IP 보안 <ipSecurity>

개요

요소는 <ipSecurity> IIS 7 이상에서 IP 기반 보안 제한 목록을 정의합니다. 이러한 제한은 IP 버전 4 주소, IP 버전 4 주소 범위 또는 DNS 도메인 이름을 기반으로 할 수 있습니다.

호환성

버전	참고
IIS 10.0	<ipSecurity> 요소가 IIS 10.0에서 수정되지 않았습니다.
IIS 8.5	<ipSecurity> 요소가 IIS 8.5에서 수정되지 않았습니다.
IIS 8.0	enableProxyMode 프록시를 통해 연결하는 클라이언트의 요청을 차단할 수 있도록 특성이 추가되었습니다. IIS가 denyAction 클라이언트로 다시 보내는 기본 거부 모드 응답을 지정하기 위해 특성이 추가되었습니다.
IIS 7.5	<ipSecurity> 요소가 IIS 7.5에서 수정되지 않았습니다.
IIS 7.0	요소는 <ipSecurity> IIS 7.0에서 도입되었습니다.
IIS 6.0	요소는 <ipSecurity> IIS 6.0 IPSecurity 메타베이스 속성을 대체합니다.

설치 프로그램

IIS의 기본 설치에는 IP 보안을 위한 역할 서비스 또는 Windows 기능이 포함되지 않습니다. IIS에서 IP 보안을 사용하려면 다음 단계를 사용하여 역할 서비스 또는 Windows 기능을 설치해야 합니다.

Windows Server 2012 또는 Windows Server 2012 R2

1. 작업 표시줄에서 서버 관리자를 클릭합니다.
2. 서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.
3. 역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.
4. 서버 역할 페이지에서 웹 서버(IIS)를 확장하고, 웹 서버를 확장하고, 보안을 확장한 다음, IP 및 도메인 제한을 선택합니다. 다음을 클릭합니다.
   .
5. 기능 선택 페이지에서 다음을 클릭합니다.
6. 설치 선택 확인 페이지에서 설치를 클릭합니다.
7. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 8 또는 Windows 8.1

1. 시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.
2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
3. 인터넷 정보 서비스를 확장하고 World Wide Web Services를 확장한 다음 보안을 확장한 다음 IP 보안을 선택합니다.
   
4. 확인을 클릭합니다.
5. 닫기를 클릭합니다.

Windows Server 2008 또는 Windows Server 2008 R2

1. 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.

2. 서버 관리자 계층 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.

3. 웹 서버(IIS) 창에서 역할 서비스 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.

4. 역할 서비스 추가 마법사의 역할 서비스 선택 페이지에서 IP 및 도메인 제한을 선택하고 다음을 클릭합니다.

   

5. 설치 선택 확인 페이지에서 설치를 클릭합니다.

6. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows Vista 또는 Windows 7

1. 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.

2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.

3. 인터넷 정보 서비스, World Wide Web Services, 보안을 차례로 확장합니다.

4. IP 보안을 선택한 다음 확인을 클릭합니다.

   

방법

웹 사이트에 대한 액세스를 거부하는 IP 제한을 추가하는 방법

1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

   • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

     • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

   • Windows 8 또는 Windows 8.1 사용하는 경우:

     • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
     • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

   • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

     • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

   • Windows Vista 또는 Windows 7을 사용하는 경우:

     • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
     • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

2. 연결 창에서 서버 이름을 확장하고 사이트를 확장한 다음 IP 제한을 추가할 사이트, 애플리케이션 또는 웹 서비스를 확장합니다.

3. 홈 창에서 IP 주소 및 도메인 제한 기능을 두 번 클릭합니다.
   

4. IP 주소 및 도메인 제한 기능의 작업 창에서 거부 항목 추가...를 클릭합니다.
   

5. 거부하려는 IP 주소를 입력한 다음 확인을 클릭합니다.
   

---

웹 사이트에 대한 IP 제한 기능 설정을 편집하는 방법

1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

   • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

     • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

   • Windows 8 또는 Windows 8.1 사용하는 경우:

     • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
     • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

   • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

     • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

   • Windows Vista 또는 Windows 7을 사용하는 경우:

     • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
     • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

2. 연결 창에서 서버 이름을 확장하고 사이트를 확장한 다음 IP 제한을 추가할 사이트, 애플리케이션 또는 웹 서비스를 확장합니다.

3. 홈 창에서 IP 주소 및 도메인 제한 기능을 두 번 클릭합니다.
   

4. IP 주소 및 도메인 제한 기능의 작업 창에서 기능 설정 편집...을 클릭합니다.
   

5. 지정되지 않은 클라이언트에 대한 기본 액세스 동작을 선택하고 도메인 이름으로 제한을 사용할지 여부를 지정하고 프록시 모드를 사용하도록 설정할지 여부를 지정하고 거부 작업 유형을 선택한 다음 확인을 클릭합니다.
   

구성

규칙은 목록에 표시되는 순서대로 위에서 아래로 처리됩니다. allowUnlisted 특성은 마지막으로 처리됩니다. IPsec(인터넷 프로토콜 보안) 제한에 대한 모범 사례는 거부 규칙을 먼저 나열하는 것입니다. allowUnlisted 특성이 false로 설정된 경우 지울 수 없습니다.

