Partager via

Ajout d’une sécurité IP <add>

Vue d’ensemble

L’élément <add> de la collection <ipSecurity> définit une restriction de sécurité IP unique. Chaque restriction peut être basée sur l’adresse IP version 4, une plage d’adresses IP version 4 ou un nom de domaine DNS.

Compatibilité

Version Notes
IIS 10.0 L’élément <add> n’a pas été modifié dans IIS 10.0.
IIS 8.5 L’élément <add> n’a pas été modifié dans IIS 8.5.
IIS 8.0 L’élément <add> n’a pas été modifié dans IIS 8.0.
IIS 7.5 L’élément <add> n’a pas été modifié dans IIS 7.5.
IIS 7.0 L’élément <add> de la collection <ipSecurity> a été introduit dans IIS 7.0.
IIS 6.0 La collection <ipSecurity> remplace la propriété métabase IPSecurity IIS 6.0.

Programme d’installation

L’installation par défaut d’IIS n’inclut pas le service de rôle ni la fonctionnalité Windows pour la sécurité IP. Pour utiliser la sécurité IP sur IIS, vous devez installer le service de rôle ou la fonctionnalité Windows en procédant comme suit :

Windows Server 2012 ou Windows Server 2012 R2

  1. Dans la barre des tâches, cliquez sur Gestionnaire de serveur.
  2. Dans Gestionnaire de serveur, cliquez sur le menu Gérer, puis sur Ajouter des rôles et des fonctionnalités.
  3. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant. Sélectionnez le type d’installation, puis cliquez sur Suivant. Sélectionnez le serveur de destination, puis cliquez sur Suivant.
  4. Dans la page Rôles serveur, développez Serveur web (IIS), Serveur web, Sécurité, puis sélectionnez Restrictions d’adresse IP et de domaine. Sélectionnez Suivant.
    Screenshot that shows I P and Domain Restrictions selected for Windows Server 2012. .
  5. Dans la page Sélectionner les composants, cliquez sur Suivant.
  6. Dans la page Confirmer les sélections d’installation, cliquez sur Installer.
  7. Dans la page Résultats , cliquez sur Fermer.

Windows 8 ou Windows 8.1

  1. Dans l’écran Démarrer, déplacez le pointeur jusqu’au coin inférieur gauche, cliquez avec le bouton droit sur le bouton Démarrer, puis cliquez sur Panneau de configuration.
  2. Dans Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.
  3. Développez Internet Information Services, Services World Wide Web, Sécurité, puis sélectionnez Sécurité IP.
    Screenshot that shows I P Security selected for Windows 8.
  4. Cliquez sur OK.
  5. Cliquez sur Fermer.

Windows Server 2008 ou Windows Server 2008 R2

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

  2. Dans le volet de hiérarchie du Gestionnaire de serveur, développez Rôles, puis cliquez sur Serveur web (IIS).

  3. Dans le volet Serveur web (IIS), faites défiler jusqu’à la section Services de rôle, puis cliquez sur Ajouter des services de rôle.

  4. Dans la page Sélectionner des services de rôle de l’Assistant Ajout de services de rôle, sélectionnez Restrictions d’adresse IP et de domaine, puis cliquez sur Suivant.

    Screenshot that shows I P and Domain Restrictions selected for Windows Server 2008.

  5. Dans la page Confirmer les sélections pour l'installation, cliquez sur Installer.

  6. Dans la page Résultats , cliquez sur Fermer.

Windows Vista ou Windows 7

  1. Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Dans Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services, Services World Wide Web, puis Sécurité.

  4. Sélectionnez Sécurité IP, puis cliquez sur OK.

    Screenshot that shows I P Security selected for Windows Vista or Windows 7.

Procédure

Comment ajouter des restrictions d’adresse IP pour refuser l’accès pour un site web

  1. Ouvrez le Gestionnaire Internet Information Services (IIS) :

    • Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :

      • Dans la barre des tâches, cliquez sur Gestionnaire de serveur, sur Outils, puis sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows 8 ou Windows 8.1 :

      • Maintenez la touche Windows enfoncée, appuyez sur la lettre X, puis cliquez sur Panneau de configuration.
      • Cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :

      • Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Vista ou Windows 7 :

      • Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
      • Double-cliquez sur Outils d’administration, puis sur Gestionnaire Internet Information Services (IIS).

  2. Dans le volet Connexions, développez le nom du serveur, développez Sites, puis le site, l’application ou le service web pour lequel vous souhaitez ajouter des restrictions d’adresse IP.

  3. Dans le volet Accueil, double-cliquez sur la fonctionnalité Restrictions d’adresse IP et de domaine.
    Screenshot that shows the Home pane in I I S Manager.

  4. Dans la fonctionnalité Restrictions d’adresse IP et de domaine, cliquez sur Ajouter une entrée de refus… dans le volet Actions.
    Screenshot that shows the I P Address and Domain Restrictions pane.

