주 모드 IKE(Internet Key Exchange) 협상은 두 컴퓨터 간에 ISAKMP(Internet Security Association and Key Management Protocol) SA(보안 연결)라고 하는 보안 채널을 설정합니다. ISAKMP SA는 피어 컴퓨터 간의 후속 키 교환을 보호하는 데 사용되며 빠른 모드 협상이라고 합니다. 보안 채널을 설정하려면 주 모드 협상에서 암호화 보호 그룹 집합을 확인하고 키 자료를 교환하여 공유 비밀 키를 설정하고 컴퓨터 ID를 인증합니다.
주 모드 SA를 모니터링하면 현재 이 컴퓨터에 연결되어 있는 피어 컴퓨터, SA가 설정된 시간, SA 설정에 사용된 보호 그룹에 대한 정보와 기타 정보를 제공할 수 있습니다.
일반 필터
일반 필터는 IP 주소 옵션을 원본 또는 대상 주소로 사용하도록 구성된 IP 필터입니다. IPsec을 사용하면 필터 구성에서 내 IP 주소, DNS 서버, DHCP 서버, WINS 서버 및 기본 게이트웨이 등의 키워드를 사용할 수도 있습니다. 키워드를 사용하면 일반 필터는 IP 보안 모니터링 스냅인에 키워드를 표시합니다. 특정 필터는 키워드를 IP 주소로 확장하여 파생됩니다.
열 추가, 제거 및 정렬
결과 창에서 이러한 열을 기준으로 정렬하고 열을 추가, 제거 및 다시 정렬할 수 있습니다.
- 이름.
- 원본. 패킷 원본의 IP 주소입니다.
- 대상. 패킷 대상의 IP 주소입니다.
- IKE 정책. IPSec 정책 스냅인을 사용하여 만든 IPsec 정책 이름이 아닌 이 일반 필터에 연결된 IKE 정책의 이름입니다. 사용된 암호화 알고리즘 집합 등의 정책 세부 정보는 IKE 정책 항목에서 볼 수 있습니다.
- 인증 방법. 필터에 사용할 수 있는 모든 인증 방법을 우선 순위에 따라 나열한 목록입니다.
- 연결 형식. 이 필터가 적용되는 연결 형식, 로컬 네트워크(LAN), 원격 액세스 또는 모든 네트워크 연결 형식입니다.
특정 필터
특정 필터는 실제로 연결할 원본 또는 대상 컴퓨터의 IP 주소를 사용하여 일반 필터에서 확장됩니다. 예를 들어 내 IP 주소 옵션을 원본 주소로, DHCP 서버 옵션을 대상 주소로 사용하는 필터를 사용하여 연결하면 사용자 컴퓨터의 IP 주소와 이 컴퓨터에서 사용하는 DHCP 서버의 IP 주소가 있는 필터가 만들어집니다.
 | 참고 |
IP 보안 모니터 스냅인에서는 또한 주 모드 폴더가 아닌 빠른 모드 폴더에서 특정 필터 폴더의 DNS 이름으로 IP 주소를 확인할 수 있습니다. |
열 추가, 제거 및 정렬
결과 창에서 이러한 열을 기준으로 정렬하고 열을 추가, 제거 및 다시 정렬할 수 있습니다.
- 이름.
- 원본. 패킷 원본의 IP 주소입니다.
- 대상. 패킷 대상의 IP 주소입니다.
- 방향. 필터가 인바운드 또는 아웃바운드인지 지정합니다.
- IKE 정책. IPSec 정책 스냅인을 사용하여 만든 IPsec 정책 이름이 아닌 IKE 정책의 이름입니다. 사용된 암호화 알고리즘 집합 등의 정책 세부 정보는 IKE 정책 항목에서 볼 수 있습니다.
- 인증 방법. 필터에 사용할 수 있는 모든 인증 방법을 우선 순위에 따라 나열한 목록입니다.
- 가중치. IPsec 서비스에서 필터에 적용하는 우선 순위입니다. 가중치는 여러 가지 요소에서 파생됩니다. 필터 가중치에 대한 자세한 내용은
https://go.microsoft.com/fwlink/?LinkID=62212(페이지는 영문일 수 있음) 를 참조하십시오.
