만일 소규모 네트웍인 경우, Windwos XP SP2 나 Windows Server 2003 SP1에 내장된 Windows Firewall은 좋은 도구일수 있다.
1. 제어판에 다음과 같이 방화벽을 On 설정한다.
2. 서버의 경우 외부나 특정 호스트/서브넷 및 포트로의 접근을 해야 하므로 예외항목에서 필요한 값을 등록한다.
다음은 Windows Firewall을 설정할수 있는 몇가지 방법이다.
1.무인설치 Unattend.txt 파일을 이용하는 방법
Unattend.txt를 통해서 OS 무인설치시에 Windows Firewall을 자동화하는 방법이다. nattend.txt 에 새로운 섹션값이 추가하면 된다. 섹션값에 대한 자세한 설명은 Windows XP Service Pack 2 Deployment Tools 의 설명서를 참조하시기 바란다.
[WindowsFirewall]
Profiles = WindowsFirewall.TurnOffFirewall
[WindowsFirewall.TurnOffFirewall]
Mode = 0 (*0 은 Disable)
위 값에서 Profiles 기본으로 2개가 있다. Standard profile 워크그룹에서.. / Domain profile 도메인환경에서.. 위 예에서는 TurnOffFirewall 이라고 하는 Custom Profile 을 이용했다.
위 기본항목을 기준으로 워크그룹환경에서 인트라넷 웹서버를 운영하는 경우 Unattend.txt 이다.
-----------------------------------------
[WindowsFirewall]
Profiles=WindowsFirewall.Standard
[WindowsFirewall.Standard]
Type = 1 (*워크그룹환경)
Mode = 1 (*Enable)
Exceptions = 1 (*예외있음)
PortOpenings = WindowsFirewall.WebServer
[WindowsFirewall.WebServer]
Protocol= 6
Port = 80
Name = Web Server (TCP 80)
Mode = 1
Scope = 1
-----------------------------------------
2. Netfw.inf 를 이용하는 방법
다음은 Netfw.inf 를 이용하여 Firewall을 설정하는 방법이다. 파일은 %windir%\Inf 에 위치한다.
Windows Server 2003에서 SP1을 설치한경우 Default파일 내용은 다음과 같다.
-----------------------------------------
[version]
Signature = "$Windows NT$"
DriverVer=10/01/2002,5.2.3790.1830
[DefaultInstall]
AddReg=ICF.AddReg.DomainProfile
AddReg=ICF.AddReg.StandardProfile
[ICF.AddReg.DomainProfile]
[ICF.AddReg.StandardProfile]
-----------------------------------------
여기에 OS설치시에 위 웹서버 항목을 추가하려면 다음 내용을 추가한후에 SP1이 통합된 CD에 있는 기존 Default파일과 바꾸면 된다.
[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List","%windir%\system32\sessmgr.exe",0x00000000,"%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List","80:TCP",0x00000000,
"80:TCP:LocalSubnet:enabled:Web Server (TCP 80)"
위 레지스트리 값은 실제 OS설치후에 위 키경로 위치에서 확인할수 있다.
3. 그룹정책(GPO)를 이용하는 방법
위 위치에서 설정이 가능하다. 각 항목마다 설정하기 쉽게 되어 있으며 설정후에 다른 호스트에 동일한 항목을 적용할경우 정책파일을 Export해서 다른 호스트에서 적용하면 된다.
4.Netsh를 이용하는 방법
Netsh는 여러가지 다양한 기능을 제공하는 툴로서 Firewall은 다음 같은 기본 형식이 제공된다.
netsh firewall set opmode mode=DISABLE profile=DOMAIN
그렇다면 앞서 지정했던 웹서버의 설정값을 등록하려면 다음과 같다.
netsh firewall add portopening protocol=TCP port=80 name=web Server (TCP 80)?mode=ENABLE scope=SUBNET profile=DOMAIN
이미 Windows Sever2003 SP1이 설치된 서버의 경우 제어판의 방화벽 툴에서 설정하거나, 설정된 레지스트리 파일을 등록하거나, GPO 또는 Netsh를 이용해서 설정이 가능하다.
02-WindowsFirewall_01.gif
02-WindowsFirewall_02.gif
02-WindowsFirewall_03.gif
02-WindowsFirewall_04.gif
02-WindowsFirewall_05.gif
댓글 없음:
댓글 쓰기