ISA Server 2004 보안 강화 안내서

ISA Server 2004 보안 강화 안내서

게시 날짜: 2004년 12월 3일

이 페이지의 내용

소개 ISA Server 컴퓨터 보호 구성 보호 배치 시 보안 추가 리소스

소개

이 안내서는 Microsoft Internet Security and Acceleration(ISA) Server 2004 Standard Edition을 실행하는 컴퓨터를 강화하는 방법에 대한 필수 정보를 제공하도록 설계되었습니다. 실제적이고 특정한 구성 권장 사항 이외에 이 안내서에는 ISA Server 배치 전략이 포함되어 있습니다.

Microsoft Windows Server 2003을 실행하는 컴퓨터의 경우 이 안내서를 Windows Server 2003 Security Guide http://go.microsoft.com/fwlink/?LinkId=31584 와 함께 사용할 수 있습니다. 특히, 이 안내서에 있는 절차 대부분은 Windows Server 2003 Security Guide에 소개된 보안 권장 사항과 직접 관련이 있습니다. 따라서 이 안내서에서 제공하는 절차를 수행하기 전에 먼저 Windows Server 2003 Security Guide를 읽어 보는 것이 좋습니다.

ISA Server가 Windows 2000 Server를 실행하는 컴퓨터에 설치된 경우 Windows 2000 Security Hardening Guide http://go.microsoft.com/fwlink/?LinkID=22380 를 참조하십시오.

설명서의 범위

이 안내서는 안전한 ISA Server 2004 환경을 만들고 유지하는 데 필요한 작업을 중점적으로 설명합니다. 이 안내서는 안전한 환경을 만들고 유지하기 위한 완벽한 참조가 아니라 ISA Server 2004의 전체 보안 전략의 일환으로 사용해야 합니다.

특히, 이 안내서는 다음 질문에 대한 자세한 답변을 제공합니다.

ISA Server 컴퓨터를 보호하는 데 권장하는 단계는 무엇입니까?
ISA Server 구성에 어떤 보안 고려 사항을 적용해야 합니까?
안전한 ISA Server 2004 배치를 준비하는 데 어떤 지침을 사용할 수 있습니까?

페이지 맨 위로

ISA Server 컴퓨터 보호

ISA Server를 보호하는 중요한 단계는 ISA Server 컴퓨터가 실제로 안전한지, 다음을 포함한 기본 보안 구성 권장 사항을 적용하는지 확인하는 것입니다.

업데이트 관리
컴퓨터를 물리적으로 보호
도메인 구성원 확인
Windows 인프라 강화
역할 및 사용 권한 관리
가능한 침입 영역 감소

다음 절에서는 이러한 권장 사항을 구현하는 방법을 설명합니다. 이 절에서는 보안 위협이 식별되었을 때 ISA Server를 잠그는 방법도 설명합니다.

업데이트 관리

최상의 보안 조치로서 항상 운영 체제, ISA Server 및 ISA Server에 의해 설치되는 Microsoft SQL Server™ 2000 Desktop Engine(MSDE) 및 Office Web Components 2002(OWC) 같은 다른 구성 요소의 최신 업데이트를 설치할 것을 적극 권장합니다. 다음을 수행하십시오.

운영 체제 업데이트를 얻습니다. Windows 업데이트 사이트에서 업데이트를 확인합니다.
ISA Server 업데이트를 얻습니다. ISA Server 2004 다운로드 센터http://www.microsoft.com/korea/isaserver/downloads/2004.asp 에서 최신 업데이트 정보가 있는지 확인합니다.
Microsoft SQL Server 2000 Desktop Engine(MSDE) 및 Office Web Components 2002(OWC)의 최신 업데이트를 Microsoft Security Bulletin Search http://go.microsoft.com/fwlink/?LinkId=28687 에서 검색합니다.

Microsoft Baseline Security Analyzer(MBSA)를 사용하여 시스템 보안을 주기적으로 분석하는 것도 좋습니다. MBSA 웹 사이트 http://go.microsoft.com/fwlink/?LinkID=28790 에서 MBSA를 다운로드할 수 있습니다.

실제 액세스

ISA Server 컴퓨터가 실제로 안전한 위치에 저장될 수 있도록 합니다. 서버에 대한 실제 액세스는 보안 위험이 높습니다. 침입자가 서버에 실제 액세스하면 승인되지 않은 액세스나 수정 뿐만 아니라 보안을 우회하도록 설계된 하드웨어나 소프트웨어를 설치할 수 있습니다. 안전한 환경을 유지하려면 ISA Server 컴퓨터에 대한 실제 액세스를 제한해야 합니다.

도메인 구성원 확인

많은 경우에 ISA Server 컴퓨터를 도메인의 구성원으로 설정할 수 있습니다. 예를 들어, 도메인 사용자 인증을 사용하는 정책을 만드는 경우 ISA Server는 도메인에 속해야 합니다.

ISA Server 컴퓨터가 네트워크 가장자리를 보호하는 경우 기업 네트워크에 내부 포리스트 대신 별도의 포리스트에 설치하는 것이 좋습니다. 이런 방식으로 ISA Server 컴퓨터의 포리스트가 공격을 받는 경우에도 내부 포리스트가 손상되는 것을 방지할 수 있습니다. ISA Server의 도메인 구성원으로서의 관리 및 보안 이점을 얻으려면 기업 포리스트에 대해 단방향 트러스트를 가진 별도의 포리스트에 ISA Server 컴퓨터를 배치하는 것이 좋습니다. 단방향 트러스트는 Windows Server 2003 도메인에서만 지원됩니다.

ISA Server를 도메인 구성원으로 설치할 때 로컬 정책만 구성하는 것이 아니라 그룹 정책을 사용하여 ISA Server 컴퓨터를 잠글 수 있습니다.

보안을 이유로 ISA Server 컴퓨터에 대해 도메인 또는 Active Directory 디렉터리 서비스 기능을 사용하지 않으려면 작업 그룹에 ISA Server 컴퓨터를 설치하는 것을 고려하십시오. 예를 들어, ISA Server가 네트워크 가장자리를 보호하는 경우 작업 그룹에 컴퓨터를 설치하는 것을 고려하십시오.

Windows 인프라 강화

앞에서 설명한 것처럼 이 안내서에서는 Windows Server 2003 Security Guide에서 권장하는 구성을 적용한 것으로 가정합니다. 특히, Microsoft Baseline Security Policy 보안 템플릿을 적용해야 합니다. 그러나 IPSec(Internet Protocol Security) 필터나 다른 서버 역할 정책은 구현하지 마십시오.

또한 ISA Server 기능을 고려하고 그에 따라 운영 체제를 강화해야 합니다.

다음 표에서는 ISA Server 및 ISA Server 컴퓨터가 적절히 작동하는 데 필요한 핵심 서비스를 보여 줍니다.

서비스 이름	이유	시작 모드
COM+ 이벤트 시스템	핵심 운영 체제	수동
암호화 서비스	핵심 운영 체제(보안)	자동
이벤트 로그	핵심 운영 체제	자동
IPSec 서비스	핵심 운영 체제(보안)	자동
논리 디스크 관리자	핵심 운영 체제(디스크 관리)	자동
논리 디스크 관리자 관리 서비스	핵심 운영 체제(디스크 관리)	수동
Microsoft 방화벽	ISA Server의 정상 작동에 필요	자동
Microsoft ISA Server 컨트롤	ISA Server의 정상 작동에 필요	자동
Microsoft ISA Server 작업 스케줄러	ISA Server의 정상 작동에 필요	자동
Microsoft ISA Server 저장소	ISA Server의 정상 작동에 필요	자동
MSSQL$MSFW	ISA Server에 MSDE 로깅을 사용할 때 필요	자동
네트워크 연결	핵심 운영 체제(네트워크 인프라)	수동
NTLM 보안 지원 공급자	핵심 운영 체제(보안)	수동
플러그 앤 플레이	핵심 운영 체제	자동
보호된 저장소	핵심 운영 체제(보안)	자동
원격 액세스 연결 관리자	ISA Server의 정상 작동에 필요	수동
RPC(원격 프로시저 호출)	핵심 운영 체제	자동
Secondary Logon	핵심 운영 체제(보안)	자동
보안 계정 관리자	핵심 운영 체제	자동
서버	ISA Server 방화벽 클라이언트 공유에 필요	자동
스마트 카드	핵심 운영 체제(보안)	수동
SQLAgent$MSFW	ISA Server에 MSDE 로깅을 사용할 때 필요	수동
시스템 이벤트 알림	핵심 운영 체제	자동
전화 통신	ISA Server의 정상 작동에 필요	수동
VDS(Virtual Disk Service)	핵심 운영 체제(디스크 관리)	수동
Windows Management Instrumentation(WMI)	핵심 운영 체제(WMI)	자동
WMI 성능 어댑터	핵심 운영 체제(WMI)	수동

ISA Server 서버 역할

컴퓨터 사용 방법에 따라 ISA Server 컴퓨터가 기능이나 역할 이외의 작동을 할 수 있습니다. 다음 표는 가능한 서버 역할을 나열하고, 필요한 시기를 설명하고, 역할을 사용할 때 활성화해야 하는 서비스를 나열합니다.

서버 역할	사용 시나리오	필요한 서비스	시작 모드
라우팅 및 원격 액세스 서버	이 역할에 할당된 사용자 및 그룹은 ISA Server 컴퓨터와 네트워크 작업을 모니터링할 수 있지만 특정 모니터링 기능은 구성할 수 없습니다.	라우팅 및 원격 액세스	수동
라우팅 및 원격 액세스 서버	이 역할에 할당된 사용자 및 그룹은 ISA Server 컴퓨터와 네트워크 작업을 모니터링할 수 있지만 특정 모니터링 기능은 구성할 수 없습니다.	원격 액세스 연결 관리자	수동
라우팅 및 원격 액세스 서버	이 역할에 할당된 사용자 및 그룹은 ISA Server 컴퓨터와 네트워크 활동을 모니터링할 수 있지만 특정 모니터링 기능은 구성할 수 없습니다.	전화 통신	수동
라우팅 및 원격 액세스 서버	이 역할에 할당된 사용자 및 그룹은 ISA Server 컴퓨터와 네트워크 활동을 모니터링할 수 있지만 특정 모니터링 기능은 구성할 수 없습니다.	워크스테이션	자동
라우팅 및 원격 액세스 서버	이 역할에 할당된 사용자 및 그룹은 ISA Server 컴퓨터와 네트워크 활동을 모니터링할 수 있지만 특정 모니터링 기능은 구성할 수 없습니다.	서버	자동
원격 데스크톱 관리용 터미널 서버	ISA Server 컴퓨터의 원격 관리를 사용하려면 이 역할을 선택합니다.	서버	자동
원격 데스크톱 관리용 터미널 서버	ISA Server 컴퓨터의 원격 관리를 사용하려면 이 역할을 선택합니다.	터미널 서비스	수동

참고

다음과 같은 경우에는 서버 서비스의 시작 모드를 자동으로 설정해야 합니다.

