빠른 모드(2단계라고도 함) IKE 협상은 두 컴퓨터 간에 보안 채널을 설정하여 데이터를 보호합니다. 이 단계는 IPsec 서비스 대신 협상되는 SA(보안 연결) 설정과 관련이 있기 때문에 빠른 모드 중에 만들어진 SA를 IPsec SA라고 합니다. 빠른 모드 중에 키 자료가 새로 고쳐지거나 필요한 경우 새 키가 생성됩니다. 지정된 IP 트래픽을 보호하는 보호 그룹도 선택됩니다. 보호 그룹은 정의된 데이터 무결성 또는 데이터 암호화 설정 집합입니다. 빠른 모드는 주 모드 교환에 종속되기 때문에 완전한 교환으로 간주되지 않습니다.
빠른 모드 SA 모니터링은 현재 이 컴퓨터에 연결되어 있는 피어와 SA 설정에 사용된 보호 그룹에 대한 정보 및 기타 정보를 제공할 수 있습니다.
일반 필터
일반 필터는 IP 주소 옵션을 원본 또는 대상 주소로 사용하도록 구성된 IP 필터입니다. IPsec을 사용하면 필터 구성에서 내 IP 주소, DNS 서버, DHCP 서버, WINS 서버 및 기본 게이트웨이 등의 키워드를 사용할 수도 있습니다. 키워드를 사용하면 일반 필터는 IP 보안 모니터링 스냅인에 키워드를 표시합니다. 특정 필터는 키워드를 IP 주소로 확장하여 일반 필터에서 파생됩니다.
열 추가, 제거 및 정렬
결과 창에서 이러한 열을 기준으로 정렬하고 열을 추가, 제거 및 다시 정렬할 수 있습니다.
- 이름.
- 원본. 패킷 원본의 IP 주소입니다.
- 대상. 패킷 대상의 IP 주소입니다.
- 원본 포트. 패킷 원본의 TCP 또는 UDP 포트입니다.
- 대상 포트. 패킷 대상의 TCP 또는 UDP 포트입니다.
- 원본 터널 끝점. 지정된 경우 로컬 컴퓨터와 가장 가까운 터널 끝점입니다.
- 대상 터널 끝점. 지정된 경우 대상 컴퓨터와 가장 가까운 터널 끝점입니다.
- 프로토콜. 필터에 지정된 프로토콜입니다.
- 인바운드 동작. 인바운드 트래픽의 허용, 차단 여부 또는 보안 협상 동작을 사용하는지를 나타냅니다.
- 아웃바운드 동작. 아웃바운드 트래픽의 허용, 차단 여부 또는 보안 협상 동작을 사용하는지를 나타냅니다.
- 협상 정책. 빠른 모드 협상 정책의 이름 또는 암호화 설정입니다.
- 연결 형식. 이 필터가 적용되는 연결 형식, 로컬 네트워크(LAN), 원격 액세스 또는 모든 네트워크 연결 형식입니다.
특정 필터
특정 필터는 실제로 연결할 원본 또는 대상 컴퓨터의 IP 주소를 사용하여 일반 필터에서 확장됩니다. 예를 들어 내 IP 주소 옵션을 원본 주소로, DHCP 서버 옵션을 대상 주소로 사용하는 필터를 사용하여 연결하면 사용자 컴퓨터의 IP 주소와 이 컴퓨터에서 사용하는 DHCP 서버의 IP 주소가 있는 필터가 만들어집니다.
열 추가, 제거 및 정렬
결과 창에서 이러한 열을 기준으로 정렬하고 열을 추가, 제거 및 다시 정렬할 수 있습니다.
- 이름.
- 원본. 패킷 원본의 IP 주소입니다.
- 대상. 패킷 대상의 IP 주소입니다.
- 원본 포트. 패킷 원본의 TCP 또는 UDP 포트입니다.
- 대상 포트. 패킷 대상의 TCP 또는 UDP 포트입니다.
- 원본 터널 끝점. 지정된 경우 로컬 컴퓨터와 가장 가까운 터널 끝점입니다.
- 대상 터널 끝점. 지정된 경우 대상 컴퓨터와 가장 가까운 터널 끝점입니다.
- 프로토콜. 필터에 지정된 프로토콜입니다.
- 인바운드 동작. 인바운드 트래픽의 허용, 차단 여부 또는 보안 협상 동작을 사용하는지를 나타냅니다.
- 아웃바운드 동작. 아웃바운드 트래픽의 허용, 차단 여부 또는 보안 협상 동작을 사용하는지를 나타냅니다.
- 협상 정책. 빠른 모드 협상 정책의 이름 또는 암호화 설정입니다.
- 가중치. IPsec 서비스에서 필터에 적용하는 우선 순위입니다. 가중치는 여러 가지 요소에서 파생됩니다. 필터 가중치에 대한 자세한 내용은
https://go.microsoft.com/fwlink/?LinkID=62212(페이지는 영문일 수 있음) 를 참조하십시오.
참고 Windows Vista®, Windows Server® 2008 또는 이후 버전의 Windows를 실행하는 컴퓨터의 경우 가중치 속성이 항상 0으로 설정됩니다.
협상 정책
협상 정책은 빠른 모드 협상 중에 두 대의 피어 컴퓨터가 서로 통신할 때 사용하기로 동의한 보안 방법 우선 순위입니다.
