고급 필터링 옵션

방화벽 및 네트워크 공격 보호 섹션을 통해 고급 필터링 옵션을 구성하여 컴퓨터에 대해 실행할 수 있는 여러 가지 유형의 공격과 취약성을 탐지할 수 있습니다.

note

차단된 통신에 대한 위협 알림을 수신하지 못하는 경우도 있습니다. 방화벽 로그에서 차단된 모든 통신을 보는 방법과 관련된 지침을 확인하려면 로그에서 규칙 또는 예외 로깅 및 생성 섹션을 참조하십시오.

important

고급 설정(F5) > 네트워크 보호 > 방화벽 및 고급 설정(F5) > 네트워크 보호 > 네트워크 공격 보호의 특정 옵션 사용 여부는 방화벽 모듈의 유형 또는 버전과 운영 체제의 버전에 따라 달라질 수 있습니다.

icon_section 허용된 서비스

이 그룹의 설정은 신뢰 영역에서 이 컴퓨터의 서비스에 대한 접근 권한을 간단하게 구성할 수 있게 해줍니다. 이러한 설정 중 많은 부분은 미리 정의된 방화벽 규칙을 활성화/비활성화합니다.

신뢰 영역에서 파일 및 프린터 공유 허용 - 신뢰 영역의 원격 컴퓨터에서 공유 파일 및 프린터에 접근하도록 허용합니다.

신뢰 영역에서 시스템 서비스에 대해 UPNP 허용 - 시스템 서비스에 들어오고 나가는 UPnP 프로토콜 요청을 허용합니다. UPnP(Microsoft 네트워크 검색이라고도 하는 범용 플러그 앤 플레이)는 Windows Vista 이상 버전의 운영 체제에서 사용됩니다.

신뢰 영역에서 들어오는 RPC 통신 허용 - MS RPC Portmapper 및 RPC/DCOM 서비스에 대한 접근을 허용하는 신뢰 영역에서 TCP 연결을 활성화합니다.

신뢰 영역에서 원격 데스크탑 허용 - Microsoft RDP(원격 데스크탑 프로토콜)를 통한 연결을 활성화하고, 신뢰 영역의 컴퓨터가 RDP를 사용하는 프로그램(예: 원격 데스크탑 연결)을 통해 컴퓨터에 접근하도록 허용합니다. 신뢰 영역 외부의 RDP 연결 허용 방법도 참조하십시오.

IGMP를 통한 멀티캐스트 그룹 로그인 활성화 - 들어오고 나가는 IGMP/들어오는 UDP 멀티캐스트 스트림(예: IGMP 프로토콜(Internet Group Management Protocol)을 사용하는 애플리케이션에서 생성된 비디오 스트림)을 허용합니다.

브리지된 연결을 위한 통신 허용 - 브리지된 연결이 종료되지 않도록 하려면 이 옵션을 선택합니다. 브리지된 네트워킹은 호스트 컴퓨터의 이더넷 어댑터를 사용하여 가상 컴퓨터를 네트워크에 연결합니다. 브리지된 네트워킹을 사용하는 경우 가상 컴퓨터가 네트워크의 다른 장치에 액세스할 수 있으며, 그 반대의 경우도 네트워크에 있는 실제 컴퓨터인 것처럼 액세스할 수 있습니다.

신뢰 영역에서 시스템 서비스에 대해 자동 웹 서비스 디스커버리(WSD) 허용 - 신뢰 영역에서 들어오는 웹 서비스 디스커버리 요청이 방화벽을 통과하도록 허용합니다. WSD는 로컬 네트워크에서 서비스를 찾는 데 사용되는 프로토콜입니다.

신뢰 영역에서 멀티캐스트 주소 해석 허용(LLMNR) - LLMNR(링크-로컬 멀티캐스트 이름 해석)은 IPv4 및 IPv6 호스트가 DNS 서버 또는 DNS 클라이언트 구성을 요청하지 않고도 동일한 로컬 링크에서 호스트 이름을 해석할 수 있도록 허용하는 DNS 패킷 기반 프로토콜입니다. 이 옵션은 신뢰 영역에서 들어오는 멀티캐스트 DNS 요청이 방화벽을 통과하도록 허용합니다.

Windows 홈 그룹 지원 - Windows 7 이상 버전의 운영 체제에 대한 홈 그룹 지원을 활성화합니다. 홈 그룹은 홈 네트워크에서 파일 및 프린터를 공유할 수 있습니다. 홈 그룹을 구성하려면 시작 > 제어판 > 네트워크 및 인터넷 > 홈 그룹으로 이동합니다.

icon_section 침입 검출

프로토콜 SMB - SMB 프로토콜에서 다양한 보안 문제를 검출하고 차단합니다.

Rogue 서버 인증 시도 공격 검출 - 사용자 자격 증명을 얻기 위해 인증 시 Rogue 인증을 사용하는 공격으로부터 보호합니다.

명명된 파이프를 여는 동안 IDS 우회 검색 - SMB 프로토콜에서 MSRPCS 명명된 파이프를 여는 데 사용되는 알려진 우회 기술을 검색합니다.

CVE(일반적인 취약성 및 노출) 검출 - 다양한 공격, 양식, 보안 헛점 및 SMB 프로토콜을 통한 익스플로이트에 대해 구현된 검출 방법입니다. CVE 식별자에 대한 자세한 내용을 검색하고 보려면 CVE 웹 사이트(cve.mitre.org)를 참조하십시오.

