DetailPage-MSS-KB

기술 자료

기술 자료: 241570 - 마지막 검토: 2004년 10월 3일 일요일 - 수정: 1.1

 
이 문서는 이전에 다음 ID로 출판되었음: KR241570

요약

이 문서에서는 인터넷 연결 공유(ICS)의 보안 기능을 설명합니다. ICS가 보안 목적의 방화벽 역할을 하는 것은 아니지만 이를 사용하여 완전한 기능을 갖춘 인터넷 연결을 제공하면서 상당히 안전한 환경을 제공할 수 있습니다.

추가 정보

ICS는 네트워크 주소 변환(NAT) 기술을 사용하여 두 네트워크 간에 TCP/IP 패킷을 라우팅합니다. ICS는 내부 네트워크(대개 소규모 LAN)와 외부 네트워크(대개 인터넷)를 연결합니다. ICS는 TCP/UDP 포트 번호를 내부 네트워크에 있는 특정 인터넷 프로토콜(IP) 주소에 연결합니다. IP 주소와 연결된 포트 번호는 테이블에 기록됩니다.

예를 들어, ICS 내부 어댑터의 IP 주소는 192.168.0.1이고 외부 ICS 어댑터는 인터넷 서비스 공급자(ISP)가 할당한 156.59.23.100의 IP 주소를 갖습니다. 클라이언트는 TCP/IP 패킷을 포트 80의 인터넷에 있는 131.125.13.1의 웹 주소에 보냅니다. 패킷에는 다음 정보가 포함됩니다.
대상 IP 주소= 131.125.13.1(인터넷 대상 주소)
원본 IP 주소= 192.168.0.2
대상 포트= 80
원본 포트= 2000(프로그램에서 설정)
131.125.13.1은 192.168.0.x 주소 범위에 포함되지 않기 때문에 패킷은 기본 게이트 역할을 수행하는 ICS 컴퓨터로 향합니다. ICS 컴퓨터는 새 패킷을 생성하여 131.125.13.1의 웹 페이지로 보냅니다. 패킷에는 다음 정보가 포함됩니다.
대상 IP 주소= 131.125.13.1
원본 IP 주소= 156.59.23.100(ISP가 ICS 외부 어댑터에 할당한 IP 주소)
대상 포트= 80
원본 포트= 3000
원본 IP 주소와 원본 포트의 값이 변경되었습니다. 즉, 연결이 닫힐 때까지 포트 3000이 IP 주소 192.168.0.2로 매핑됩니다. 포트 매핑은 테이블에 기록됩니다. 웹 페이지가 응답한 후에 ICS 컴퓨터는 다음 정보가 포함된 패킷을 수신합니다.
대상 IP 주소= 156.59.23.100
원본 IP 주소= 131.125.13.1
대상 포트= 3000
원본 포트= 80
그런 다음 ICS 컴퓨터는 패킷을 변환하고 처음 패킷이 발생한 192.168.0.2의 클라이언트 IP 주소로 새 패킷을 전달합니다. ICS는 정보가 포트 매핑 테이블에 기록되기 때문에 포트 3000이 IP 주소에 할당된 것을 감지합니다. 패킷은 다음 정보를 포함하는 클라이언트로 전송됩니다.
대상 IP 주소= 192.168.0.2
원본 IP 주소= 131.125.13.1
대상 포트= 2000
원본 포트= 80
패킷이 발생한 클라이언트에서 사용하는 IP 주소와 포트 번호로 대상 포트와 IP 주소가 변경되었습니다. 이런 변환 과정으로 인해 인터넷은 ICS 컴퓨터를 포함하여 ICS 컴퓨터 배후의 LAN(모든 클라이언트)을 하나의 IP 주소로 감지합니다.