ISA Server 2004: 클라이언트 설치 공유를 설치합니다.
ISA Server 관리 이외에 라우팅 및 원격 액세스 관리를 사용하여 VPN(가상 개인 네트워크)을 구성합니다.
앞의 표에서 설명한 것처럼 다른 작업이나 역할에 서비스가 필요합니다.

라우팅 및 원격 액세스 서비스의 시작 모드는 수동입니다. VPN이 설정된 경우에만 ISA Server 서비스가 시작됩니다.

ISA Server 관리 대신 라우팅 및 원격 액세스 관리를 사용하여 VPN을 구성하는 경우에만 서버 서비스가 필요합니다.

ISA Server 서버 작업

서버 작업은 서버 역할과 비슷하며 포함되어 있지 않지만 종종 서버 역할과 관련이 있습니다. 서버가 필요한 작업을 수행하려면 선택한 역할에 따라 특정 서비스를 설정해야 합니다. 불필요한 서비스는 해제해야 합니다. 다음 표는 ISA Server에 대해 가능한 서버 작업을 나열하고, 필요한 시기를 설명하고, 역할을 사용할 때 활성화해야 하는 서비스를 나열합니다.

서버 작업	사용 시나리오	필요한 서비스	시작 모드
Windows Installer를 사용하여 로컬로 응용 프로그램 설치	Microsoft Installer 서비스를 사용하여 응용 프로그램을 설치, 제거 또는 복구해야 합니다.	Windows Installer	수동
Backup	ISA Server 컴퓨터에서 NTBackup 또는 다른 백업 프로그램을 사용하는 경우 필요합니다.	Microsoft Software Shadow Copy Provider	수동
Backup	ISA Server 컴퓨터에서 NTBackup 또는 다른 백업 프로그램을 사용하는 경우 필요합니다.	Volume Shadow Copy	수동
Backup	ISA Server 컴퓨터에서 NTBackup 또는 다른 백업 프로그램을 사용하는 경우 필요합니다.	이동식 저장소 서비스	수동
오류 보고	중요한 오류를 분석을 위해 Microsoft에 보고하여 Windows 안정성을 개선할 수 있도록 오류 보고를 설정하는 데 사용합니다.	오류 보고 서비스	자동
도움말 및 지원	Microsoft 고객 지원부에 문제를 제기한 컴퓨터 데이터 기록을 수집할 수 있습니다.	도움말 및 지원	자동
ISA Server 2004: 클라이언트 설치 공유	컴퓨터가 ISA Server 컴퓨터의 방화벽 클라이언트 공유에 연결하고 설치하는 데 필요합니다.	서버	자동
ISA Server 2004: MSDE 로깅	MSDE 데이터베이스를 사용하여 로깅하는 데 필요합니다. 해당 서비스를 설정할 수 없는 경우 SQL 데이터베이스나 파일에 기록할 수 있습니다. 그러나 오프라인 모드에서는 로그 뷰어를 사용하지 못할 수 있습니다.	SQLAgent$MSFW	수동
ISA Server 2004: MSDE 로깅	MSDE 데이터베이스를 사용하여 로깅하는 데 필요합니다. 해당 서비스를 설정할 수 없는 경우 SQL 데이터베이스나 파일에 기록할 수 있습니다. 그러나 오프라인 모드에서는 로그 뷰어를 사용하지 못할 수 있습니다.	MSSQL$MSFW	자동
성능 모니터 ? 백그라운드 수집	ISA Server 컴퓨터에 대한 성능 데이터를 백그라운드로 수집할 수 있습니다.	성능 로그 및 경고	자동
원격 컴퓨터로 인쇄	ISA Server 컴퓨터에서 인쇄할 수 있습니다.	인쇄 스풀러	자동
원격 컴퓨터로 인쇄	ISA Server 컴퓨터에서 인쇄할 수 있습니다.	TCP/IP NetBIOS Helper	자동
원격 컴퓨터로 인쇄	ISA Server 컴퓨터에서 인쇄할 수 있습니다.	워크스테이션	자동
원격 Windows 관리	ISA Server의 원격 관리에 필요하지 않은 Windows 서버의 원격 관리를 허용합니다.	서버	자동
원격 Windows 관리	ISA Server의 원격 관리에 필요하지 않은 Windows 서버의 원격 관리를 허용합니다.	원격 레지스트리	자동
시간 동기화	ISA Server 컴퓨터가 NTP 서버에 연결하여 시계를 동기화할 수 있습니다. 보안의 관점에서 이벤트 감사와 기타 보안 프로토콜을 위해 정확한 시간 측정이 중요합니다.	Windows 시간	자동
원격 지원	이 컴퓨터에서 원격 지원 기능을 사용할 수 있습니다.	도움말 및 지원	자동
원격 지원	이 컴퓨터에서 원격 지원 기능을 사용할 수 있습니다.	Remote Desktop Help Session Manager	수동
원격 지원	이 컴퓨터에서 원격 지원 기능을 사용할 수 있습니다.	터미널 서비스	수동

참고

시간 클라이언트 응용 프로그램이 제대로 작동하려면 무선 또는 서버 서비스가 실행 중이어야 합니다.

ISA Server 클라이언트 역할

서버는 다른 서버의 클라이언트가 될 수 있습니다. 클라이언트 역할은 설정되어 있는 역할 관련 서비스에 따라 달라집니다. 다음 표는 ISA Server에 대해 가능한 클라이언트 작업을 나열하고, 필요한 시기를 설명하고, 역할을 사용할 때 활성화해야 하는 서비스를 나열합니다.

클라이언트 역할	사용 시나리오	필요한 서비스	시작 모드
자동 업데이트 클라이언트	Microsoft Windows Update에서 자동으로 검색하고 설치하려면 이 역할을 선택합니다.	자동 업데이트	자동
자동 업데이트 클라이언트	Microsoft Windows Update에서 자동으로 검색하고 설치하려면 이 역할을 선택합니다.	백그라운드 인텔리전트 전송 서비스	수동
DHCP 클라이언트	ISA Server 컴퓨터가 DHCP 서버에서 IP 주소를 자동으로 받는 경우 이 역할을 선택합니다.	DHCP 클라이언트	자동
DNS 클라이언트	ISA Server 컴퓨터가 다른 서비스로부터 이름 확인 정보를 받아야 하는 경우 이 역할을 선택합니다.	DNS 클라이언트	자동
도메인 구성원	ISA Server 컴퓨터가 도메인에 속해 있는 경우 이 역할을 선택합니다.	NLA(Network Location Awareness)	수동
도메인 구성원	ISA Server 컴퓨터가 도메인에 속해 있는 경우 이 역할을 선택합니다.	Net logon	자동
도메인 구성원	ISA Server 컴퓨터가 도메인에 속해 있는 경우 이 역할을 선택합니다.	Windows 시간	자동
동적 DNS 등록	ISA Server 컴퓨터가 DNS 서버와 이름 및 주소 정보를 자동으로 등록할 수 있도록 하려면 이 역할을 선택합니다.	DHCP 클라이언트	자동
Microsoft 네트워킹 클라이언트	ISA Server 컴퓨터가 다른 Windows 클라이언트에 연결해야 하는 경우 이 역할을 선택합니다. 이 역할을 선택하지 않으면 예를 들어, ISA Server 컴퓨터가 원격 컴퓨터에 있는 공유에 액세스하여 보고서를 게시하지 못할 수 있습니다.	TCP/IP NetBIOS Helper	자동
Microsoft 네트워킹 클라이언트	ISA Server 컴퓨터가 다른 Windows 클라이언트에 연결해야 하는 경우 이 역할을 선택합니다. 이 역할을 선택하지 않으면 예를 들어, ISA Server 컴퓨터가 원격 컴퓨터에 있는 공유에 액세스하여 보고서를 게시하지 못할 수 있습니다.	워크스테이션	자동
WINS 클라이언트	ISA Server 컴퓨터가 WINS 기반 이름 확인을 사용하는 경우 이 역할을 선택합니다.	TCP/IP NetBIOS Helper	자동

보안 템플릿 만들기

보안 템플릿 Microsoft Management Console(MMC) 스냅인을 사용하여 템플릿을 만들 수 있습니다. 템플릿은 설정해야 하는 서비스 뿐만 아니라 해당 시작 모드에 대한 정보를 포함하고 있습니다. 보안 템플릿을 사용함으로써 쉽게 보안 정책을 구성하고 각 ISA Server 컴퓨터에 적용할 수 있습니다.

보안 템플릿을 만들려면 다음 단계를 수행하십시오.

보안 템플릿을 열려면 시작, 실행을 차례로 클릭하고 mmc를 입력한 다음 확인을 클릭합니다.
파일 메뉴에서 스냅인 추가/제거를 클릭한 다음 추가를 클릭합니다.
보안 템플릿을 선택하고 추가를 클릭한 다음 닫기를 클릭하고 확인을 클릭합니다.
콘솔 트리에서 보안 템플릿 노드를 클릭하고 새 템플릿을 저장할 폴더를 마우스 오른쪽 단추로 클릭하고 새 템플릿을 클릭합니다.
템플릿 이름에 새 보안 템플릿 이름을 입력합니다.
설명에 새 보안 템플릿에 대한 설명을 입력한 다음 확인을 클릭합니다.
새 템플릿을 확장한 다음 시스템 서비스를 클릭합니다.
세부 정보 창에서 COM+ 이벤트 시스템을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
템플릿에 이 정책 설정 정의를 선택한 다음 시작 모드를 클릭합니다. COM+ 이벤트 시스템의 경우 시작 모드는 자동입니다.
다음 표에 나열된 각 서비스에 대해 8-9단계를 반복합니다.

