Pembatasan Alamat IP Dinamis IIS 8.0
oleh Robert McMurray
Kompatibilitas
Versi | Catatan |
---|---|
IIS 8.0 | Pembatasan Alamat IP Dinamis bawaan untuk IIS 8.0. |
IIS 7.5 | Pembatasan Alamat IP Dinamis tersedia sebagai modul di luar band untuk IIS 7.5. |
IIS 7.0 | Pembatasan Alamat IP Dinamis tersedia sebagai modul di luar band untuk IIS 7.0. |
Masalah
IIS 7 dan versi yang lebih lama memiliki fungsionalitas bawaan yang memungkinkan administrator mengizinkan atau menolak akses untuk alamat IP individual atau rentang alamat IP. Ketika alamat IP diblokir, setiap klien HTTP dari alamat IP tersebut akan menerima balasan kesalahan HTTP "403.6 Terlarang" dari server. Fungsionalitas ini memungkinkan administrator untuk menyesuaikan akses untuk server mereka berdasarkan aktivitas yang mereka lihat di log server atau aktivitas situs web mereka. Namun, ini adalah proses manual. Meskipun fungsionalitas dapat ditulis untuk menemukan pengguna berbahaya dengan memeriksa file log IIS dengan menggunakan alat seperti utilitas LogParser Microsoft, ini masih memerlukan intervensi manual.
Solusi
Di IIS 8.0, Microsoft telah memperluas fungsionalitas bawaan untuk menyertakan beberapa fitur baru:
- Pemfilteran alamat IP dinamis, yang memungkinkan administrator mengonfigurasi server mereka untuk memblokir akses untuk alamat IP yang melebihi jumlah permintaan yang ditentukan.
- Fitur pemfilteran alamat IP sekarang memungkinkan administrator untuk menentukan perilaku ketika IIS memblokir alamat IP, sehingga permintaan dari klien berbahaya dapat dibatalkan oleh server alih-alih mengembalikan respons HTTP 403.6 kepada klien.
- Pemfilteran IP sekarang memiliki mode proksi, yang memungkinkan alamat IP diblokir tidak hanya oleh IP klien yang dilihat oleh IIS tetapi juga oleh nilai yang diterima di header HTTP x-forwarded-for
Instruksi Langkah demi Langkah
Prasyarat:
Komputer Windows Server 2012 dengan IIS 8.0 terinstal.
Catatan
Fitur Pembatasan IP dan Domain harus diinstal sebagai bagian dari IIS.
Solusi untuk bug yang diketahui:
Saat ini tidak ada bug yang diketahui untuk fitur ini.
Mengonfigurasi IIS untuk Menolak Akses berdasarkan Permintaan HTTP
IIS 8.0 dapat dikonfigurasi untuk menolak akses ke situs web berdasarkan berapa kali klien HTTP mengakses server dalam interval waktu yang ditentukan, atau berdasarkan jumlah koneksi bersamaan dari klien HTTP.
Untuk mengonfigurasi IIS untuk menolak akses berdasarkan jumlah permintaan HTTP yang diterimanya, gunakan langkah-langkah berikut:
- Masuk sebagai administrator di komputer Windows Server 2012 Anda.
- Buka Manajer Layanan Informasi Internet (IIS).
- Sorot nama server, situs web, atau jalur folder Anda di panel Koneksi , lalu klik dua kali Alamat IP dan Pembatasan Domain dalam daftar fitur.
- Klik Edit Pengaturan Pembatasan Dinamis di panel Tindakan .
- Saat kotak dialog Pengaturan Pembatasan IP Dinamis muncul, centang Alamat IP Tolak berdasarkan jumlah permintaan bersamaan jika Anda ingin mencegah klien HTTP membuat terlalu banyak koneksi bersamaan. Dan centang kotak untuk Menolak Alamat IP berdasarkan jumlah permintaan selama jangka waktu tertentu jika Anda ingin mencegah klien HTTP membuat terlalu banyak koneksi dalam periode waktu tertentu.
- Klik OK.
Mengonfigurasi Perilaku untuk IIS saat Menolak Alamat IP
Di IIS 7 dan versi yang lebih lama, IIS akan mengembalikan balasan kesalahan HTTP "403.6 Terlarang" dari server ketika alamat IP klien diblokir. Di IIS 8.0, administrator dapat mengonfigurasi server mereka untuk menolak akses ke alamat IP dengan beberapa cara tambahan.
Untuk mengonfigurasi perilaku yang akan digunakan IIS saat menolak alamat IP, gunakan langkah-langkah berikut:
Masuk sebagai administrator di komputer Windows Server 2012 Anda.
Buka Manajer Layanan Informasi Internet (IIS).
Sorot nama server, situs web, atau jalur folder Anda di panel Koneksi , lalu klik dua kali Alamat IP dan Pembatasan Domain dalam daftar fitur.
Saat kotak dialog Edit PENGATURAN Pembatasan IP dan Domain muncul, klik menu drop-down Tolak Jenis Tindakan dan pilih perilaku yang digunakan IIS dari nilai berikut:
Tidak sah: IIS mengembalikan respons HTTP 401.
Terlarang: IIS mengembalikan respons HTTP 403.
Tidak Ditemukan: IIS mengembalikan respons HTTP 404.
Batalkan: IIS mengakhiri koneksi HTTP.
Klik OK.
Mengonfigurasi IIS untuk Mode Proksi
Salah satu tantangan untuk pemfilteran IP adalah bahwa banyak klien mengakses IIS melalui satu atau beberapa firewall, penyeimbangan beban, atau server proksi; sehingga alamat IP mungkin selalu muncul sebagai server di jalur permintaan yang terdekat dengan server IIS. Di IIS 8.0, administrator dapat mengonfigurasi server mereka untuk memeriksa header HTTP x-forwarded-for selain alamat IP klien untuk menentukan permintaan mana yang akan diblokir. Perilaku ini disebut "Mode Proksi."
Untuk mengonfigurasi IIS untuk mode proksi, gunakan langkah-langkah berikut:
- Masuk sebagai administrator di komputer Windows Server 2012 Anda.
- Buka Manajer Layanan Informasi Internet (IIS).
- Sorot nama server, situs web, atau jalur folder Anda di panel Koneksi , lalu klik dua kali Alamat IP dan Pembatasan Domain dalam daftar fitur.
- Klik Edit Pengaturan Fitur di panel Tindakan .
- Saat kotak dialog Edit IP dan Pengaturan Pembatasan Domain muncul, centang kotak untuk Mengaktifkan Mode Proksi.
- Klik OK.
Ringkasan
Dalam panduan ini, Anda melihat konfigurasi IIS untuk secara dinamis menolak akses ke server Anda berdasarkan jumlah permintaan dari alamat IP klien, serta mengonfigurasi perilaku yang akan digunakan IIS saat menolak akses ke pengguna yang berpotensi berbahaya.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk