스로 구성됩니다. 두 서버 간의 연결은 영구적(항상 설정)이거나 주문형(필요 시 전화 접속)일 수 있습니다.

      원격 액세스는 또한 조직의 인트라넷에 전화로 접속하는 모바일 사용자 또는 개인 사용자를 지원하기 위해 기존 전화 접속 원격 액세스를 제공합니다. 라우팅 및 원격 액세스를 실행하는 서버에 설치된 전화 접속 장치는 전화 접속 네트워킹 클라이언트에서 들어오는 연결 요청에 응답합니다. 원격 액세스 서버는 호출에 응답하고 호출자를 인증하고 권한을 부여하며 전화 접속 네트워킹 클라이언트와 조직 인트라넷 간에 데이터를 전송합니다.

    • 라우팅. 라우팅은 라우팅 및 인터네트워킹을 위해 완전한 기능을 갖춘 소프트웨어 라우터 및 개방형 플랫폼을 제공합니다. 또한 LAN(Local Area Network) 및 WAN(Wide Area Network) 환경에 있는 사업체에 라우팅 서비스를 제공합니다.

      NAT를 배포하면 라우팅 및 원격 액세스를 실행하는 서버가 사설망의 컴퓨터와 인터넷 연결을 공유하고 해당 공용 주소와 사설망 간 트래픽을 변환하도록 구성됩니다. NAT가 구성된 라우터는 사설망 클라이언트에서 요청하지 않았거나 트래픽이 명시적으로 허용된 경우가 아니면 인터넷에서 사설망으로 트래픽을 전달하지 않으므로, NAT를 사용하면 사설망의 컴퓨터에서 어느 정도의 보호 효과를 얻을 수 있습니다.

      VPN 및 NAT를 배포하면 라우팅 및 원격 액세스를 실행하는 서버가 사설망에 NAT를 제공하고 VPN 연결을 허용하도록 구성됩니다. 인터넷에 연결된 컴퓨터는 사설망에 있는 컴퓨터의 IP 주소를 확인할 수 없습니다. 그러나 VPN 클라이언트는 실제로 동일한 네트워크에 연결되어 있는 것처럼 사설망의 컴퓨터에 연결할 수 있습니다.

  • HRA(상태 등록 기관). HRA는 NPS가 클라이언트 SoH를 사용하여 수행하는 상태 정책 확인을 통과한 클라이언트에 상태 인증서를 발급하는 NAP 구성 요소입니다. HRA는 NAP IPsec 적용 방법에만 사용됩니다.

  • HCAP(Host Credential Authorization Protocol). HCAP를 사용하여 Microsoft NAP 솔루션을 Cisco Network Access Control Server와 통합할 수 있습니다. NPS 및 NAP와 함께 HCAP를 배포하면 NPS는 Cisco 802.1X 액세스 클라이언트에 대한 클라이언트 상태 평가 및 권한 부여를 수행할 수 있습니다.

네트워크 정책 및 액세스 서비스 서버 역할 관리

네트워크 정책 및 액세스 서비스 서버 역할을 관리할 수 있도록 다음 도구가 제공됩니다.

  • NPS MMC 스냅인. NPS MMC를 사용하여 RADIUS 서버, RADIUS 프록시 또는 NAP 기술을 구성할 수 있습니다.

  • NPS를 위한 Netsh 명령. NPS를 위한 Netsh 명령은 NPS MMC 스냅인을 통해 사용할 수 있는 모든 구성 설정과 완전히 동일한 명령 모음을 제공합니다. Netsh 명령은 Netsh 프롬프트 또는 관리자 스크립트에서 수동으로 실행할 수 있습니다.

  • HRA MMC 스냅인. HRA MMC를 사용하여 CA(인증 기관)를 지정할 수 있는데, HRA는 이 CA를 사용하여 클라이언트 컴퓨터에 대한 상태 인증서를 얻고 상태 정책에 대한 검증을 위해 클라이언트 SoH를 보낼 NPS 서버를 정의합니다.

  • HRA를 위한 Netsh 명령. HRA를 위한 Netsh 명령은 HRA MMC 스냅인을 통해 사용할 수 있는 모든 구성 설정과 완전히 동일한 명령 모음을 제공합니다. Netsh 명령은 Netsh 프롬프트 또는 관리자 작성 스크립트에서 수동으로 실행할 수 있습니다.

  • NAP 클라이언트 관리 MMC 스냅인. NAP 클라이언트 관리 스냅인을 사용하여 NAP 아키텍처를 지원하는 클라이언트 컴퓨터에서 보안 설정 및 사용자 인터페이스 설정을 구성할 수 있습니다.

  • NAP 클라이언트 설정 구성을 위한 Netsh 명령. NAP 클라이언트 설정을 위한 Netsh 명령은 NAP 클라이언트 관리 스냅인을 통해 사용할 수 있는 모든 구성 설정과 완전히 동일한 명령 모음을 제공합니다. Netsh 명령은 Netsh 프롬프트 또는 관리자 작성 스크립트에서 수동으로 실행할 수 있습니다.

  • 라우팅 및 원격 액세스 MMC 스냅인. 이 MMC 스냅인을 사용하여 VPN 서버, 전화 접속 네트워킹 서버, 라우터, NAT, VPN 및 NAT 또는 VPN 사이트 간 연결을 구성할 수 있습니다.