서비스 이름	약식 이름	시작 모드
자동 업데이트	wuauserv	자동
백그라운드 인텔리전트 전송 서비스	BITS	수동
COM+ 이벤트 시스템	EventSystem	수동
암호화 서비스	CryptSvc	자동
DHCP 클라이언트	Dhcp	자동
DNS 클라이언트	Dnscache	자동
오류 보고 서비스	ERSvc	자동
이벤트 로그	Eventlog	자동
도움말 및 지원	Helpsvc	자동
IPSec 서비스	PolicyAgent	자동
논리 디스크 관리자	dmserver	자동
논리 디스크 관리자 관리 서비스	dmadmin	수동
Microsoft 방화벽	Fwsrv	자동
Microsoft ISA Server 컨트롤	ISACtrl	자동
Microsoft ISA Server 작업 스케줄러	ISASched	자동
Microsoft ISA Server 저장소	ISASTG	자동
Microsoft Software Shadow Copy Provider	SWPRV	수동
MSSQL$MSFW	MSSQL$MSFW	자동
네트워크 연결	Netman	수동
NLA(Network Location Awareness)	NLA	수동
NTLM 보안 지원 공급자	NtLmSsp	수동
성능 로그 및 경고	SysmonLog	자동
플러그 앤 플레이	PlugPlay	자동
개인 데이터 보호	ProtectedStorage	자동
원격 액세스 연결 관리자	RasMan	수동
Remote Desktop Help Session Manager	RDSessMgr	수동
RPC(원격 프로시저 호출)	RpcSs	자동
이동식 저장소	NtmsSvc	수동
라우팅 및 원격 액세스	없음	수동
Secondary Logon	seclogon	자동
보안 계정 관리자	SamSs	자동
서버	lanmanserver	수동
스마트 카드	SCardSvr	수동
시스템 이벤트 알림	SENS	자동
TCP/IP NetBIOS Helper	LmHosts	자동
전화 통신	TapiSrv	수동
터미널 서비스	TermService	수동
VDS(Virtual Disk Service)	VDS	수동
Volume Shadow Copy	VSS	수동
Windows Installer	MSIServer	수동
Windows Management Instrumentation	winmgmt	자동
Windows 시간	W32time	자동
무선 구성	WZCSVC	자동
WMI 성능 어댑터	WmiApSrv	수동
워크스테이션	lanmanworkstation	자동

참고

다음과 같은 경우에는 서버 서비스의 시작 모드를 자동으로 설정해야 합니다.

ISA Server 2004: 클라이언트 설치 공유를 설치합니다.
ISA Server 관리 대신 라우팅 및 원격 액세스 관리를 사용하여 VPN을 구성합니다.
앞의 표에서 설명한 것처럼 다른 작업이나 역할에 서비스가 필요합니다.

라우팅 및 원격 액세스 서비스의 시작 모드는 수동입니다. ISA Server는 VPN이 설정된 경우에만 서비스를 시작합니다. 시간 클라이언트 응용 프로그램이 제대로 작동하려면 무선 또는 서버 서비스가 실행 중이어야 합니다.

새로운 템플릿을 ISA Server 컴퓨터에 적용하려면 다음 단계를 수행하십시오.

보안 템플릿을 열려면 시작, 실행을 차례로 클릭하고 mmc를 입력한 다음 확인을 클릭합니다.
파일 메뉴에서 스냅인 추가/제거를 클릭한 다음 추가를 클릭합니다.
보안 구성 및 분석을 선택하고 추가를 클릭한 다음 닫기를 클릭하고 확인을 클릭합니다.
콘솔 트리에서 보안 구성 및 분석을 클릭합니다.
보안 구성 및 분석을 마우스 오른쪽 단추로 클릭한 다음 데이터베이스 열기를 클릭합니다.
새 데이터베이스 이름을 입력한 다음 열기를 클릭합니다.
가져올 보안 템플릿을 선택한 다음 열기를 클릭합니다. 이전에 만든 보안 템플릿을 선택합니다.
보안 구성 및 분석을 마우스 오른쪽 단추로 클릭한 다음 지금 컴퓨터 구성을 클릭합니다.

사용 권한 및 역할 관리

ISA Server는 네트워크 액세스를 제어하기 때문에 ISA Server 컴퓨터 및 관련 구성 요소에 대한 사용 권한을 할당할 때는 주의를 기울여야 합니다. ISA Server 컴퓨터에 로그온할 권한을 누구에게 부여할지 신중하게 결정합니다. 그런 다음 그에 따라 로그온 권한을 구성합니다.

ISA Server를 사용하면 사용자 및 그룹에 관리 역할을 적용할 수 있습니다. 어떤 그룹에게 ISA Server 정책 및 모니터링 정보를 구성하거나 볼 수 있도록 할 것인지 결정한 후에 적절히 역할을 할당할 수 있습니다.

다음 절에서는 사용 권한 및 관리 역할을 할당할 때의 고려 사항을 자세히 설명합니다.

관리 역할

사용자 환경의 응용 프로그램과 마찬가지로 ISA Server에 대한 사용 권한을 정의할 때 ISA Server 관리자의 역할을 고려하고 필요한 사용 권한만 할당해야 합니다. 프로세스를 단순화하기 위해 ISA Server는 관리 역할을 사용합니다. 역할 기반 관리를 사용하여 ISA Server 관리자를 각각 자신의 작업 집합을 갖고 있는 별도의 미리 정의된 역할에 구성할 수 있습니다. 사용자에게 역할을 할당할 때는 기본적으로 해당 사용자 권한이 특정 작업을 수행하는 것을 허용합니다. ISA Server Full Administrator 같은 하나의 역할을 가진 사용자는 ISA Server Basic Monitoring 같은 다른 역할을 가진 사용자가 수행할 수 없는 특정 ISA Server 작업을 수행할 수 있습니다. 역할 기반 관리에는 Windows 사용자 및 그룹이 포함됩니다. 이러한 보안 권한, 그룹 구성원 및 사용자 권한은 어느 사용자가 어느 역할을 갖는지 구분하는 데 사용됩니다. 다음 표는 ISA Server 역할을 설명합니다.

역할	설명
ISA Server Basic Monitoring	이 역할에 할당된 사용자 및 그룹은 ISA Server 컴퓨터와 네트워크 활동을 모니터링할 수 있지만 특정 모니터링 기능은 구성할 수 없습니다.
ISA Server Extended Monitoring	이 역할이 할당된 사용자 및 그룹은 로그 구성, 경고 정의 구성 및 ISA Server Basic Monitoring 역할에 사용할 수 있는 모든 모니터링 기능을 포함한 모든 모니터링 작업을 수행할 수 있습니다.
ISA Server Full Administrator	이 역할이 할당된 사용자 및 그룹은 규칙 구성, 네트워크 템플릿 적용 및 모니터링을 포함한 모든 ISA Server 작업을 수행할 수 있습니다.

이러한 ISA Server 관리 그룹의 구성원은 모든 Windows 사용자가 될 수 있습니다. 특별한 권한이나 Windows 사용 권한이 필요하지 않습니다. 유일한 예외는 perfmon 또는 ISA Server 대시보드를 사용하여 ISA Server 성능 카운터를 보는 것입니다. 사용자는 Windows Server 2003 성능 모니터 사용자 사용자 그룹의 구성원이어야 합니다.

ISA Server Extended Monitoring 사용 권한을 가진 관리자는 비밀 구성 정보를 포함한 모든 구성 정보를 내보내고 가져올 수 있습니다. 즉, 비밀 정보를 해독할 수 있습니다.

관리 역할을 할당하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭한 다음 server_name을 클릭합니다.
Tasks 탭에서 Define Administrative Roles를 클릭합니다.

큰 이미지 보기

ISA Server Administration Delegation Wizard의 Welcome 페이지에서 Next를 클릭합니다.
Add를 클릭합니다.
Group (recommended) or User에서 특정 관리 권한을 할당할 그룹 또는 사용자 이름을 입력합니다.
Role에서 해당 관리 역할을 선택합니다.

역할 및 작업

각 ISA Server 역할에는 그와 관련된 ISA Server 작업의 특정 목록이 있습니다. 다음 표는 몇 가지 ISA Server 관리 작업과 함께 수행할 역할을 나열합니다.

작업	Basic Monitoring 권한	Extended Monitoring 권한	Full Administrator 권한
대시 보드, 경고, 연결, 세션 및 서비스 보기	X	X	X
경고 확인	X	X	X
로그 정보 보기		X	X
경고 정의 만들기		X	X
보고서 만들기		X	X
세션 및 서비스 중지 및 시작		X	X
방화벽 정책 보기		X	X
방화벽 정책 구성			X
캐시 구성			X
VPN 구성			X

권한

다음 절에서 설명하는 것처럼 ISA Server 관리자에 대한 권한을 구성할 때 최소 권한의 원칙을 적용합니다. ISA Server 컴퓨터에 로그온을 허용할 사용자를 신중하게 결정하여 서버 작동에 중요하지 않은 사용자가 액세스하지 못하도록 합니다.

최소 권한

사용자가 특정 작업을 수행하는 데 필요한 최소 권한을 갖도록 하는 최소 권한의 원칙을 적용합니다. 이렇게 하면 사용자 계정이 손상되는 경우 해당 사용자가 가진 제한된 권한으로 영향을 최소화할 수 있습니다.

관리자 그룹 및 다른 사용자 그룹을 가능한 작게 유지합니다. 예를 들어, ISA Server 컴퓨터의 Administrators 그룹에 속하는 사용자는 ISA Server 컴퓨터에서 모든 작업을 수행할 수 있습니다.

Administrators 그룹의 사용자에게는 ISA Server Full Administrator의 역할이 암시적으로 할당되어 ISA Server를 구성하고 모니터링하는 모든 권한도 갖게 됩니다. 역할에 대한 자세한 내용은 관리 역할 절을 참조하십시오.

로그온 및 구성

ISA Server 컴퓨터에 로그온할 때 작업을 수행하는 데 필요한 최소 권한을 가진 계정으로 로그온합니다. 예를 들어, 규칙을 구성하려면 ISA Server 관리자로 로그온해야 합니다. 그러나, 보고서를 보기만 하려면 더 낮은 권한으로 로그온합니다.

일반적으로 일상적이고 관리에 필요하지 않은 작업을 수행하는 경우 제한된 권한을 가진 계정을 사용하고, 특정 관리 작업을 수행할 경우에만 더 넓은 권한을 가진 계정을 사용합니다.

