URL 承認規則と組み込みの要求フィルター処理を使用して、Web サーバーを悪意のある要求や未承認のアクセスから保護します。
IIS は、セキュリティで保護された信頼性の高い Web アプリケーションとサービス ホスティング用のプラットフォームを提供します。 URL の承認と要求のフィルター規則をサポートすることで、管理者はサイト コンテンツへのアクセスをきめ細かく制御できます。
URL の承認
IIS は、アプリケーションのweb.configファイルに URL 承認規則 を 格納します。 承認されていないアクセスから保護する web.config 承認規則は、コンテンツが別のサーバーまたは新しいドメインに移動された場合でも、コンテンツと共に維持されます。 IIS では、統合パイプライン内のすべての種類の Web コンテンツ要求に対する ASP.NET URL 承認もサポートされています。
ビルトインのリクエストフィルタリング
IIS の要求フィルター処理を使用すると、管理者は URL 受け入れポリシーをグローバルと URL の両方に実装できます。 要求のフィルター処理は、有効な要求のみが処理されるようにすることで、サーバーをセキュリティで保護するのに役立ちます。 管理者は、複数のフィルタリング オプションを提供することで、Web サーバーのセキュリティを強化できます。 複数のフィルタリング オプションを使用すると、悪意のある URL や不適切な URL が処理されるのを防ぐことができます。 たとえば、要求フィルター処理を使用すると、管理者は、指定した拡張子を持つファイル ( たとえば、.ini ファイル) の表示を禁止するルールを設定できます。
IIS 5.1 および IIS 6.0 ユーザーの場合、IIS は URL スキャン 3.0 を提供します。これは、IIS 要求フィルター処理と同様に、IIS が処理する HTTP 要求の種類を制限します。 特定の HTTP 要求をブロックすることで、URL スキャン 3.0 セキュリティ ツールは、有害な可能性のある要求がサーバー上のアプリケーションに到達するのを防ぐのに役立ちます。 URL スキャン 3.0 では、ルールに基づいて要求をフィルター処理することで、サーバーへのすべての受信要求が表示されます。 URL スキャン 3.0 ルールは管理者によって設定されます。 URL スキャン 3.0 は、HTTP クエリ文字列値とその他の HTTP ヘッダーをフィルター処理するように構成できます。 フィルター処理により、根本原因が修正されている間に、アプリケーションに対する SQL インジェクション攻撃を軽減できます。
URL の書き換え
管理者は IIS の URL リライターを使用して、Web サーバー上のアプリケーションを保護できます。 URL リライターを使用すると、サイト管理者によって定義されたルールに基づいて URL を動的に変更できます。 たとえば、他のサイトが Web サイトの画像やビデオ コンテンツに ホット リンク できないようにするルールを作成できます。 ホットリンクを無効にすると、サーバーからのコンテンツの盗用を防ぎ、帯域幅の浪費を防止します。 使用:
- ルール テンプレート
- マップの書き換え
- IIS マネージャーに統合されたその他の機能
管理者は、HTTP ヘッダーとサーバー変数に基づいて URL 書き換え動作を定義するルールを設定できます。
HTTP Strict Transport Security (HSTS)
IIS は、指定された Web サイトに HTTPS のみを使用してアクセスするようにブラウザーに指示する HTTP Strict Transport Security のサポートを追加します (HTTP は許可されません)。
クロス オリジン リソース共有 (CORS)
通常、ブラウザーはネットワーク要求に同じ配信元の制限を適用します。 これらの制限により、悪意のあるページがスクリプト内から開始されたクロス オリジン要求を行うのを防ぐことができます。 このようなシナリオを機能させるには、適切な CORS ヘッダーで応答するように API を構成する必要があります。 IIS CORS モジュールは 、Web 管理者と Web サイトの作成者が、すべての CORS プロトコル処理をモジュールに委任することによって CORS プロトコルをサポートする方法を提供します。