프로토콜 RPC - DCE(Distributed Computing Environment)용으로 개발된 원격 프로시저 호출 시스템에서 다양한 CVE를 검출하고 차단합니다.

프로토콜 RDP - RDP 프로토콜에서 다양한 CVE를 검출하고 차단합니다(위 참조).

ARP 악성 공격 검출 - "메시지 가로채기" 공격으로 트리거되는 ARP 악성 공격이나 네트워크 스위치의 스니핑을 검출합니다. ARP(주소 해석 프로토콜)은 네트워크 애플리케이션이나 장치가 이더넷 주소를 확인하는 데 사용됩니다.

TCP/UDP 포트 검사 공격 검출 - 활성 포트를 찾고 서비스 취약점을 악용하려는 목적으로 다양한 포트 주소에 클라이언트 요청을 보내 열린 포트에 대한 호스트를 조사하도록 고안된 애플리케이션인 포트 검사 소프트웨어의 공격을 검출합니다. 이러한 공격 유형에 대한 자세한 내용은 용어집을 참조하십시오.

공격 검출 후 안전하지 않은 주소 차단 - 공격의 근원지로 검출된 IP 주소는 특정 기간 동안 연결하지 못하도록 차단 목록에 추가됩니다.

공격 감지 후 알림 표시 - 화면 오른쪽 아래의 시스템 트레이 알림을 켭니다.

보안 허점을 통해 들어오는 공격도 알림 표시 - 보안 허점을 통한 공격이 감지되었거나 이러한 방식으로 위협이 시스템에 침투하려는 경우 경고합니다.

icon_section 패킷 검사

SMB 프로토콜에서 관리자 공유에 대해 들어오는 연결 허용 - 관리 공유는 시스템의 하드 드라이브 파티션(C$, D$ 등)을 시스템 폴더(ADMIN$)와 공유하는 기본 네트워크 공유입니다. 관리 공유에 대한 연결을 비활성화하면 많은 보안 위험이 줄어듭니다. 예를 들어 Conficker 웜은 관리 공유에 연결하기 위해 사전 공격을 수행합니다.

이전(지원되지 않는) SMB 언어 거부 - IDS에서 지원하지 않는 이전 SMB 언어를 사용하는 SMB 세션을 거부합니다. 최신 Windows 운영 체제는 Windows 95와 같은 이전 운영 체제와의 호환성 문제 때문에 이전 SMB 언어를 지원합니다. 공격자는 트래픽 조사를 회피하기 위해 SMB 세션에 이전 언어를 사용할 수 있습니다. 컴퓨터가 이전 버전의 Windows를 사용하는 컴퓨터와 파일을 공유(또는 일반적으로 SMB 통신을 사용)할 필요가 없으면 이전 SMB 언어를 거부하십시오.

확장된 보안이 없는 SMB 세션 거부 - LM(LAN Manager) Challenge/Response 인증보다 안전한 인증 메커니즘을 제공하기 위해 SMB 세션 협상 중에 확장된 보안이 사용될 수 있습니다. LM 체계는 약한 것으로 간주되므로 사용하지 않는 것이 좋습니다.

신뢰 영역 외부에 있는 서버에 대해 SMB 프로토콜에서 실행 파일 열기 거부 - 방화벽의 신뢰 영역에 속해 있지 않은 서버의 공유 폴더에서 실행 파일(.exe, .dll, ...)을 열려고 하면 연결이 끊어집니다. 신뢰할 수 있는 소스의 실행 파일을 복사하는 것은 적법할 수 있지만, 이 검출에서는 악의적인 서버에 있는 파일을 원치 않는 방식으로 열 때(예: 공유 악성 실행 파일의 하이퍼링크를 클릭하여 파일이 열림) 발생하는 위험을 완화해야 합니다.

신뢰 영역에서 서버 연결 시 SMB 프로토콜의 NTLM 인증 거부 - NTLM(두 버전 모두 해당) 인증 체계를 사용하는 프로토콜은 자격 증명 전달 공격(SMB 프로토콜의 경우 SMB 릴레이 공격으로 알려져 있음)을 받기 쉽습니다. 신뢰 영역 외부에 있는 서버의 NTLM 인증을 거부하면 신뢰 영역 밖에 있는 악의적인 서버에서 자격 증명을 전달하여 발생하는 위험이 줄어듭니다. 마찬가지로 신뢰 영역의 서버를 통한 NTLM 인증을 거부할 수 있습니다.

Security Account Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SAMR]을 참조하십시오.

Local Security Authority 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-LSAD][MS-LSAT]를 참조하십시오.

Remote Registry 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-RRP]를 참조하십시오.

Service Control Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SCMR]을 참조하십시오.

Server 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SRVS]를 참조하십시오.

기타 서비스와의 통신 허용 - MSRPC는 Microsoft에서 구현한 DCE RPC 메커니즘입니다. 더욱이 MSRPC에서는 전송(ncacn_np 전송)용 SMB(네트워크 파일 공유) 프로토콜로 이동되는 명명된 파이프를 사용할 수 있습니다. MSRPC 서비스는 Windows 시스템을 원격으로 접근 및 관리하기 위한 인터페이스를 제공합니다. Windows MSRPC 시스템에서는 몇 가지 보안 취약점(Conficker 웜, Sasser 웜 등)이 검색되고 악용되었습니다. 많은 보안 위험(예: 원격 코드 실행 또는 서비스 실패 공격)을 줄이려면 제공할 필요가 없는 MSRPC 서비스와의 통신 기능은 비활성화하십시오.