728x90
개요
Active Directory 그룹 정책 중 IP 보안 정책 (IPSec)을 사용하면 네트워크 연결에 대한 제한을 설정할 수 있습니다.
예를 들어 외부로 나가는 80포트를 차단하여 인터넷 사용을 차단한다거나, 특정 IP에 대해서만 원격 데스크톱 연결을 허용한다거나…
시나리오
이 가이드에서는 특정 IP 대역에 대해서만 80 포트를 허용하고, 외부로 나가는 나머지 모든 IP 대역에 대하여 80포트를 차단함으로써 인터넷 연결을 제한하는 방법을 소개합니다.
- 80포트 허용 IP 대역 – 192.168.20.0/24
- 나머지 IP 대역은 내/외부를 막론하고 80포트 차단
그룹 정책 생성
- Active Directory 그룹 정책 관리 콘솔에서 적절한 이름의 그룹 정책을 만듭니다.
(예제에서는 C-Block Internet (IPSec) 이라는 이름의 정책 생성)
- 생성된 정책을 오른쪽 버튼 클릭하고 편집을 선택합니다.
- 컴퓨터 구성 – 정책 – Windows 설정 – 보안 설정 – IP 보안 정책 오른쪽 버튼 클릭 – IP 보안 정책 만들기
- IP 보안 정책 마법사 - 다음
- IP 보안 정책 이름 – 적절히 입력 후 다음 (예제에서는 인터넷 차단 이라는 이름 사용)
- 보안 통신 요청 – 다음
- IP 보안 정책 마법사 완료 – 속성 편집 체크 – 마침
- 규칙 탭 – 추가 버튼 클릭
- 보안 규칙 만들기 마법사 시작 – 다음
- 터널 끝점 – 다음
- 네트워크 종류 – 모든 네트워크 연결 선택 – 다음
- IP 필터 목록 – 추가 버튼 클릭
- 이름을 적절히 입력 후 추가 버튼 클릭 (예제에서는 80포트 차단이라는 이름 사용)
- IP 필터 마법사 시작 – 다음
- 설명란에 적절한 내용 입력 후 다음
- 원본 주소에 내 IP 주소 선택 후 다음
- 대상 주소에 모든 IP 주소 선택 후 다음
- 프로토콜에서 TCP 선택 후 다음
- 모든 포트에서 선택 – 이 포트로 선택 – 80 입력 – 다음
- IP 필터 마법사 완료 – 마침
- 확인 버튼 클릭
- 80포트 차단 선택 – 다음
- 필터 동작 – 추가 버튼 클릭
- IP 보안 필터 동작 마법사 시작 – 다음
- 이름 입력란에 적절한 이름 입력 후 다음 (예제에서는 거부라는 이름 사용)
- 필터 동작 일반 옵션 – 거부 선택 – 다음
- IP 보안 필터 동작 마법사 완료 – 마침
- 필터 동작 – 거부 선택 – 다음
- 보안 규칙 마법사 완료 – 마침
- 추가 버튼 클릭
- IP 보안 규칙 만들기 마법사 시작 – 다음
- 터널 끝점 – 다음
- 모든 네트워크 연결 선택 – 다음
- 추가 버튼 클릭
- 이름 입력란에 적절한 이름 입력 후 추가 버튼 클릭 (예제에서는 80포트 허용 목록이라는 이름 사용)
- IP 필터 마법사 시작 – 다음
- 설명 입력란에 적절히 입력 후 다음
- 원본 주소에서 내 IP 주소 선택 – 다음
- 대상 주소에서 특정 IP 주소 또는 서브네트 선택
- IP 주소 또는 서브네트 입력란에 원하는 IP 대역 입력 후 다음 (예제에서는 192.168.20.0/24 사용)
- 프로토콜 종류 선택에서 TCP 선택 후 다음
- 모든 포트에서 – 이 포트로 – 80 – 다음
- IP 필터 마법사 완료 – 다음
- 확인
- 80포트 허용 목록 선택 후 다음
- Permit 선택 – 다음
- 보안 규칙 마법사 완료 – 마침
- 80포트 허용 목록, 80포트 차단 체크 후 확인
- 방금 생성한 정책 오른쪽 버튼 클릭 – 할당
정책 적용
만들어진 정책을 컴퓨터가 속한 OU에 적용합니다. 이 가이드에서는 컴퓨터 정책으로 생성하였으므로 컴퓨터가 속한 OU에 적용해야 합니다. 사용자가 속한 OU에 걸면 아무 소용 없습니다.
클라이언트 컴퓨터에서 확인
정책을 적용하기 전에는 웹 페이지 접속이 가능합니다..
정책을 적용한 후에는 웹 페이지 접속이 안됩니다.
하지만 예외로 등록했던 IP 대역(192.168.20.0/24)의 웹 페이지는 접속 가능합니다.
728x90
'IT이야기 > ActiveDirectory' 카테고리의 다른 글
Windows 2003 DC에서 Windows 2008 DC로 FSMO(작업마스터) 넘기기 (0) | 2016.07.12 |
---|---|
(그룹 정책) 소프트웨어 제한 정책을 사용한 특정 프로그램 사용 차단 (0) | 2016.07.12 |
(그룹 정책) 네트워크 드라이브 연결 (Drive Mapping) (0) | 2016.07.12 |
(그룹 정책) 소프트웨어 게시 (Software Publishing) (0) | 2016.07.12 |
Active Directory 휴지통 기능 (Windows Server 2012) (0) | 2016.07.12 |