인터넷의 패킷이 ICS 컴퓨터 배후의 클라이언트에 도달하는 방법은 두 가지밖에 없습니다.
  • ICS 컴퓨터는 들어오는 패킷을 변환하고 변환 테이블에 기초하여 클라이언트 컴퓨터에 새 패킷을 전송합니다. 클라이언트는 ICS 컴퓨터를 통해 인터넷에서 패킷을 수신하려면 먼저 패킷을 전송해야 하기 때문에 포트 매핑이 설정됩니다.
  • ICS 컴퓨터는 특정 포트에 들어오는 모든 소통량을 특정 클라이언트 컴퓨터로 보내도록 구성됩니다. 이 방법을 사용하려면 기본 구성을 변경해야 합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    231162  (http://support.microsoft.com/kb/231162/KO/ ) .inf 파일을 사용하여 ICS의 포트를 매핑하는 방법
    네트워크 주소 변환에 대한 자세한 내용은 RFC 1631을 참조하십시오.
ICS 컴퓨터에서 TCP 포트 135와 UDP 포트 139를 제외한 나머지 포트 1-1024는 특별히 차단되지 않습니다. 이들 포트를 차단하면 외부 어댑터의 파일 및 프린터 공유 요청(SMB 요청)이 작동하지 않습니다. 따라서 ICS 컴퓨터에 들어오고 나가는 TCP/IP 패킷에 다음과 같은 영향을 미칩니다.
  • ICS 컴퓨터가 전송하고 1024 이상의 포트를 사용하여 인터넷에서 수신한 모든 패킷은 ICS 컴퓨터 배후의 다른 클라이언트 컴퓨터와 마찬가지로 변환을 요구합니다. 예를 들어, ICS 컴퓨터에서 발생하는 패킷과 포트 500의 대응하는 응답 패킷은 이 문서 앞부분에서 설명한 변환 과정을 거쳐야 합니다.
  • ICS 컴퓨터가 전송하고 포트 1024 이하의 포트를 사용하여 인터넷에서 수신한 모든 패킷은 변환되지 않고 인터넷이나 ICS 컴퓨터에 있는 컴퓨터로 직접 전송됩니다. 예를 들어, ICS 컴퓨터에서 홈 페이지를 열면 패킷이 포트 80으로 전송되고 변환되지 않고 인터넷으로 직접 이동합니다. 뿐만 아니라, 포트 80에서 ICS 컴퓨터로 수신한 패킷은 포트 80에서 적극적으로 수신 대기하는 ICS 컴퓨터의 프로그램으로 직접 전송됩니다(예: 웹 서버). ICS 컴퓨터가 포트 1024 이하에서 요청에 직접 응답하려면 프로그램은 요청한 것과 같은 포트에서 패킷을 수신 대기해야 합니다. 기본적으로 ICS 컴퓨터는 포트 135와 139가 차단되어 있기 때문에 이들 포트에서 서버 메시지 블록(SMB) 요청에 응답하지 않습니다.
ICS는 ICS 컴퓨터에 있는 외부 어댑터로부터 파일 및 프린터 공유 연결을 끊지 않습니다. 전화 접속 네트워킹(DUN)은 이더넷 어댑터(DSL과 케이블 모뎀 연결의 경우)가 기본적으로 파일 및 프린터 공유 연결을 끊지 않는 전화 접속 어댑터에서 파일 및 프린터 공유 연결을 끊습니다. ICS 컴퓨터의 포트 135와 139는 인터넷의 원격 컴퓨터가 로컬 네트워크의 프린터를 공유하기 위해 액세스하지 못하도록 외부 어댑터에서 기본적으로 차단됩니다. 이 포트를 차단하는 것은 LAN에서 다른 프린터와 파일 및 프린터를 공유하는 ICS 컴퓨터의 기능에는 영향을 미치지 않습니다. 이들 포트를 차단하지 않으면 로컬 네트워크 프린터가 노출되고 인터넷에 공유되므로 좋지 않습니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
키워드: 
kbenv kbinfo kbwinme win98se KB241570
폐기된 기술 자료 문서더 이상 지원되지 않는 제품의 KB 내용에 대한 고지 사항
이 문서에서는 Microsoft에서 더 이상 지원하지 않는 제품에 대해 설명합니다. 따라서 이 문서는 "있는 그대로" 제공되며 업데이트되지 않습니다.
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.