IPSEC을 이용하여 네트워크 접근 제어 강화

출처 : http://itka.kr/entry/Windows-IPSEC을-이용하여-네트워크-접근-제어-강화

1. 서버에 IPSec Policies Tool 설치합니다. http://download.microsoft.com/download/win2000platform/ipsecpol/1.00.0.0/nt5/en-us/ipsecpol_setup.exe

2. Command line에서 ipsecpol 설치 디렉토리로 이동합니다.

Script 작성 방법
(Batch파일로 작성하여 활용하시기 바랍니다.)
ipsecpol -w REG -p "Secure traffic" -r "All Deny TCP" -n BLOCK -f *+0::TCP

*설명
ipsecpol -w REG -p "Secure traffic" (IP보안정책 이름) -r "All Deny TCP" (규칙이름) -n BLOCK(거부) -f *(모든IP)+0(자신):TCP(TCP포트)

즉 IP 보안 정책을 Secure traffic으로 만들고 그안에 IP 보안 규칙 All Deny TCP로
생성하여 자신에게 들어오는 TCP 포트를 차단하겠다라는 설정입니다.
정책을 실행하려면 아래 스크립트를 추가 하시면 됩니다.

외부에서 서버로 접속할수 있는 80포트와 ICMP 서비스를 허용 하는 구분입니다.

ipsecpol -w REG -p " Secure traffic" -r "Service allow" -n PASS -f *+0:80:TCP -f *+0::ICMP

192.168.0.1로 오는 모든 포트를 허용 하는 스크립트 입니다.
ipsecpol -w REG -p " Secure traffic" -r "Service allow" -n PASS -f 192.168.0.1+0:ALL

참고 :
정책을 할당하는 스크립트는
ipsecpol -w REG -p " Secure traffic " -x

할당된 정책의 해제는
ipsecpol -w REG -p " Secure traffic " -y
참고 : 스크립트 제작시 제일 처음 모든 UDP/TCP를 거부를 넣은후 허용할 주소를
기입하는 방식이 좋습니다.