SCW(소프트웨어 구성 마법사)를 사용하여 이 컴퓨터와 프로그램, 시스템 서비스, 컴퓨터 또는 사용자 간에 트래픽을 보내고 받을 수 있도록 하는 방화벽 규칙을 만들 수 있습니다. 규칙의 조건과 일치하는 모든 연결에 대해 연결 허용, IPsec(인터넷 프로토콜 보안)을 사용하여 보안이 설정된 연결만 허용, 연결을 명시적으로 차단의 세 가지 작업 중 하나를 수행하도록 방화벽 규칙을 만들 수 있습니다.
 | 중요 |
|
방화벽 규칙은 방화벽을 통한 트래픽을 허용하지만 해당 트래픽에 보안을 설정하지는 않습니다. IPsec을 사용하여 트래픽에 보안을 설정하려면 연결 보안 규칙을 만듭니다. 단, 연결 보안 규칙을 만들면 방화벽을 통한 트래픽은 허용되지 않습니다. 방화벽의 기본 동작에 의해 트래픽이 허용되지 않을 경우 이를 수행하는 방화벽 규칙을 만들어야 합니다. 연결 보안 규칙은 프로그램이나 서비스에는 적용되지 않으며 두 컴퓨터 간에 적용됩니다. 연결 보안 규칙을 만들려면 고급 보안이 포함된 Windows 방화벽 스냅인(FW.msc)을 사용해야 합니다. |
일반 탭
인바운드 트래픽이나 아웃바운드 트래픽에 대한 규칙을 만들 수 있으며 프로그램, 서비스, 프로토콜 또는 포트를 지정하도록 규칙을 구성할 수 있습니다. IT 환경의 변화에 맞춰서 규칙을 변경하거나 만들거나 삭제할 수 있습니다.
방화벽 규칙은 다음과 같은 우선 순위로 적용됩니다.
-
인증된 무시(차단 규칙을 무시하는 규칙)
-
연결 차단
-
연결 허용
인바운드 규칙
인바운드 규칙은 규칙의 조건과 일치하는 컴퓨터에 액세스하려는 트래픽을 명시적으로 허용하거나 차단합니다. 예를 들어 방화벽을 통해 원격 데스크톱에 대한 IPsec을 사용하여 보안이 설정된 트래픽은 명시적으로 허용하지만 IPsec으로 보안이 설정되지 않은 동일한 트래픽은 차단하도록 규칙을 구성할 수 있습니다. Windows를 처음 설치하면 인바운드 트래픽이 차단됩니다. 트래픽을 허용하려면 인바운드 규칙을 만들어야 합니다.
아웃바운드 규칙
아웃바운드 규칙은 규칙의 조건과 일치하는 컴퓨터에서 시작되는 트래픽을 명시적으로 허용하거나 차단합니다. 예를 들어 방화벽을 통해 특정 컴퓨터에 대한 아웃바운드 트래픽을 명시적으로 차단하지만 다른 컴퓨터에 대한 동일한 트래픽은 허용하도록 규칙을 구성할 수 있습니다. 아웃바운드 트래픽은 기본적으로 허용되므로 트래픽을 차단하는 아웃바운드 규칙을 만들어야 합니다.
프로그램 및 서비스 탭
고급 보안이 포함된 Windows 방화벽은 들어오는 TCP/IP 트래픽 중 원치 않는 트래픽을 기본적으로 모두 차단하므로 서버, 수신기 또는 피어로 사용되는 서비스나 프로그램에 대한 프로그램, 포트 및 시스템 서비스 규칙을 구성해야 할 수도 있습니다. 서버 역할이나 구성이 변경됨에 따라 프로그램, 포트 및 시스템 서비스 규칙을 지속적으로 관리해야 합니다.
| 중요 |
|
방화벽 규칙에 대한 설정을 사용하면 연결 요청과 일치하는 규칙 조건에 대한 제한이 강화됩니다. 예를 들어 프로그램 및 서비스 탭에서 프로그램이나 서비스를 지정하지 않으면 다른 조건과 일치하는 모든 프로그램과 서비스의 연결이 허용됩니다. 따라서 더 자세한 조건을 추가하면 규칙의 제한이 점차 강화되므로 규칙과 일치할 가능성은 더 적어집니다. |
규칙 목록에 프로그램을 추가하려면 프로그램에서 사용하는 실행 파일(.exe)의 전체 경로를 지정해야 합니다. 자체의 고유한 .exe 파일 내에서 실행되며 서비스 컨테이너에서 호스트되지 않는 시스템 서비스는 프로그램으로 간주되고, 규칙 목록에 추가할 수 있습니다. 마찬가지로 시스템 서비스처럼 작동하고 사용자가 컴퓨터에 로그온되어 있는지 여부에 관계없이 실행되는 프로그램도 자체의 고유한 .exe 파일 내에서 실행되는 경우 프로그램으로 간주됩니다.