다음 기본 <ipSecurity> 요소는 IIS 7 이상의 루트 ApplicationHost.config 파일에 구성됩니다. 이 구성 섹션에서는 요소를 사용하지 않는 한 기본 구성 설정을 상속합니다 <clear> .

<ipSecurity allowUnlisted="true" />

특성

attribute	Description
allowUnlisted	선택적 부울 특성입니다. 목록에 없는 IP 주소를 허용할지 여부를 지정합니다. allowUnlisted 특성을 true로 설정하면 목록에 없는 IP 주소가 서버에 액세스할 수 있습니다. allowUnlisted 특성을 false로 설정하면 서버가 잠기므로 나열되지 않는 한 모든 IP 주소에 액세스할 수 없습니다. 이 특성을 false로 설정하고 로컬 루프백 주소(127.0.0.1)를 허용된 IP 주소로 나열하지 않으면 로컬 콘솔에서 브라우저를 사용하여 서버에 액세스할 수 없습니다. 이 특성은 위임에도 영향을 줄 수 있습니다. 부모 구성에서 이 특성을 false로 설정하면 요소를 사용하여 <clear> 자식 구성 파일에서 이 구성을 지울 수 없습니다. 기본값은 true입니다.
denyAction	선택적 열거형 특성입니다. IIS가 클라이언트에 다시 보내야 하는 기본 거부 모드 응답을 지정합니다. 기본값은 forbidden입니다. 값 Description AbortRequest 기본적으로 IIS는 의 거부 모드 응답을 Abort 클라이언트에 다시 보내도록 지정합니다. 숫자 값은 입니다 0. Unauthorized 기본적으로 IIS는 의 거부 모드 응답을 Unauthorized 클라이언트에 다시 보내도록 지정합니다. 원격 엔드에서 브라우저 기반 클라이언트를 사용하는 경우 권한 없음을 반환하면 인증 대화 상자가 원격 클라이언트에 표시되어 IIS에 대한 가짜 인증 시도가 발생할 수 있습니다. 숫자 값은 입니다 401. Forbidden 기본적으로 IIS는 의 거부 모드 응답을 Forbidden 클라이언트에 다시 보내도록 지정합니다. 숫자 값은 입니다 403. NotFound 기본적으로 IIS는 의 거부 모드 응답을 Not Found 클라이언트에 다시 보내도록 지정합니다. 숫자 값은 입니다 404.
enableProxyMode	선택적 부울 특성입니다. IIS는 IIS에서 볼 수 있는 클라이언트 IP의 요청을 차단할 뿐만 아니라 x-forwarded-for HTTP 헤더에서 수신된 IP 주소의 요청을 차단할 수 있습니다. 이 헤더를 사용하면 HTTP 프록시 또는 부하 분산 장치를 통해 연결하는 클라이언트의 원래 IP 주소를 식별할 수 있습니다. 이를 프록시 모드라고 합니다. 기본값은 false입니다.
enableReverseDns	선택적 부울 특성입니다. 웹 서버에 대한 역방향 DNS(도메인 이름 시스템) 조회를 사용하거나 사용하지 않도록 설정할지 여부를 지정합니다. 역방향 조회에는 IP 주소가 알려진 경우 도메인 이름을 조회하는 작업이 포함됩니다. 주의: 역방향 DNS 조회는 상당한 리소스와 시간을 사용합니다. 기본값은 false입니다.

자식 요소

요소	Description
add	선택적 요소입니다. IP 주소 제한 컬렉션에 IP 제한을 추가합니다.
remove	선택적 요소입니다. 컬렉션에서 제한에 대한 참조를 <ipSecurity> 제거합니다.
clear	선택적 요소입니다. 컬렉션에서 제한 사항에 대한 모든 참조를 <ipSecurity> 제거합니다.

구성 샘플

다음 구성 샘플에서는 기본 웹 사이트에 두 개의 IP 제한을 추가합니다. 첫 번째 제한은 IP 주소 192.168.100.1에 대한 액세스를 거부하고 두 번째 제한은 전체 169.254.0.0 네트워크에 대한 액세스를 거부합니다.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <ipSecurity>
            <add ipAddress="192.168.100.1" />
            <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" />
         </ipSecurity>
      </security>
   </system.webServer>
</location>

샘플 코드

다음 코드 샘플은 기본 웹 사이트에 대한 역방향 DNS 조회를 인블합니다.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /enableReverseDns:true /commit:apphost

참고

AppCmd.exe 사용하여 이러한 설정을 구성할 때 커밋 매개 변수 apphost 를 로 설정해야 합니다. 그러면 구성 설정이 ApplicationHost.config 파일의 적절한 위치 섹션에 커밋됩니다.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site");
         ipSecuritySection["enableReverseDns"]=true;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site")
      
      ipSecuritySection("enableReverseDns") = True
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");

ipSecuritySection.Properties.Item("enableReverseDns").Value = True;

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")

ipSecuritySection.Properties.Item("enableReverseDns").Value = True

adminManager.CommitChanges()