Windows 방화벽 특정 포트 IP 허용

Windows 방화벽 특정 포트 IP 허용하기

---

이번해에는 랜섬웨어로 인한 많은 이슈가 있었으며, 랜섬웨어를 막기위해선 SMB 관련포트를 모두 차단해야된다는 결과가 발표되었습니다 

그런데 SMB 관련포트를 모두 차단하게 되어 서버간의 상호 백업, 공유 프린터 등등의 안되는 경우가 많았습니다 이러한 이슈로 서버를 관리하는데 필수 조건인 백업에 대한 어려움을 겪게 되었고 그리하여 Windows 방화벽 정책에 알아보았는데 Windows 방화벽에서의 기능의 특정 포트의 대한 IP 정책을 허용할 수 있다는 것을 알게되었습니다.

관련글 :

Windows 방화벽 포트 열기 - http://server-talk.tistory.com/81

Windows 원격 데스크톱 포트 변경 - http://server-talk.tistory.com/57

랜섬웨어 사전예방 SMB포트 차단 방법 - http://server-talk.tistory.com/125

Windows 방화벽 특정 포트 IP 허용하기

IP 허용 포트는 랜섬웨어 관련 포트인 443포트로 진행해보도록 하겠습니다.

Windows 방화벽 정책 구성

출발지 IP : 192.168.20.35 (허용할 IP)

도착지 IP : 192.168.65.139 (방화벽에서 정책을 반영할 서버)

Port : 443 (SMB 관련 포트)

정책명 : SMB_특정_IP허용

- 방화벽 정책을 구성할 경우 이와 같은 경우로 구성하도록 하겠습니다

Windows상에서 특정 IP를 허용 하려면 고급방화벽에서 설정하며, 윈도우 + R를 입력하여 wf.msc를 입력합니다.

고급 보안이 포함된 Windows 방화벽 창에서 좌측 인바인드 규칙을 선택 후 미리 만들어 둔 방화벽 정책인 SMB_특정_IP허용 청책을 더블클릭하여 속성창으로 들어갑니다.

Windows 방화벽에 등록된 정책을 확인 하실수 있으며 상단 탭의 영역을 선택 후 특정 IP를 방화벽정책에 허용하기 위한 다음 IP주소를 체크후 추가를 선택합니다

허용하실 IP를 입력후 확인을 선택합니다.

위 내용을 보시면 입력했던 IP가 적용된 것을 확인 하실 수 있습니다

IP허용하시다 보면 많은 양의 IP를 등록해야 되는 경우가 있을 수 있습니다 이러한 경우 서브넷을 이용한 범위를 나누어 허용할 IP범위를 지정할 수 있습니다.

관련글 :

TCP와 UDP 란? - http://server-talk.tistory.com/43

IP주소 체계- (IPv4) - http://server-talk.tistory.com/44

서브넷팅이란? - IPv4 Subnetting - http://server-talk.tistory.com/46

CIDR(사이더) - 소개와 개념과 계산법 - http://server-talk.tistory.com/47

Windows IP 허용 범위 지정

위 내용을 보시면 단일 IP, 서브넷, IP 주소 범위 등을 설정하실 수 있습니다 이번 포스팅에선 서브넷을 이용 방법으로 진행하였습니다.

적용한 IP를 확인 하신후 선택하여 정책을 반영하시면 됩니다.

Windows 방화벽 정책적용시 참고사항

Windows 방화벽 정책 반영시 참고하셔야 될 내용이 있습니다

위 내용을 보시면 443 포트의 대한 차단과 특정 IP 허용이 있습니다

빨간박스(443 포트 모두 차단)가 노란박스(443 포트 IP 허용)정책보다 위에 있는 것을 확인하실 수 있으실것입니다 이러한 경우 방화벽은 기본적으로 차단정책을 우선적으로 반영 되어 있도록 되어 있으므로 아무리 허용을 한다고 하여도 허용되지 않습니다

특정 포트의 IP를 허용하실 경우에는 차단정책을 제거하신 후 진행하시기 바랍니다.