  • 원격 액세스를 위한 Netsh 명령. 원격 액세스를 위한 Netsh 명령은 라우팅 및 원격 액세스 MMC 스냅인을 통해 사용할 수 있는 모든 원격 액세스 구성 설정과 완전히 동일한 명령 모음을 제공합니다. Netsh 명령은 Netsh 프롬프트 또는 관리자 스크립트에서 수동으로 실행할 수 있습니다.

  • 라우팅을 위한 Netsh 명령. 라우팅을 위한 Netsh 명령은 라우팅 및 원격 액세스 MMC 스냅인을 통해 사용할 수 있는 모든 라우팅 구성 설정과 완전히 동일한 명령 모음을 제공합니다. Netsh 명령은 Netsh 프롬프트 또는 관리자 스크립트에서 수동으로 실행할 수 있습니다.

  • 무선 네트워크(IEEE 802.11) 정책 - GPMC(그룹 정책 관리 콘솔). 무선 네트워크(IEEE 802.11) 정책 확장은 WLAN Autoconfig(무선 LAN 자동 구성) 서비스를 지원하는 무선 네트워크 어댑터 드라이버로 컴퓨터의 무선 네트워크 설정 구성을 자동화합니다. 그룹 정책 관리 콘솔의 무선 네트워크(IEEE 802.11) 정책 확장을 사용하여 Windows XP 및/또는 Windows Vista 무선 클라이언트에 대해 구성 설정을 지정할 수 있습니다. 무선 네트워크(IEEE 802.11) 정책 그룹 정책 확장에는 글로벌 무선 설정, 기본 설정 네트워크 목록, WPA(Wi-Fi 보호 액세스) 설정 및 IEEE 802.1X 설정이 포함됩니다.

    이러한 설정은 구성 시 도메인의 구성원인 Windows 무선 클라이언트로 다운로드됩니다. 이 정책에 의해 구성된 무선 설정은 컴퓨터 구성 그룹 정책의 일부입니다. 기본적으로 무선 네트워크(IEEE 802.11) 정책은 구성되어 있지 않으며 사용되지도 않습니다.

  • 무선 LAN(Local Area Network)을 위한 Netsh 명령. Netsh WLAN을 그룹 정책 대신 사용하여 Windows Vista 무선 연결 및 보안 설정을 구성할 수 있습니다. Netsh wlan 명령을 사용하여 로컬 컴퓨터를 구성하거나 로그온 스크립트를 사용하여 여러 컴퓨터를 구성할 수 있습니다. 또한 Netsh wlan 명령을 사용하여 무선 그룹 정책 설정을 보고 WISP(무선 인터넷 서비스 공급자) 및 사용자 무선 설정을 관리할 수 있습니다.

    무선 Netsh 인터페이스는 다음과 같은 이점을 제공합니다.

    • 혼합 모드 지원: 관리자는 여러 보안 옵션을 지원하도록 클라이언트를 구성할 수 있습니다. 예를 들어, WPA2 및 WPA 인증 표준을 모두 지원하도록 클라이언트를 구성할 수 있습니다. 이렇게 하면 클라이언트가 WPA2를 사용하여 WPA2를 지원하는 네트워크에 연결하고 WPA를 사용하여 WPA만 지원하는 네트워크에 연결할 수 있습니다.

    • 원치 않는 네트워크 차단: 관리자가 거부된 네트워크 목록에 네트워크 또는 네트워크 종류를 추가하여 회사 이외의 무선 네트워크에 대한 액세스를 차단하고 숨길 수 있습니다. 마찬가지로 관리자는 회사 무선 네트워크에 대한 액세스를 허용할 수 있습니다.

  • 유선 네트워크(IEEE 802.3) 정책 - GPMC(그룹 정책 관리 콘솔). 유선 네트워크(IEEE 802.3) 정책을 사용하여 유선 자동 구성 서비스를 지원하는 네트워크 어댑터 및 드라이버가 장착된 Windows Vista 클라이언트의 구성 설정을 지정하고 수정할 수 있습니다. 무선 네트워크(IEEE 802.11) 정책 그룹 정책 확장에는 글로벌 유선 및 IEEE 802.1X 설정이 포함됩니다. 이러한 설정에는 일반 탭 및 보안 탭과 관련된 전체 유선 구성 항목 모음이 포함됩니다.

    이러한 설정은 구성 시 도메인의 구성원인 Windows 무선 클라이언트로 다운로드됩니다. 이 정책에 의해 구성된 무선 설정은 컴퓨터 구성 그룹 정책의 일부입니다. 기본적으로 유선 네트워크(IEEE 802.3) 정책은 구성되어 있지 않으며 사용되지도 않습니다.

  • 유선 LAN(Local Area Network)을 위한 Netsh 명령. Netsh LAN 인터페이스를 Windows Server 2008의 그룹 정책 대신 사용하여 Windows Vista 유선 연결 및 보안 설정을 구성할 수 있습니다. Netsh LAN 명령줄을 사용하여 로컬 컴퓨터를 구성하거나 로그온 스크립트의 명령을 사용하여 여러 컴퓨터를 구성할 수 있습니다. 또한 Netsh lan 명령을 사용하여 유선 네트워크(IEEE 802.3) 정책을 보고 클라이언트 유선 1x 설정을 관리할 수 있습니다.

추가 리소스

네트워크 정책 및 액세스 서비스에 대한 자세한 내용을 보려면 다음 MMC 스냅인 중 하나를 열고 F1 키를 눌러 도움말을 표시합니다.

  • NPS MMC 스냅인

  • 라우팅 및 원격 액세스 MMC 스냅인

  • HRA MMC 스냅인

목차