  5. Entrez l’adresse IP que vous souhaitez refuser, puis cliquez sur OK.
    Screenshot that shows the Add Deny Restriction Rule dialog box.

Comment modifier les paramètres de la fonctionnalité de restrictions d’adresse IP pour un site web

  1. Ouvrez le Gestionnaire Internet Information Services (IIS) :

    • Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :

      • Dans la barre des tâches, cliquez sur Gestionnaire de serveur, sur Outils, puis sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows 8 ou Windows 8.1 :

      • Maintenez la touche Windows enfoncée, appuyez sur la lettre X, puis cliquez sur Panneau de configuration.
      • Cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :

      • Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire Internet Information Services (IIS).

    • Si vous utilisez Windows Vista ou Windows 7 :

      • Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
      • Double-cliquez sur Outils d’administration, puis sur Gestionnaire Internet Information Services (IIS).

  2. Dans le volet Connexions, développez le nom du serveur, développez Sites, puis le site, l’application ou le service web pour lequel vous souhaitez ajouter des restrictions d’adresse IP.

  3. Dans le volet Accueil, double-cliquez sur la fonctionnalité Restrictions d’adresse IP et de domaine.
    Screenshot that shows the Home pane in Internet Information Services Manager.

  4. Dans la fonctionnalité Restrictions d’adresse IP et de domaine, cliquez sur Modifier les paramètres de la fonctionnalité… dans le volet Actions.
    Screenshot that shows the I P Address and Domain Restrictions window.

  5. Choisissez le comportement d’accès par défaut pour les clients non spécifiés, indiquez s’il faut activer les restrictions par nom de domaine et s’il faut activer le mode Proxy, sélectionnez le type d’action de refus, puis cliquez sur OK.
    Screenshot that shows the Add Deny Restriction Rule dialog box. Forbidden is selected under Deny Action Type.

Configuration

Les règles sont traitées de haut en bas, dans l’ordre dans lequel elles apparaissent dans la liste. L’attribut allowunlisted est traité en dernier. La bonne pratique pour les restrictions de sécurité du protocole Internet (IPsec) consiste à répertorier d’abord les règles de refus.

Attributs

Attribut Description
allowed Attribut booléen facultatif.

Spécifie s’il faut autoriser l’accès à l’espace d’adressage.

La valeur par défaut est false.
domainName Attribut de chaîne facultatif.

Spécifie le nom de domaine sur lequel imposer une règle de restriction. Vous pouvez utiliser un astérisque (*) comme caractère générique.
ipAddress Attribut de chaîne facultatif.

Spécifie l’adresse IP version 4 sur laquelle imposer une règle de restriction.
subnetMask Attribut de chaîne facultatif.

Spécifie le masque de sous-réseau avec lequel évaluer l’adresse IP pour cette règle de restriction. Vous pouvez utiliser un masque de sous-réseau pour identifier une plage d’adresses IP dans un espace d’adressage. La valeur par défaut nécessite une correspondance directe de l’adresse IP évaluée (en fait, une plage d’une seule adresse).

La valeur par défaut est 255.255.255.255.

Éléments enfants

Aucune.

Exemple Configuration

L’exemple de configuration suivant ajoute deux restrictions d’adresse IP au site web par défaut ; la première restriction refuse l’accès à l’adresse IP 192.168.100.1 et la deuxième restriction refuse l’accès à l’ensemble du réseau 169.254.0.0.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <ipSecurity>
            <add ipAddress="192.168.100.1" />
            <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" />
         </ipSecurity>
      </security>
   </system.webServer>
</location>

Exemple de code

Les exemples de code suivants ajoutent deux restrictions d’adresse IP au site web par défaut ; la première restriction refuse l’accès à l’adresse IP 192.168.100.1 et la deuxième restriction refuse l’accès à l’ensemble du réseau 169.254.0.0.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='192.168.100.1',allowed='False']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0',allowed='False']" /commit:apphost

Remarque

Vous devez veiller à définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site");
         ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();

         ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
         addElement["ipAddress"] = @"192.168.100.1";
         addElement["allowed"] = false;
         ipSecurityCollection.Add(addElement);

         ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
         addElement1["ipAddress"] = @"169.254.0.0";
         addElement1["subnetMask"] = @"255.255.0.0";
         addElement1["allowed"] = false;
         ipSecurityCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site")
      Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection

      Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement("ipAddress") = "192.168.100.1"
      addElement("allowed") = False
      ipSecurityCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement1("ipAddress") = "169.254.0.0"
      addElement1("subnetMask") = "255.255.0.0"
      addElement1("allowed") = False
      ipSecurityCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;

var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "192.168.100.1";
addElement.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement);

var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
addElement1.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection

Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "192.168.100.1"
addElement.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement)

Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
addElement1.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement1)

adminManager.CommitChanges()