게스트 계정

ISA Server 컴퓨터에서는 게스트 계정을 설정하지 않는 것이 좋습니다.

사용자가 ISA Server 컴퓨터에 로그온하면 운영 체제는 자격 증명이 알려진 사용자와 일치하는지 여부를 확인합니다. 자격 증명이 알려진 사용자와 일치하지 않을 경우 사용자는 게스트 계정에 허용되는 것과 같은 권한을 가진 게스트로 로그온됩니다.

ISA Server는 게스트 계정을 기본 인증된 모든 사용자 사용자 집합으로 인식합니다.

임의 액세스 제어 목록

새로운 설치에서는 ISA Server DACL(임의 액세스 제어 목록)이 적절히 구성됩니다. 또한 ISA Server는 관리 역할을 수정할 때(자세한 내용은 관리 역할 절 참조)와 ISA Server 제어 서비스(isactrl)를 다시 시작할 때 DACL을 적절히 다시 구성합니다.

경고

ISA Server는 정기적으로 DACL을 다시 구성하기 때문에 Security and Configuration Analysis 도구를 사용하여 ISA Server 개체에서 파일별로 DACL을 구성해서는 안 됩니다. 그렇지 않으면 그룹 정책에서 설정한 DACL과 ISA Server에서 구성하려고 시도하는 DACL 사이에 충돌이 있을 수 있습니다.

ISA Server가 설정한 DACL은 수정하지 마십시오. ISA Server는 다음 목록에 있는 개체에 대한 DACL은 설정하지 않습니다. 다음 목록의 개체에 대한 DACL을 신중하게 설정하여 신뢰하는 특정 사용자에게만 권한을 부여해야 합니다.

보고서용 폴더(보고서 게시를 선택할 때).
구성을 내보내거나 백업할 때 만든 구성 파일.
다른 위치에 백업한 로그 파일.

DACL을 신중하게 설정하여 신뢰하는 사용자와 그룹에만 권한을 부여하도록 합니다. 또한 ISA Server에서 간접적으로 사용하는 개체에는 엄격한 DACL을 만들어야 합니다. 예를 들어, ISA Server에서 사용할 ODBC 연결을 만들 때는 DSN(데이터 원본 이름)을 안전하게 유지하십시오.

ISA Server 컴퓨터에서 실행 중인 모든 응용 프로그램에 대해 엄격한 DACL을 구성하십시오. 파일 시스템과 레지스트리에 있는 관련 데이터에 대해 엄격한 DACL을 구성해야 합니다.

팁

중요한 데이터(예: 실행 파일과 로그 파일)는 FAT32 파티션에 저장하지 않는 것이 좋습니다. 그 이유는 FAT32 파티션에 대해서는 DACL을 구성할 수 없기 때문입니다.

침입 영역 감소

ISA Server 컴퓨터 보안을 강화하려면 감소된 침입 영역의 원리를 적용하십시오. 침입 영역의 폭을 줄이려면 다음 지침을 따르십시오.

ISA Server 컴퓨터에서는 불필요한 응용 프로그램과 서비스는 실행하지 마십시오. Windows 인프라 강화 절에서 설명하는 대로 현재 작업에 중요하지 않은 서비스와 기능은 해제하십시오.
사용하지 않는 ISA Server 기능은 해제하십시오. 예를 들어, 캐싱이 필요하지 않으면 캐싱을 해제합니다. ISA Server의 VPN 기능이 필요하지 않으면 VPN 클라이언트 액세스를 해제하십시오.
네트워크 관리 방법에 중요하지 않은 서비스와 작업을 식별한 다음 관련된 시스템 정책 규칙을 해제하십시오.
시스템 정책 규칙의 적용 범위를 필수 네트워크 엔티티로만 제한하십시오. 예를 들어, 기본적으로 설정된 Active Directory 시스템 정책 구성 그룹은 내부 네트워크의 모든 컴퓨터에 적용됩니다. 내부 네트워크의 특정 Active Directory 그룹에만 적용되도록 제한할 수 있습니다.

다음 절에서는 ISA Server 컴퓨터의 침입 영역을 줄이는 방법에 대해 설명합니다.

ISA Server 기능 해제

특정 네트워크 요구에 따라 ISA Server에 포함된 풍부한 기능 집합이 필요하지 않을 수 있습니다. 특정 요구를 신중하게 고려하고 다음이 필요한지 여부를 결정해야 합니다.

VPN 클라이언트 액세스
캐싱
추가 기능

특정 기능이 필요하지 않을 경우 해당 기능은 해제하십시오.

VPN 클라이언트 액세스

VPN 클라이언트 액세스는 기본적으로 해제되어 있습니다. 즉, Allow VPN client traffic to ISA Server라고 하는 관련 시스템 정책 규칙도 해제됩니다. VPN 클라이언트 액세스가 해제되어 있어도 VPN Clients to Internal Network라는 기본 네트워크 규칙은 설정됩니다. VPN 클라이언트 액세스를 이전에 설정한 경우라도 필요하지 않으면 해제할 수 있습니다.

VPN 클라이언트 액세스가 해제되어 있는지 확인하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Virtual Private Networks (VPN)를 클릭합니다.
세부 정보 창에서 VPN Clients 탭을 클릭한 다음 Verify that VPN Client Access is Enabled를 클릭합니다.

큰 이미지 보기

General 탭에서 Enable VPN client access가 선택되지 않았는지 확인합니다.

캐싱

캐싱은 기본적으로 해제됩니다. 즉, 예약된 콘텐트 다운로드를 포함한 모든 관련 캐싱이 해제됩니다. ISA Server에 대해 이전에 캐싱이 설정된 경우라도 해제할 수 있습니다.

캐싱이 해제되었는지 확인하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭하고 Configuration을 클릭한 다음 Cache를 클릭합니다.
세부 정보 창에서 Cache Drives 탭을 클릭합니다.
Tasks 탭에서Disable caching을 클릭합니다.

참고

캐싱이 해제된 경우 옵션이 표시되지 않습니다.

큰 이미지 보기

추가 기능

Server를 설치하면 응용 프로그램 필터 및 웹 필터 그룹도 설치됩니다. 그런 다음 타사 공급업체가 제공하는 추가 기능을 설치할 수 있습니다. 다음 보안 지침을 따르십시오.

필요하지 않은 응용 프로그램 필터 또는 웹 필터는 설치하지 마십시오.
신뢰할 수 없는 원본의 필터는 절대 설치하지 마십시오.
추가 기능과 관련된 DLL을 보호된 라이브러리(예: %ProgramFiles%\Microsoft ISA Server)에 저장하십시오. 이 라이브러리에 대해 엄격한 ACL을 구성해야 합니다.
필요하지 않은 응용 프로그램과 웹 필터를 해제하십시오.

추가 기능을 해제하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭하고 Configuration을 클릭한 다음 Add-ins를 클릭합니다.
세부 정보 창에서 적절한 추가 기능을 선택합니다.
Tasks 탭에서 Disable Selected Filters를 클릭합니다.

시스템 정책

ISA Server에는 네트워크 인프라가 제대로 작동하는 데 일반적으로 필요한 서비스를 사용할 수 있는 기본 시스템 정책이 포함되어 있습니다.

일반적으로 보안의 관점에서 네트워크를 관리하는 데 필요하지 않은 서비스에 대한 액세스는 허용하지 않도록 시스템 정책을 구성할 것을 적극 권장합니다. 설치한 후에는 구성된 시스템 정책 규칙을 신중하게 검토하십시오. 마찬가지로 주요 관리 작업을 수행한 후에 시스템 정책 구성을 검토하십시오.

다음 절에서는 시스템 정책 규칙에 의해 설정되는 서비스에 대해 설명합니다.

네트워크 서비스

ISA Server를 설치하면 기본 네트워크 서비스가 설정됩니다. 설치 후에 ISA Server는 내부 네트워크에 있는 이름 확인 서버와 시간 동기화 서비스에 액세스할 수 있습니다.

다른 네트워크에서 네트워크 서비스를 사용할 수 있는 경우 적절한 구성 그룹 원본을 수정하여 특정 네트워크에 적용해야 합니다. 예를 들어, DHCP 서버가 내부 네트워크가 아닌 중간 네트워크에 있다고 가정합니다. DHCP 구성 그룹에 대한 원본을 수정하여 해당 중간 네트워크에 적용합니다.

내부 네트워크의 특정 컴퓨터만 액세스할 수 있도록 시스템 정책을 수정할 수 있습니다. 또는 어디에나 서비스가 있는 경우 네트워크를 추가할 수 있습니다.

다음 표는 네트워크 서비스에 적용되는 시스템 정책 규칙을 보여줍니다.

구성 그룹	규칙 그룹	규칙 설명
DHCP	ISA Server에서 내부로 DHCP 요청 허용 DHCP 서버에서 ISA Server로 DHCP 응답 허용	ISA Server 컴퓨터가 DHCP(응답) 및 DHCP(요청) 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.
DNS	ISA Server에서 선택된 서버로 DNS 허용	ISA Server 컴퓨터가 DNS 프로토콜을 사용하여 모든 네트워크에 액세스하는 것을 허용합니다.
NTP	ISA Server에서 신뢰할 수 있는 NTP 서버로 NTP 허용	ISA Server 컴퓨터가 NTP(UDP) 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.

DHCP 서비스

DHCP 서버가 내부 네트워크에 없는 경우 DHCP 서버가 없는 네트워크에 적용되도록 시스템 정책 규칙을 수정해야 합니다. 예를 들어, DHCP 서버가 외부 네트워크에 있는 경우 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에서 DHCP를 클릭합니다.

큰 이미지 보기

From 탭에서 Add를 클릭합니다
Add Network Entities에서 네트워크 개체를 선택합니다.

큰 이미지 보기

팁

Add를 클릭한 다음 Close를 클릭합니다.

인증 서비스

ISA Server의 기본 기능 중 하나는 특정 사용자에게 방화벽 정책을 적용하는 기능입니다. 그러나 사용자를 인증하려면 ISA Server는 인증 서버와 통신할 수 있어야 합니다. 기본적으로 이런 이유로 ISA Server는 Active Directory 서버(Windows 인증의 경우) 및 내부 네트워크에 있는 RADIUS 서버와 통신할 수 있습니다.

다음 표는 인증 서비스에 적용되는 시스템 정책 규칙을 보여줍니다.