통계
이 표에는 빠른 모드 통계 보기에서 사용할 수 있는 통계가 나와 있습니다.
IPSec 통계 | 설명 |
---|---|
활성 보안 연결 | 활성 IPSec SA의 수입니다. |
오프로드된 보안 연결 | 하드웨어로 오프로드된 활성 IPSec SA의 수입니다. |
보류 중인 키 작동 | 진행 중인 IPSec 키 작동의 수입니다. |
추가된 키 | 성공한 총 IPSec SA 협상 수입니다. |
키 삭제 | IPSec SA에 대한 키 삭제 수입니다. |
키 다시 대조 | IPSec SA에 대한 키 다시 대조 작동 수입니다. |
활성 터널 | 활성 IPSec 터널의 수입니다. |
불량 SPI 패킷 | 보안 매개 변수 색인(SPI)이 올바르지 않은 총 패킷 수입니다. SPI는 인바운드 패킷을 SA와 일치시키는 데 사용됩니다. SPI가 올바르지 않으면 인바운드 SA가 만료되고 이전 SPI를 사용하는 패킷이 최근에 도착했음을 의미할 수도 있습니다. 이 숫자는 키를 다시 대조하는 간격이 짧고 SA 수가 많을 경우 늘어날 수 있습니다. SA는 정상 조건에서 만료되므로 불량 SPI 패킷이 반드시 IPsec 실패를 의미하지는 않습니다. |
해독되지 않은 패킷 | 해독하지 못한 총 패킷 수입니다. 이 실패는 SA가 만료된 패킷이 도착했음을 나타낼 수도 있습니다. SA가 만료되면 패킷 해독에 사용된 세션 키도 삭제됩니다. 이 실패가 반드시 IPsec 실패를 나타내는 것은 아닙니다. |
인증되지 않은 패킷 | 데이터를 확인할 수 없는 총 패킷 수입니다. 이 실패는 대개 만료된 SA로 인해 발생합니다. |
재생 검색 가능한 패킷 | 유효한 시퀀스 번호 필드가 있는 총 패킷 수입니다. |
보낸 기밀 바이트 | ESP 프로토콜을 사용하여 보낸 총 바이트 수입니다. |
받은 기밀 바이트 | ESP 프로토콜을 사용하여 받은 총 바이트 수입니다. |
보낸 인증 바이트 | AH 프로토콜을 사용하여 보낸 총 바이트 수입니다. |
받은 인증 바이트 | AH 프로토콜을 사용하여 받은 총 바이트 수입니다. |
보낸 전송 바이트 | IPSec 전송 모드를 사용하여 보낸 총 바이트 수입니다. |
받은 전송 바이트 | IPSec 전송 모드를 사용하여 받은 총 바이트 수입니다. |
터널로 보낸 바이트 | IPSec 터널 모드를 사용하여 보낸 총 바이트 수입니다. |
터널로 받은 바이트 | IPSec 터널 모드를 사용하여 받은 총 바이트 수입니다. |
보낸 오프로드된 바이트 | 하드웨어 오프로드를 사용하여 보낸 총 바이트 수입니다. |
받은 오프로드된 바이트 | 하드웨어 오프로드를 사용하여 받은 총 바이트 수입니다. |
참고 | |
이 통계 중 일부는 네트워크 공격 시도를 검색하는 데 사용할 수 있습니다. |
보안 연결
이 보기는 이 컴퓨터에서 활성 상태인 보안 연결(SA)을 보여줍니다. 보안 연결(SA)은 협상된 키, 보안 프로토콜 및 보안 매개 변수 색인(SPI)의 조합으로 송신 컴퓨터와 수신 컴퓨터 간의 통신 보호에 사용되는 보안을 정의합니다. 따라서 이 컴퓨터의 보안 연결을 살펴보면 이 컴퓨터와 연결된 컴퓨터, 해당 연결에 사용 중인 데이터 무결성 및 암호화 유형, 기타 정보를 확인할 수 있습니다.
IPsec 정책을 테스트하고 액세스 문제를 해결할 때 이 정보가 유용할 수 있습니다.
열 추가, 제거 및 정렬
결과 창에서 이러한 열을 기준으로 정렬하고 열을 추가, 제거 및 다시 정렬할 수 있습니다.
- 이 컴퓨터. 로컬 컴퓨터의 IP 주소입니다.
- 피어. 원격 컴퓨터의 IP 주소입니다.
- 프로토콜. 필터에 지정된 프로토콜입니다.
- 내 포트. 필터에 지정된 로컬 컴퓨터의 TCP 또는 UDP 포트입니다.
- 피어 포트. 필터에 지정된 원격 컴퓨터의 TCP 또는 UDP 포트입니다.
- 협상 정책. 빠른 모드 협상 정책의 이름 또는 암호화 설정입니다.
- AH 무결성. 피어 통신에 사용되는 AH 프로토콜 관련 데이터 무결성 방법입니다.
- ESP 기밀성. 피어 통신에 사용되는 ESP 프로토콜 관련 암호화 방법입니다.
- ESP 무결성. 피어 통신에 사용되는 ESP 프로토콜 관련 데이터 무결성 방법입니다.
- 내 터널 끝점. 지정된 경우 로컬 컴퓨터와 가장 가까운 터널 끝점입니다.
- 피어 터널 끝점. 지정된 경우 로컬 컴퓨터와 가장 가까운 터널 끝점입니다.