참고 Windows Vista®, Windows Server® 2008 또는 이후 버전의 Windows를 실행하는 컴퓨터의 경우 가중치 속성이 항상 0으로 설정됩니다.
IKE 정책
IKE 정책은 주 모드 키 교환에서 두 대의 피어 컴퓨터가 협상할 수 있는 무결성 또는 암호화 방법을 말합니다.
통계
이 표에서는 주 모드 통계 보기에서 사용할 수 있는 통계를 표시합니다.
| 참고 |
Windows Vista, Windows Server 2008 또는 이후 버전의 Windows를 실행하는 컴퓨터에 이러한 통계 중 일부가 적용되지 않습니다. |
| IKE 통계 | 설명 |
|---|---|
활성 인식 | 인식은 IKE가 작업을 수행하도록 하는 IPSec 드라이버의 요청입니다. 활성 인식 통계에는 해결되지 않은 요청 및 대기 중인 요청 수가 있을 경우 포함됩니다. 일반적으로 활성 인식 수는 1입니다. 부하가 높을 경우 활성 인식 수는 처리 향상을 위해 IKE에서 대기시켜 놓은 요청 수에 1을 더한 값입니다. |
활성 받기 | 처리를 위해 대기시켜 놓은 받은 IKE 메시지 수입니다. |
인식 실패 | 인식에 실패한 횟수입니다. |
수신 실패 | IKE 메시지를 받는 동안 Windows 소켓 WSARecvFrom() 함수가 실패한 횟수입니다. |
전송 실패 | IKE 메시지를 보내는 동안 Windows 소켓 WSASendTo() 함수가 실패한 횟수입니다. |
힙 크기 인식 | 활성 인식을 저장하는 힙 인식 항목 수입니다. 이 숫자는 부하가 높을 때 늘어났다가 시간이 지나면서 힙 인식이 제거됨에 따라 줄어듭니다. |
힙 크기 받기 | 들어오는 IKE 메시지의 IKE 수신 버퍼에 있는 항목 수입니다. |
인증 실패 | 주 모드 협상 중에 발생한 총 ID 인증 실패(Kerberos, 인증서 및 미리 공유한 키) 수입니다. 안전하게 통신하기가 어려울 경우에는 통신을 시도하고 이 통계를 참조하여 이 수가 늘어나는지 여부를 확인합니다. 이 수가 늘어난 경우에는 사용자의 인증 설정에서 일치하지 않는 인증 방법 또는 잘못된 인증 방법 구성(예: 일치하지 않는 미리 공유한 키 사용)이 있는지 확인합니다. |
협상 실패 | 주 모드 또는 빠른 모드 협상 중에 발생한 총 협상 실패 횟수입니다. 안전하게 통신하기가 어려울 경우에는 통신을 시도하고 이 통계를 참조하여 이 수가 늘어나는지 여부를 확인합니다. 이 수가 늘어난 경우에는 사용자의 인증 및 보안 방법 설정에서 일치하지 않는 인증 방법, 잘못된 인증 방법 구성(예: 일치하지 않는 미리 공유한 키 사용) 또는 일치하지 않는 보안 방법이나 설정이 있는지 확인합니다. |
받은 잘못된 쿠키 | 쿠키는 활성 주 모드의 상태를 찾기 위해 IKE에서 사용되는 수신된 IKE 메시지에 들어 있는 값입니다. 활성 주 모드와 일치할 수 없는 수신된 IKE 메시지의 쿠키는 유효하지 않습니다. |
총 인식 | IKE에서 IPSec 드라이버에 제출한 총 작업 요청 수입니다. |
총 SPI 얻기 | 고유한 SPI(보안 매개 변수 색인)를 얻기 위해 IKE에서 IPSec 드라이버에 제출한 총 요청 수입니다. |
추가된 키 | IKE에서 IPSec 드라이버에 추가한 아웃바운드 빠른 모드 SA의 수입니다. |
키 업데이트 | IKE에서 IPSec 드라이버에 추가한 인바운드 빠른 모드 SA의 수입니다. |