구성 그룹	규칙 그룹	규칙 설명
Active Directory	인증 목적으로 디렉터리 서비스에 액세스하는 것을 허용 ISA Server에서 신뢰할 수 있는 서버로 RPC 허용 ISA Server에서 신뢰할 수 있는 서버로 Microsoft CIFS 허용 ISA Server에서 신뢰할 수 있는 서버로 Kerberos 인증 허용	ISA Server 컴퓨터가 Active Directory 디렉터리 서비스를 사용하는 다양한 LDAP 프로토콜, RPC(모든 인터페이스) 프로토콜, 다양한 Microsoft CIFS 프로토콜 및 다양한 Kerberos 프로토콜을 사용하여 내부 네트워크에 액세스할 수 있습니다.
RSA SecurID	ISA Server에서 신뢰할 수 있는 서버로 SecurID 인증 허용	ISA Server 컴퓨터가 RSA SecurID 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.
RADIUS	ISA Server에서 신뢰할 수 있는 RADIUS 서버로 RADIUS 인증 허용	ISA Server 컴퓨터가 다양한 RADIUS 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.
인증서 해지 목록	CRL 다운로드를 위해 ISA Server에서 모든 네트워크에 HTTP 허용	인증 서비스: 업데이트된 CRL(인증서 해지 목록) 다운로드를 위해 ISA Server에서 선택된 네트워크로 HTTP를 허용합니다.

DCOM

DCOM 프로토콜을 사용해야 하는 경우, 예를 들어 ISA Server 컴퓨터를 원격으로 관리하려면 Enforce strict RPC compliance를 설정하지 말아야 합니다.

Enforce strict RPC compliance가 선택되지 않았는지 확인하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에서 Active Directory를 클릭합니다.
Enforce strict RPC compliance가 선택되지 않았는지 확인합니다.

큰 이미지 보기

팁

Windows 및 RADIUS 인증 서비스

Windows 인증 또는 RADIUS 인증이 필요하지 않은 경우 다음 단계를 수행하여 해당 시스템 정책 구성 그룹을 해제해야 합니다.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에서 Active Directory를 클릭합니다.

큰 이미지 보기

General 탭에서 Enable이 선택되지 않았는지 확인합니다.

참고

RADIUS 구성 그룹에 대해 4-5단계를 반복합니다.

참고

RSA SecurID 인증 서비스

RSA SecurID 인증 서버와의 통신은 기본적으로 설정되어 있지 않습니다. 방화벽 정책이 RSA SecurID 인증을 요구하는 경우 이 구성 그룹을 설정해야 합니다.

CRL 인증 서비스

CRL(인증서 해지 목록)은 기본적으로 다운로드할 수 없습니다. 그 이유는 CRL 다운로드 구성 그룹이 기본적으로 해제되어 있기 때문입니다.

CRL 다운로드를 설정하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에서 CRL Download를 클릭합니다.
General 탭에서 Enable이 선택되었는지 확인합니다.
To 탭에서 인증서 해지 목록을 다운로드할 수 있는 네트워크 엔티티를 선택합니다.

큰 이미지 보기

로컬 호스트 네트워크(ISA Server 컴퓨터)에서 To 탭에 나열된 네트워크 엔티티로 모든 HTTP 트래픽이 허용됩니다.

원격 관리

원격 컴퓨터에서 ISA Server를 관리하는 경우가 있습니다. 어느 원격 컴퓨터가 ISA Server를 관리하고 모니터링하도록 허용할 것인지 신중하게 결정하십시오. 다음 표는 구성해야 하는 시스템 정책 규칙을 보여줍니다.

구성 그룹	규칙 그룹	규칙 설명
Microsoft Management Console	MMC를 사용하여 선택된 컴퓨터에서 원격 관리 허용 선택된 컴퓨터로 MS 방화벽 제어 통신 허용	Remote Management Computers 컴퓨터 집합의 컴퓨터가 MS 방화벽 제어 및 RPC(모든 인터페이스) 프로토콜을 사용하여 ISA Server 컴퓨터에 액세스하는 것을 허용합니다.
터미널 서버	터미널 서버를 사용하여 선택된 컴퓨터에서 원격 관리 허용	Remote Management Computers 컴퓨터 집합의 컴퓨터가 RDP(터미널 서비스) 프로토콜을 사용하여 ISA Server 컴퓨터에 액세스하는 것을 허용합니다.
ICMP(Ping)	선택한 컴퓨터에서 ISA Server로 ICMP(PING) 요청 허용	Remote Management Computers 컴퓨터 집합의 컴퓨터가 Ping 프로토콜을 프로토콜을 사용하여 ISA Server 컴퓨터에 액세스하고 그 반대의 경우도 허용합니다.

ISA Server를 원격 관리할 수 있는 시스템 정책 규칙은 기본적으로 설정되어 있습니다. ISA Server는 원격 Microsoft Management Console(MMC) 스냅인을 실행하거나 터미널 서비스를 사용하여 관리할 수 있습니다.

기본적으로 이러한 규칙은 기본 제공되는 Remote Management Computers 컴퓨터 집합에 적용됩니다. ISA Server를 설치하면 이 빈 컴퓨터 집합이 만들어집니다. ISA Server를 원격으로 관리할 모든 컴퓨터에 이 빈 컴퓨터 집합을 추가합니다. 이렇게 할 때까지 원격 관리는 모든 컴퓨터에서 효과적으로 사용할 수 없습니다.

팁

특정 IP 주소에만 적용되도록 시스템 정책 규칙을 구성하여 특정 컴퓨터로 원격 관리를 제한하십시오.

원격 관리를 설정하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Toolbox 탭에서 Network Objects를 클릭합니다.
Network Objects 아래의 도구 모음에 있는 Computer Sets에서 Remote Management Computers를 마우스 오른쪽 단추로 클릭한 다음 Properties를 클릭합니다
Add를 클릭한 다음 Computer를 클릭합니다.
Name에 컴퓨터 이름을 입력합니다.
Computer IP address에 ISA Server를 원격으로 관리할 수 있는 컴퓨터의 IP 주소를 입력합니다.

원격 모니터링 및 로깅

기본적으로 원격 로깅 및 모니터링은 해제되어 있습니다. 다음 구성 그룹은 기본적으로 해제되어 있습니다.

원격 로깅(NetBIOS)
원격 로깅(SQL)
원격 성능 모니터링
Microsoft Operations Manager

다음 표는 구성 그룹에 대한 설명을 제공합니다.

구성 그룹	규칙 그룹	규칙 설명
원격 로깅(NetBIOS)	NetBIOS를 사용하여 신뢰할 수 있는 서버에 원격 로깅 허용	ISA Server 컴퓨터가 다양한 NetBIOS 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.
원격 로깅(SQL)	ISA Server에서 선택된 서버로 원격 SQL 로깅 허용	ISA Server 컴퓨터가 Microsoft(SQL) 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.
원격 성능 모니터링	신뢰할 수 있는 서버에서 ISA Server의 원격 성능 모니터링 허용	Remote Management Computers 컴퓨터 집합의 컴퓨터가 NetBIOS 프로토콜을 사용하여 ISA Server 컴퓨터에 액세스하는 것을 허용합니다.
Microsoft Operations Manager	Microsoft Operations Manager(MOM) 에이전트를 사용하여 ISA Server에서 신뢰할 수 있는 서버로 원격 모니터링 허용	ISA Server 컴퓨터가 Microsoft Operations Manager 에이전트를 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.

원격 로깅 및 모니터링 설정

원격 모니터링 및 로깅을 설정하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에서 다음 구성 그룹 중 하나 이상을 선택합니다.

원격 로깅(NetBIOS)
원격 로깅(SQL)
원격 성능 모니터링
Microsoft Operations Manager

General 탭에서 Enable이 선택되었는지 확인합니다.

방화벽 클라이언트 공유

ISA Server를 설치할 때 방화벽 클라이언트 공유 구성 그룹을 설치한 경우 기본적으로 방화벽 클라이언트 설치 공유 구성 그룹이 설정됩니다. 내부 네트워크에 있는 모든 컴퓨터는 공유 폴더에 액세스할 수 있습니다. 다음 표는 설정된 시스템 정책 구성 그룹(및 규칙)을 보여줍니다.

구성 그룹	규칙 그룹	규칙 설명
방화벽 클라이언트 설치	신뢰할 수 있는 컴퓨터에서 ISA Server의 방화벽 클라이언트 설치 공유에 액세스 허용	내부 네트워크의 컴퓨터가 다양한 Microsoft CIFS 및 NetBIOS 프로토콜을 사용하여 ISA Server 컴퓨터에 액세스하는 것을 허용합니다. 이 규칙을 설정하면 지정된 네트워크 또는 컴퓨터의 SMB를 사용하여 ISA Server 컴퓨터에 액세스할 수 있습니다. 방화벽 클라이언트 설치 공유 폴더에 대해서만 액세스가 제한되지 않습니다.

방화벽 클라이언트 공유 구성 요소를 설치하지 않은 경우 이 구성 그룹은 설정되지 않습니다.

진단 서비스

기본적으로 진단 서비스에 대한 액세스를 허용하는 시스템 정책 규칙이 다음 권한을 갖도록 설정됩니다.

ICMP. 모든 네트워크에 허용됩니다. 이 서비스는 다른 컴퓨터에 대한 연결을 결정하는 데 중요합니다.
Windows 네트워킹. 기본적으로 내부 네트워크의 컴퓨터에 NetBIOS 통신이 허용됩니다.
Microsoft 오류 보고. 오류 정보를 보고할 수 있는 Microsoft 오류 보고 사이트 URL 집합에 HTTP 액세스가 허용됩니다. 기본적으로 이 URL 집합은 특정 Microsoft 사이트를 포함합니다.
연결 검사기. ISA Server 컴퓨터가 HTTP 및 HTTPS 프로토콜을 사용하여 특정 컴퓨터가 응답하는지 여부를 확인할 수 있습니다.

다음 표는 기본적으로 설정된 시스템 정책 구성 그룹을 보여줍니다.