 | 주의 |
|
서비스를 호스트하는 Svchost.exe, Dllhost.exe, Inetinfo.exe 같은 프로그램을 더 이상의 규칙 제한 없이 규칙 목록에 추가하면 컴퓨터가 보안 위협에 노출될 수 있습니다. 또한 이러한 프로그램을 추가하면 Windows Server 2008 R2 또는 Windows Server 2008을 실행하는 컴퓨터의 다른 서비스 보안 강화 정책과 충돌할 수 있습니다. |
규칙 목록에 프로그램을 추가하면 고급 보안이 포함된 Windows 방화벽에서 프로그램에 필요한 포트를 동적으로 열고(차단 해제) 닫습니다(차단). 프로그램이 실행 중이며, 들어오는 트래픽의 수신을 대기 중인 경우에는 고급 보안이 포함된 Windows 방화벽에서 필요한 포트를 엽니다. 프로그램이 실행 중이 아니고 들어오는 트래픽의 수신을 대기 중이 아닌 경우에는 고급 보안이 포함된 Windows 방화벽이 포트를 닫습니다. 이러한 동적인 동작 때문에 고급 보안이 포함된 Windows 방화벽을 통해 원치 않는 트래픽이 들어오며, 이러한 트래픽을 허용하려면 규칙 목록에 프로그램을 추가하는 것이 좋습니다.
 | 참고 |
|
프로그램에서 Winsock(Windows 소켓)을 사용하여 포트 할당을 만드는 경우에만 고급 보안이 포함된 Windows 방화벽을 통해 들어오는 원치 않는 트래픽을 허용하는 프로그램 규칙을 사용할 수 있습니다. 프로그램에서 포트를 할당하는 데 Winsock을 사용하지 않는 경우에는 프로그램에서 사용할 포트를 결정하고 해당 포트를 규칙 목록에 추가해야 합니다. |
프로토콜 및 포트 탭
규칙 목록에 프로그램 또는 시스템 서비스를 추가할 수 없는 경우 프로그램 또는 시스템 서비스에서 사용하는 포트를 결정하여 고급 보안이 포함된 Windows 방화벽 규칙 목록에 추가해야 합니다.
프로토콜 및 포트 탭에 있는 가장 일반적으로 사용되는 프로토콜 및 관련 프로토콜 번호 목록에서 선택할 수 있습니다. 추가해야 할 프로토콜이 목록에 없으면 사용자 지정을 선택하고 프로토콜 번호를 지정할 수 있습니다.
TCP 또는 UDP 프로토콜을 선택한 경우 규칙을 적용할 로컬 및 원격 포트를 지정할 수 있습니다. 규칙 목록에 TCP 또는 UDP 포트를 추가하면 고급 보안이 포함된 Windows 방화벽이 실행될 때마다 해당 포트에서 들어오는 트래픽을 수신 대기하는 프로그램 또는 시스템 서비스가 있는지 여부에 관계없이 포트가 열립니다(차단 해제). 따라서 고급 보안이 포함된 Windows 방화벽을 통해 들어오는 원치 않는 트래픽을 허용해야 할 경우에는 포트 규칙 대신 프로그램 규칙을 만들어야 합니다.
범위 탭
범위 탭을 사용하여 IP 주소, 서브넷 또는 IP 주소 범위를 지정할 수 있습니다. IPv4 및 IPv6 IP 주소를 모두 사용할 수 있습니다.
로컬 IP 주소
로컬 IP 주소에서는 대상 컴퓨터가 로컬 컴퓨터인 경우 적용할 방화벽 규칙을 구성할 수 있습니다. 또한 네트워크의 특정 분기에 있는 컴퓨터에 규칙을 적용하기 위해 IP 주소 또는 IP 주소 범위를 지정하여 로컬 컴퓨터에 규칙을 적용할 시기를 식별할 수 있습니다.
원격 IP 주소
원격 IP 주소에서는 대상 컴퓨터가 원격 컴퓨터인 경우 적용할 방화벽 규칙을 구성할 수 있습니다. 또한 네트워크의 특정 분기에 있는 컴퓨터에 규칙을 적용하기 위해 IP 주소 또는 IP 주소 범위를 지정하여 원격 컴퓨터에 규칙을 적용할 시기를 식별할 수 있습니다.
IP 주소 지정 정보
-
IPv4. 네트워크에서 IPv4 주소 지정을 사용하는 경우 172.30.160.169와 같은 단일 IP 주소나 146.53.0.0/24와 같은 서브넷을 지정할 수 있습니다.
-
IPv6. 네트워크에서 IPv6 주소 지정을 사용하는 경우 콜론으로 구분된 4자리 16진수 8개 집합(또는 허용되는 동등한 형식) 또는 서브넷으로 단일 IP 주소를 지정할 수 있습니다.
-
두 형식 모두에서 주소 범위를 지정하려면 규칙에 포함된 첫 번째(시작) IP 주소와 마지막(끝) IP 주소를 지정하면 됩니다.