SPI 실패 얻기 | 고유 SPI를 얻기 위해 IKE에서 IPSec 드라이버에 제출한 실패한 요청 수입니다. |
키 추가 실패 | IKE에서 IPSec 드라이버에 제출한 실패한 아웃바운드 빠른 모드 SA 추가 요청 수입니다. |
키 업데이트 실패 | IKE에서 IPSec 드라이버에 제출한 실패한 인바운드 빠른 모드 SA 추가 요청 수입니다. |
ISADB 목록 크기 | 협상된 주 모드, 진행 중인 주 모드 및 실패하여 삭제되지 않은 주 모드를 포함한 주 모드 상태 항목 수입니다. |
연결 목록 크기 | 빠른 모드 상태 항목 수입니다. |
IKE 주 모드 | 주 모드 협상 중에 만들어진 총 성공한 SA 수입니다. |
IKE 빠른 모드 | 빠른 모드 협상 중에 만들어진 총 성공한 SA 수입니다. 일반적으로 주 모드 SA마다 여러 개의 빠른 모드 SA가 만들어지므로 이 숫자가 반드시 주 모드 수와 일치하지는 않습니다. |
소프트 연결 | 낮은 수준의 SA(Soft SA)라고도 하는 일반 텍스트를 사용한 총 협상 수입니다. 일반적으로 주 모드 협상 시도에 응답하지 않은 컴퓨터와의 연결 수를 반영합니다. 여기에는 IPsec와 호환되지 않는 컴퓨터와 IPsec와 호환되지만 이 IPsec 피어와 보안을 협상하기 위한 IPsec 정책이 없는 컴퓨터가 모두 포함될 수 있습니다. 낮은 수준의 SA(Soft SA)가 주 모드 및 빠른 모드 협상의 결과는 아니지만 여전히 빠른 모드 SA로 간주됩니다. |
받은 잘못된 패킷 | 잘못된 헤더 필드, 틀린 페이로드 길이 및 응답 컴퓨터 쿠키의 잘못된 값(0으로 설정되어야 함)이 있는 IKE 메시지를 포함하여 받은 잘못된 IKE 메시지 수입니다. 잘못된 IKE 메시지는 일반적으로 재전송된 부실 IKE 메시지 또는 IPSec 피어 간에 일치하지 않는 미리 공유한 키로 인해 표시됩니다. |
| 참고 |
이 통계 중 일부는 네트워크 공격 시도를 검색하는 데 사용할 수 있습니다. |
보안 연결
이 보기는 이 컴퓨터에서 활성 상태인 보안 연결(SA)을 보여줍니다. 보안 연결(SA)은 협상된 키, 보안 프로토콜 및 보안 매개 변수 색인(SPI)의 조합으로 송신 컴퓨터와 수신 컴퓨터 간의 통신 보호에 사용되는 보안을 정의합니다. 따라서 이 컴퓨터의 보안 연결을 살펴보면 이 컴퓨터와 연결된 컴퓨터, 해당 연결에 사용 중인 데이터 무결성 및 암호화 유형, 기타 정보를 확인할 수 있습니다.
IPsec 정책을 테스트하고 액세스 문제를 해결할 때 이 정보가 유용할 수 있습니다.
열 추가, 제거 및 정렬
결과 창에서 이러한 열을 기준으로 정렬하고 열을 추가, 제거 및 다시 정렬할 수 있습니다.
- 이 컴퓨터. 로컬 컴퓨터 IP 주소입니다.
- 내 ID. 로컬 컴퓨터 DNS 이름입니다.
- 피어. 원격 컴퓨터 또는 피어 IP 주소입니다.
- 피어 ID. 원격 컴퓨터 또는 피어 DNS 이름입니다.
- 인증. SA를 만드는 데 사용되는 인증 방법입니다.
- 암호화. 빠른 모드 키 교환을 위해 SA에서 사용하는 암호화 방법입니다.
- 무결성. 빠른 모드 키 교환을 위해 SA에서 사용하는 데이터 무결성 방법입니다.
- Diffie-Hellman. 주 모드 SA를 만드는 데 사용되는 Diffie-Hellman 그룹입니다.