구성 그룹	규칙 그룹	규칙 설명
ICMP	ISA Server에서 선택된 서버로 ICMP 요청 허용	ISA Server 컴퓨터가 다양한 ICMP 프로토콜 및 Ping 프로토콜을 사용하여 모든 네트워크에 액세스하는 것을 허용합니다.
Windows 네트워킹	ISA Server에서 신뢰할 수 있는 서버로 NetBIOS 허용	ISA Server 컴퓨터가 다양한 NetBIOS 프로토콜을 사용하여 모든 네트워크에 액세스하는 것을 허용합니다.
Microsoft(Microsoft 오류 보고)와 통신	ISA Server에서 지정된 Microsoft 오류 보고 사이트로 HTTP/HTTPS 허용	ISA Server 컴퓨터가 HTTP 또는 HTTPS 프로토콜을 사용하여 Microsoft 오류 보고 사이트 URL 집합의 구성원에 액세스하는 것을 허용합니다.

연결 검사기

또한 HTTP 연결 검사기와 같은 진단 서비스는 기본적으로 설정되지 않습니다.

연결 검사기를 만들면 HTTP 연결 검사기 구성 그룹이 설정되어 로컬 호스트 네트워크가 HTTP 또는 HTTPS를 사용하여 다른 네트워크의 컴퓨터에 액세스할 수 있습니다. 다음 표는 HTTP 연결 검사기 구성 그룹을 설명합니다.

구성 그룹	규칙 그룹	규칙 설명
HTTP 연결 검사기	HTTP 연결 검사기에 대해 방화벽에서 모든 네트워크로 HTTP/HTTPS 허용	ISA Server 컴퓨터가 지정된 컴퓨터로 HTTP GET 요청을 보내 연결을 검사하는 것을 허용합니다.

연결을 확인할 특정 컴퓨터에 대해서는 이 액세스를 제한하는 것이 좋습니다.

이 액세스를 제한하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에서 HTTP Connectivity Verifiers를 클릭합니다.

큰 이미지 보기

To 탭에서 All Networks (and Local Host)를 클릭한 다음 Remove를 클릭합니다.
Add를 클릭한 다음 연결을 확인할 네트워크 엔티티를 선택합니다. 로컬 호스트 네트워크(ISA Server 컴퓨터)에서 To 탭에 나열된 네트워크 엔티티로 모든 HTTP 트래픽이 허용됩니다.

SMTP

기본적으로 SMTP 구성 그룹이 설정되어 ISA Server에서 내부 네트워크의 컴퓨터로 SMTP 통신이 허용됩니다. 이는, 예를 들어, 전자 메일 메시지에 경고 정보를 보내려는 경우 필요합니다. 다음 표는 SMTP 구성 그룹을 설명합니다.

구성 그룹	규칙 그룹	규칙 설명
SMTP	ISA Server에서 신뢰할 수 있는 서버로 SMTP 허용	ISA Server 컴퓨터가 SMTP 프로토콜을 사용하여 내부 네트워크에 액세스하는 것을 허용합니다.

예약 다운로드 작업

기본적으로 예약 다운로드 작업 기능은 해제되어 있습니다. 다음 표는 예약 다운로드 작업 구성 그룹을 설명합니다.

구성 그룹	규칙 그룹	규칙 설명
예약 다운로드 작업	예약 다운로드 작업을 위해 ISA Server에서 선택된 컴퓨터로 HTTP 허용	ISA Server 컴퓨터가 HTTP 프로토콜을 사용하여 모든 네트워크에 액세스하는 것을 허용합니다.

콘텐트 다운로드 작업을 만들 때 이 시스템 정책 규칙을 설정할 것인지 묻는 메시지가 나타납니다. ISA Server는 콘텐트 다운로드 작업에 지정된 사이트에 액세스할 수 있습니다.

Microsoft 웹 사이트 액세스

기본 시스템 정책을 사용하면 로컬 호스트 네트워크(즉, ISA Server 컴퓨터)에서 microsoft.com 웹 사이트로 HTTP 및 HTTPS 액세스가 허용됩니다. 이는 다음과 같은 몇 가지 이유에서 필요합니다.

오류 보고(진단 서비스 절에서 설명)
ISA Server 웹 사이트 및 다른 관련 웹 사이트의 유용한 정보에 액세스

기본적으로 Allowed Sites 구성 그룹이 설정되어 ISA Server가 System Policy Allowed Sites 도메인 이름 집합에 속하는 특정 사이트의 콘텐트에 액세스할 수 있습니다. 다음 표는 Allowed Sites 구성 그룹을 설명합니다.

구성 그룹	규칙 그룹	규칙 설명
Allowed Sites	ISA Server에서 지정된 사이트로 HTTP/HTTPS 요청 허용	ISA Server 컴퓨터가 HTTP 또는 HTTPS 프로토콜을 사용하여 System Policy Allowed Sites URL 집합의 구성원에 액세스하는 것을 허용합니다.

이 URL 집합은 기본적으로 다양한 Microsoft 웹 사이트를 포함합니다. 도메인 이름 집합을 수정하여 ISA Server가 액세스를 허용할 추가 웹 사이트를 포함할 수 있습니다.

URL 집합을 수정하여 추가 웹 사이트를 포함하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Toolbox 탭에서 Network Objects를 클릭합니다.
Domain Name Sets에서 System Policy Allowed Sites를 마우스 오른쪽 단추로 클릭한 다음 Properties를 클릭합니다.
General 탭에서 New를 클릭한 다음 특정 웹 사이트에 대한 URL을 입력합니다.

HTTP 및 HTTPS 액세스가 지정된 웹 사이트에 허용됩니다.

잠금 모드

방화벽의 중요한 기능은 공격에 대응하는 것입니다. 공격이 발생하면 첫 번째 방어선의 인터넷 연결을 끊어 악의적인 침입자가 네트워크를 손상시키지 않도록 고려해 볼 수 있습니다. 그러나 권장하는 방법은 아닙니다. 공격은 처리해야 하지만 정상적인 네트워크 연결은 가능한 빨리 복구해야 하며 공격의 소스를 식별해야 합니다.

ISA Server 2004에서 소개된 잠금 기능은 격리 필요성과 연결 유지 필요성을 결합한 것입니다. Microsoft 방화벽 서비스를 종료하도록 하는 상황이 발생할 때마다 ISA Server는 잠금 모드로 들어갑니다. 이는 다음과 같은 경우에 발생합니다.

이벤트가 트리거되어 방화벽 서비스가 종료됩니다. 경고 정의를 구성할 때 어떤 이벤트가 방화벽 서비스를 종료시킬 것인지 결정합니다. 기본적으로 ISA Server가 잠금 모드로 들어갈 때를 구성합니다.
방화벽 서비스는 수동으로 종료됩니다. 악의적인 공격이 확인되면 방화벽 서비스를 종료하면서 ISA Server 컴퓨터와 네트워크가 공격을 처리하도록 구성할 수 있습니다.

영향을 받는 기능

잠금 모드에 있을 때 다음 기능이 적용됩니다.

Firewall Packet Filter Engine(fweng)은 방화벽 정책을 적용합니다.
로컬 호스트 네트워크에서 모든 네트워크로의 나가는 트래픽이 허용됩니다. 나가는 연결이 설정된 경우 해당 연결을 사용하여 들어오는 트래픽에 응답할 수 있습니다. 예를 들어, DNS 쿼리는 같은 연결에서 DNS 응답을 받을 수 있습니다.
트래픽을 명시적으로 허용하는 시스템 정책 규칙이 설정되지 않은 경우 들어오는 트래픽은 허용되지 않습니다. 한 가지 예외는 항상 허용되는 DHCP 트래픽입니다. 즉, UDP 포트 67에서는 로컬 호스트에서 모든 네트워크로 DHCP 요청이 허용되고 UDP 포트 68에서는 DHCP 응답이 허용됩니다.
다음 시스템 정책 규칙이 여전히 적용됩니다.

신뢰할 수 있는 서버에서 로컬 호스트로 ICMP가 허용됩니다.
MMC(포트 3847을 통한 RPC)를 사용한 방화벽의 원격 관리가 허용됩니다.
RDP를 사용한 방화벽의 원격 관리가 허용됩니다.

VPN 원격 액세스 클라이언트는 ISA Server에 액세스할 수 없습니다. 마찬가지로, 사이트 간 VPN 시나리오에서는 원격 사이트 네트워크에 대한 액세스가 거부됩니다.
잠금 모드에 있는 동안 네트워크 구성 변경은 방화벽을 다시 시작하고 ISA Server가 잠금 모드에서 나온 후에만 적용됩니다. 예를 들어, 네트워크 세그먼트를 실제로 이동하고 실제 변경과 일치하도록 ISA Server를 다시 구성하는 경우 ISA Server가 잠금 모드에서 나온 후에만 새 토폴로지가 적용됩니다.
ISA Server는 모든 경고를 트리거하지 않습니다.

잠금 모드 유지

방화벽 서비스를 다시 시작하면 ISA Server는 잠금 모드에서 나오고 이전 상태로 작동을 계속합니다. 모든 ISA Server 구성 변경은 ISA Server가 잠금 모드에서 나온 후에 적용됩니다.

페이지 맨 위로

구성 보호

ISA Server 방화벽 정책을 기업 보안 정책과 함께 구성하면 명시적으로 허용되지 않은 모든 트래픽을 거부하는 원칙을 따릅니다. ISA Server는 기본적으로 이 정책을 구현합니다. 기본 규칙이라고 하는 기본 방화벽 정책 규칙은 모든 사용자가 모든 네트워크에 액세스하는 것을 거부합니다. 이 규칙이 마지막으로 처리되기 때문에 명시적으로 허용되지 않은 모든 트래픽은 거부됩니다.

업그레이드 후 구성의 유효성 검사

ISA Server 2000 정책은 업그레이드하거나 ISA Server Migration Wizard를 사용하여 ISA Server 2004로 마이그레이션할 수 있습니다. 마이그레이션된 정책을 신중하게 검토하십시오. ISA Server 2004는 ISA Server 2000과는 다른 규칙 모델을 사용합니다. 방화벽 정책이 조직의 보안 정책에 따라 구성되었는지 확인하십시오.

방화벽 정책 구성의 유효성 검사

방화벽 정책을 만든 후에는 정책을 적극적으로 확인하는 것이 좋습니다. 통과시키려는 트래픽이 허용되고 있는지 확인합니다. 해당되는 포트만 열려 있는지도 확인합니다.

가상 개인 네트워킹

ISA Server 2004를 VPN(가상 개인 네트워크) 서버로 사용할 때 보안을 위해 가장 좋은 방법을 따르는 것이 중요합니다. 다음은 VPN 서버로서의 역할에서 ISA Server 컴퓨터를 보호하기 위한 권장 목록입니다.

가장 강력한 암호화를 위해서는 IPSec(인터넷 프로토콜 보안) 연결을 통한 L2TP(Layer Two Tunneling Protocol)를 사용하는 것이 좋습니다. 강력한 암호화 정책을 구현하고 시행함으로써 사전 공격 기회를 줄이는 것이 좋습니다. 이러한 정책을 구현하면 계정 잠금을 해제하여 침입자가 계정 잠금을 트리거할 기회를 줄일 수 있습니다.
특정 운영 체제(예: Microsoft Windows Server 2003, Windows 2000 Server 또는 Windows XP )를 실행하는 데 원격 VPN 클라이언트가 필요하다는 것을 고려하십시오. 모든 운영 체제가 파일 시스템 및 사용자 계정에 동일 수준의 보안을 사용하지는 않습니다. 또한 모든 운영 체제에서 모든 원격 액세스 기능을 사용할 수 있는 것은 아닙니다.
ISA Server Quarantine Control 기능을 사용하여 원격 VPN 클라이언트에 대한 단계적 네트워크 액세스를 제공합니다. Quarantine Control을 사용하면 클라이언트는 네트워크에 대한 액세스를 허용하기 전에 격리 모드로 제한됩니다. Quarantine Control이 침입자로부터 보호하지 못하지만 인증된 사용자에 대한 컴퓨터 구성을 확인하고 필요한 경우 네트워크에 액세스하기 전에 해결할 수 있습니다.

VPN을 사용한 바이러스 보호

바이러스에 감염된 VPN 클라이언트 컴퓨터는 요청으로 보호하는 ISA Server 컴퓨터나 네트워크가 넘치는 것을 자동으로 차단하지 못합니다. 이런 일이 발생하지 않도록 하려면 트래픽 로드에서 경고나 예외적인 피크 같은 예외 사항을 검색하는 모니터링 방법을 구현하고 전자 메일 메시지를 사용하도록 경고 알림을 구성하십시오. 감염된 VPN 클라이언트 컴퓨터는 다음과 같은 경우에 식별됩니다.

원격 액세스 정책을 사용하여 사용자 이름별로 VPN 액세스를 제한하여 연결을 허용하는 VPN 클라이언트에서 사용자를 제외하십시오.
IP 주소별로 VPN 액세스를 제한합니다. 차단된 외부 IP 주소를 포함하는 새로운 네트워크를 만들고 외부 네트워크에서 클라이언트의 IP 주소를 새 네트워크로 이동하여 이를 수행합니다.

VPN 인증

적절한 보안을 제공하는 인증 방법을 사용합니다. 스마트 카드와 함께 사용할 때 가장 안전한 인증 방법은 EAP-TLS(Extensible Authentication Protocol-transport Level Security)입니다. PKI(공개 키 인프라)를 요구하는 EAP-TLS와 스마트 카드를 사용할 때 발생하는 배치 문제에도 불구하고 가장 안전한 인증 방법으로 간주됩니다. EAP-TLS를 설정합니다. 이는 원격 액세스 정책의 프로필에서 기본적으로 해제되어 있습니다.

EAP-TLS 인증 프로토콜을 사용할 때는 IAS(인터넷 인증 서비스) 서버에 컴퓨터 인증서를 설치해야 합니다. 클라이언트와 사용자 인증을 위해 클라이언트 컴퓨터에 인증서를 설치하거나 스마트 카드를 사용할 수 있습니다. 인증서를 배포하기 전에 요구 사항에 맞게 인증서를 설계해야 합니다.

암호 기반 인증을 사용하는 경우 네트워크에서 강력한 암호 정책을 사용하여 사전 공격을 더욱 어렵게 만드십시오.

PAP(Password Authentication Protocol), SPAP(Shiva Password Authentication Protocol) 및 CHAP(Challenge Handshake Authentication Protocol) 같은 프로토콜을 사용하도록 하는 대신 MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol version 2) 또는 EAP(Extensible Authentication Protocol) 같은 보다 안전한 인증 프로토콜을 사용하여 원격 VPN 클라이언트를 인증할 것을 요구하는 것을 고려하십시오.

PAP(Password Authentication Protocol), SPAP(Shiva Password Authentication Protocol) 및 CHAP(Challenge Handshake Authentication Protocol)를 해제할 것을 적극 권장합니다. PAP, SPAP 및 CHAP는 기본적으로 해제됩니다.

링크 변환

ISA Server 2004의 링크 변환 기능은 링크 변환이 설정되어 있는지 여부에 관계 없이 HTTP 머리글을 변환합니다. 이는 웹 서버를 게시할 때 모든 도메인 이름을 사용할 수 있도록 지정하면 침입자가 머리글에 악의적인 콘텐트를 보낼 수 있다는 것을 암시합니다. 게시된 서버가 컴퓨터에 있는 페이지로 요청을 리디렉션하는 경우 응답이 손상될 수 있습니다. 침입자가 보낸 머리글에 URL을 포함하도록 수정할 수 있습니다. 이 페이지를 다운스트림 서버가 캐싱하는 경우 페이지에 액세스하는 사용자는 침입자가 구성한 웹 사이트로 리디렉션됩니다.

이런 이유로 웹 게시 규칙을 적용하는 특정 도메인 이름을 지정하는 것이 좋습니다.

특정 도메인 이름을 지정하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
세부 정보 창에서 해당 웹 게시 규칙을 선택합니다.
Tasks 탭에서 Edit Selected Rule을 클릭합니다.
Public Name 탭의 This rule applies to에서 Requests for the following websites를 선택합니다.
Add를 클릭합니다.
Public domain name or IP address에 웹 게시 규칙을 적용해야 하는 특정 도메인 이름을 입력합니다.

연결 제한

ISA Server는 주어진 시간에 연결 수를 제한합니다. 제한을 구성하여 동일 연결의 최대 수를 지정할 수 있습니다. 최대 연결 수에 도달하면 해당 웹 수신기에 대한 새로운 클라이언트 요청은 거부됩니다.

서버 게시나 액세스 규칙에서 초당 허용하는 UDP, ICMP 및 다른 Raw IP 세션 작성의 총수를 제한할 수 있습니다. 이러한 제한은 TCP 연결에 적용되지 않습니다. 지정된 연결 수가 초과되면 새 연결은 만들어지지 않습니다. 기존 연결은 끊어지지 않습니다.

연결 제한은 낮게 구성하는 것이 좋습니다. 이런 방식으로 하면 악의적인 호스트가 ISA Server 컴퓨터의 리소스를 소모하는 것을 효과적으로 제한합니다.

기본적으로 비 TCP 연결의 연결 제한은 규칙별로 초당 1000 연결 및 클라이언트당 160 연결로 구성됩니다. TCP 연결에 대한 연결 제한은 클라이언트당 160 연결로 구성됩니다. 이러한 미리 구성된 제한은 변경하지 않을 것을 적극 권장합니다. 연결 제한을 수정해야 하는 경우 가능한 연결 수를 작게 구성하십시오.

연결 제한을 구성하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭하고 Configuration을 클릭한 다음 General을 클릭합니다.
세부 정보 창에서 Define Connection Limits를 클릭합니다.

큰 이미지 보기

Connection Limit 탭에서 Limit the number of connections per client to를 선택합니다.
다음을 수행하십시오.

Connections created per second, per rule (non-TCP)에 규칙별로 초당 허용되는 연결 수를 입력합니다.
Connection limit per client (TCP and non-TCP)에 클라이언트당 허용되는 연결 수를 입력합니다.

방화벽 클라이언트를 구성하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭하고 Configuration을 클릭한 다음 General을 클릭합니다.
세부 정보 창에서 Define Firewall Client Settings를 클릭합니다.

큰 이미지 보기

Connection 탭에서 Allow non-encrypted Firewall client connections가 선택되지 않았는지 확인합니다.

페이지 맨 위로

배치 시 보안

ISA Server를 보호하는 첫 번째 단계는 ISA Server 컴퓨터가 실제로 안전한지, 기본 보안 구성 권장 사항을 적용하는지 확인하는 것입니다.

서버에 정책을 구성할 때 ISA Server 컴퓨터를 보호하고 보안 지침을 적용한 후에 네트워크 인프라를 배치하는 방법을 고려해야 합니다. 이 절에서는 ISA Server로 보안을 구성하는 네트워크 배치 시 고려해야 할 보안 지침에 대해 설명합니다.

인증

웹 요청에 대한 인증을 구성할 때는 가능한 가장 강력한 인증 방법을 사용하십시오. 안전하지 않은 연결에서는 다음 인증 방법을 사용할 것을 적극 권장합니다.

기본
다이제스트
Outlook Web Access 양식 기반 인증
SecurID
RADIUS

RADIUS 서버 사용

RADIUS(Remote Authentication Dial-In User Service)는 인증을 제공하는 데 사용되는 업계 표준 프로토콜입니다. RADIUS 클라이언트(일반적으로 전화 접속 서버, VPN 서버 또는 무선 액세스 지점)는 사용자 자격 증명과 연결 매개 변수 정보를 RADIUS 메시지 형식으로 RADIUS 서버로 보냅니다. RADIUS 서버는 RADIUS 클라이언트 요청을 인증하고 RADIUS 메시지 응답을 다시 보냅니다.

RADIUS 서버가 클라이언트 자격 증명을 인증하기 때문에 인증 이외에 클라이언트 자격 증명이 승인되지 않았음을 나타내는 ISA Server가 RADIUS 서버로부터 받는 응답은 RADIUS 서버가 실제로 클라이언트를 인증하지 못한 것을 나타낼 수 있습니다. 자격 증명이 인증된 경우라도 ISA Server는 RADIUS 서버 인증 정책을 기반으로 클라이언트 요청을 거부할 수 있습니다.

RADIUS 인증을 요구하는 VPN 또는 방화벽 정책을 구현할 때는 다음 지침에 따르십시오.

RADIUS 사용자 암호 숨김 메커니즘은 암호에 대해 충분한 보안을 제공하지 못할 수 있습니다. RADIUS 숨김 메커니즘은 RADIUS 공유 비밀, 인증자 요청 및 MD5 해시 알고리즘을 사용하여 사용자 암호와 터널 암호 및 MS-CHAP-MPPE-Key 등의 기타 속성을 암호화합니다. RFC 2865는 위험한 환경을 평가하고 추가 보안의 사용 여부를 결정할 필요가 있는지 알려줍니다. ESP(Encapsulating Security Payload)가 포함된 IPSec(Internet Protocol security) 및 3DES(triple DES)와 같은 암호화 알고리즘을 사용하여 숨겨진 속성에 대한 추가 보호 기능을 제공하므로 전체 RADIUS 메시지에 대한 데이터 기밀성을 유지할 수 있습니다. 다음과 같은 권장 지침을 따르십시오.

IPSec을 사용하여 RADIUS 클라이언트와 서버에 대해 추가 보안을 제공하십시오.
강력한 사용자 암호 사용을 요구하십시오.
인증 횟수와 계정 잠금을 사용하여 사용자 암호에 대해 사전 공격을 방지하십시오.
임의 순서의 문자, 숫자, 문장 부호로 구성된 긴 암호를 사용하십시오. 암호를 자주 변경하여 IAS 서버를 보호하십시오.

암호 기반 인증을 사용하는 경우 네트워크에서 강력한 암호 정책을 사용하여 사전 공격을 더욱 어렵게 만드십시오.
사용자 이름이 영어 이외의 언어로 지정된 경우 ISA Server는 ISA Server 컴퓨터에 설치된 현재 코드 페이지를 사용하여 사용자 데이터를 해석합니다. 클라이언트도 같은 코드 페이지를 사용할 경우에만 사용자를 인증할 수 있습니다.
RADIUS 인증된 사용자가 로그온한 상태에서 RADIUS 서버 정책을 변경하는 경우 현재 로그온한 사용자에게는 새 정책이 적용되지 않습니다. 그 이유는 게시된 Outlook Web Access 서버에 액세스하는 사용자가 RADIUS 인증을 사용하여 인증할 때 ISA Server가 로그온한 사용자의 자격 증명을 캐싱하기 때문입니다. RADIUS 서버 정책을 즉시 적용하려면 세션 연결을 끊을 수 있습니다.

인증 서버 연결 확인

인증을 위해 RADIUS 서버를 사용하는 경우 서버 상태를 모니터링하는 연결 검사기를 만듭니다. RADIUS 서버가 작동하지 않을 때는 적절한 조치를 취하도록 경고를 구성합니다.

연결을 확인하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Monitoring을 클릭합니다.
세부 정보 창에서 Connectivity 탭을 클릭합니다.
Tasks 탭에서 Create New Connectivity Verifier를 클릭합니다.
마법사의 Welcome 페이지에서 연결 검사기 이름을 입력하고 Next를 클릭합니다.
Connectivity Verification Details 페이지에서 다음을 수행하십시오.

Monitor connectivity to this server or URL에 모니터링할 서버 이름을 입력합니다.
Verification method에서 확인 방법을 선택합니다. Next를 클릭하고 Finish를 클릭합니다.

HTTP 연결 확인을 허용하는 시스템 정책 규칙이 설정되지 않았는데 Send an HTTP "Get" request를 선택한 경우 시스템 정책 규칙을 설정할 것인지 묻는 메시지가 나타납니다. Yes를 클릭합니다.
HTTP 연결 확인 시스템 정책 규칙에 대한 자세한 내용은 연결 검사기 절을 참조하십시오.
세부 정보 창에서 방금 만든 규칙을 선택합니다.
Tasks 탭에서 Edit Selected Verifier를 클릭합니다.
Properties 탭에서 trigger an alert if the server response is not within the specified timeout이 선택되었는지 확인합니다.

인증 서버 배치

보안을 위해 매우 안전한 네트워크에 인증 서버를 배치하는 것이 좋습니다. 가능하면 내부 및 중간 네트워크에서 분리된 별도의 네트워크에 인증 서버를 배치하도록 하십시오. 이런 방식으로 내부 및 중간 네트워크의 모든 호스트에서 인증 서버로 직접 액세스하는 것이 효과적으로 방지됩니다.

이 경우 인증 서버가 있는 네트워크에 적용되도록 해당 시스템 정책 규칙을 수정해야 합니다.

인증 서버를 배치하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Firewall Policy를 클릭합니다.
Tasks 탭에서 Edit System Policy를 클릭합니다.
시스템 정책 편집기의 구성 그룹 트리에 있는 Authentication Services에서 적절한 인증 방법을 클릭합니다.
To 탭에서 Add를 클릭합니다
Add Network Entities에서 인증 서버가 있는 네트워크를 선택합니다.

DNS 서버

DNS(Domain Name System)는 인터넷 같은 IP 네트워크를 위한 이름 확인 프로토콜입니다. DNS 서버는 클라이언트 컴퓨터가 기억하기 쉬운 영숫자 DNS 이름을 컴퓨터가 서로 통신하는 데 사용하는 IP 주소로 확인할 수 있도록 정보를 제공합니다.

ISA Server에는 DNS 서버 이름 확인 메커니즘과 비슷한 이름 확인 메커니즘이 포함되어 있습니다. 이런 방식으로 클라이언트가 호스트 컴퓨터의 URL을 지정하여 다른 네트워크의 호스트에 요청하면 ISA Server는 호스트 컴퓨터의 이름을 확인할 수 있습니다. ISA Server는 사용자가 구성한 대로 DNS 서버에 이름 확인 요청을 보냅니다.

DNS 캐시 손상을 방지하려면 캐시 손상을 방지하는 옵션이 설정된 신뢰할 수 있는 DNS 서버(예: Windows DNS 서버)를 사용하도록 ISA Server를 구성할 것을 적극 권장합니다. 이 DNS 서버는 내부 네트워크에 있어야 합니다.

신뢰할 수 없는 네트워크(예: 외부 네트워크)에 DNS 서버를 배치하는 경우 신뢰할 수 있는 네트워크(예: 중간 네트워크)에 DNS 서버를 설치하는 것도 좋습니다. 그런 다음 신뢰할 수 는 네트워크의 DNS 서버에 요청을 전달하도록 신뢰할 수 있는 네트워크의 DNS 서버를 구성합니다.

DNS를 구성하려면 ISA Server 컴퓨터에서 다음 단계를 수행하십시오.

시작, 제어판을 클릭한 다음 네트워크 연결을 두 번 클릭합니다.
구성할 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
General 탭의 이 연결에 다음 항목 사용에서 인터넷 프로토콜(TCP/IP)을 클릭한 다음 속성을 클릭합니다.
다음 DNS 서버 주소 사용을 선택합니다.
기본 설정 DNS 서버 및 보조 DNS 서버에 내부 네트워크의 신뢰할 수 있는 DNS 서버의 IP 주소를 입력합니다.

모니터링 및 문제 해결

ISA Server를 통과하도록 허용된 네트워크 트래픽을 모니터링하는 일은 반복적이고 일상적이지만 매우 중요한 작업입니다. 모니터링 기능 중 가장 중요한 부분은 로그와 감사 정보를 신중하게 분석하는 것입니다.

다음 절에서는 로그 정보 무결성을 보장하는 데 도움이 되는 팁과 힌트를 제공합니다.

로깅

로깅은 네트워크 활동을 검토할 기회를 제공하여 네트워크의 리소스에 누가 액세스했는지 확인할 수 있습니다. 로그를 정기적으로 신중하게 검토하여 네트워크 리소스의 의심되는 액세스와 사용을 확인할 수 있습니다. 다음 지침을 사용하면 ISA Server 로깅을 가장 잘 활용할 수 있습니다.

관리자에게 알림을 보내도록 경고를 구성합니다. 신속한 응답 절차를 구현합니다.
최대한의 보안을 위해 별도의 NTFS 디스크 파티션에 로그를 저장합니다. ISA Server 컴퓨터의 관리자만 로그에 액세스하도록 해야 합니다.
SQL 데이터베이스에 로그 정보를 저장할 때는 SQL 인증이 아닌 Windows 인증을 사용합니다.
원격 데이터베이스에 정보를 기록하는 경우 원격 데이터베이스에 복사되는 로그 정보에 대해 암호화 및 데이터 서명을 구성합니다.
최대한의 보안을 위해 ISA Server 컴퓨터와 SQL Server 사이의 통신에 IPSec을 구성합니다.
어떤 이유로 로그 정보를 저장할 수 없는 경우 ISA Server 컴퓨터를 잠급니다. 이렇게 하려면 방화벽 서비스를 중지하는 로그 오류 이벤트에 대해 경고 정의를 구성합니다.

로그 저장소 제한

로그 유지 관리 기능을 신중하게 사용하여 로그 정보가 저장되는 디스크가 가득 차지 않도록 하십시오.

ISA Server 서비스를 중지시키는 로그 저장소 제한 경고 정의를 구성하십시오. 이런 방식으로 액세스를 적절히 감사할 수 있을 때만 액세스가 허용됩니다.

로그 저장소 제한을 구성하려면 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, Microsoft ISA Server를 차례로 가리킨 다음 ISA Server Management를 클릭합니다.
ISA Server Management의 콘솔 트리에서 Microsoft ISA Server 2004를 클릭하고 server_name을 클릭한 다음 Monitoring을 클릭합니다.
세부 정보 창에서 Alerts 탭을 클릭합니다.
Tasks 탭에서 Configure Alert Definitions를 클릭합니다.

큰 이미지 보기

Alert Definitions에서 Log storage limits를 클릭한 다음 Edit를 클릭합니다.
General 탭에서 Enable을 선택합니다.
Actions 탭에서 Stop selected services를 클릭한 다음 Select를 클릭합니다.
Services에서 Microsoft Firewall 및 Microsoft ISA Server Job Scheduler를 선택합니다.

감사

Windows 감사를 설정합니다. 이런 방식으로 ISA Server 컴퓨터에 로그온하는 사용자를 모니터링할 수 있습니다.

감사를 설정하려면 ISA Server 컴퓨터에서 다음 단계를 수행하십시오.

시작을 클릭하고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 로컬 보안 정책을 클릭합니다.
세부 정보 창에서 보안 설정, 로컬 정책 및 감사 정책을 차례로 클릭합니다.
세부 정보 창에서 로그온 이벤트 감사를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
성공 및 실패를 선택합니다.

페이지 맨 위로

추가 리소스

Microsoft ISA Server에 대한 자세한 내용은 Microsoft ISA Server 웹 사이트를 참조하십시오.

이 문서에 대해 추가적인 질문이나 피드백이 필요하시면 의견을 보내주십시오.

페이지 맨 위로