Share via

Ограничения динамических IP-адресов IIS 8.0

  • Статья

Роберт Макмюррей (Robert McMurray)

Совместимость

Версия Примечания
IIS 8,0 Ограничения динамических IP-адресов, встроенные для IIS 8.0.
IIS 7,5 Ограничения динамических IP-адресов были доступны в виде аппаратного модуля для IIS 7.5.
IIS 7.0 Ограничения динамических IP-адресов были доступны как внеполосный модуль для IIS 7.0.

Проблема

СЛУЖБЫ IIS 7 и более ранних версий имели встроенные функции, которые позволяли администраторам разрешать или запрещать доступ для отдельных IP-адресов или диапазонов IP-адресов. При блокировке IP-адреса все HTTP-клиенты с этого IP-адреса получат от сервера сообщение об ошибке HTTP "403.6 Запрещено". Эта функция позволяет администраторам настраивать доступ к серверу на основе действий, которые они видят в журналах сервера или на веб-сайте. Однако это процесс выполняется вручную. Несмотря на то, что для обнаружения вредоносных пользователей можно создавать скрипты, проверяя файлы журнала IIS с помощью такого средства, как служебная программа LogParser корпорации Майкрософт, для этого по-прежнему требуется вмешательство вручную.

Решение

В IIS 8.0 корпорация Майкрософт расширила встроенные функции, включив несколько новых функций:

  • Динамическая фильтрация IP-адресов, которая позволяет администраторам настроить сервер для блокировки доступа к IP-адресам, превышающим указанное количество запросов.
  • Функции фильтрации IP-адресов теперь позволяют администраторам указывать поведение, когда СЛУЖБЫ IIS блокируют IP-адрес, поэтому запросы от вредоносных клиентов могут быть прерваны сервером, а не возвращать клиенту ответы HTTP 403.6.
  • Фильтрация IP-адресов теперь поддерживает режим прокси-сервера, который позволяет блокировать IP-адреса не только IP-адрес клиента, который видит iis, но и значения, полученные в заголовке HTTP x-forwarded-for.

Пошаговые инструкции

Предварительные требования:

  • Компьютер с Windows Server 2012 с установленными службами IIS 8.0.

    Примечание

    Компонент ограничения IP-адресов и доменов должен быть установлен в составе СЛУЖБ IIS.

    Снимок экрана: выбранный флажок для ip-адреса и ограничения домена.

Обходные пути для известных ошибок:

В настоящее время для этой функции нет известных ошибок.

Настройка iis для запрета доступа на основе HTTP-запросов

Iis 8.0 можно настроить так, чтобы запретить доступ к веб-сайтам на основе количества обращений HTTP-клиента к серверу в течение указанного интервала времени или числа одновременных подключений из HTTP-клиента.

Чтобы настроить iis для запрета доступа на основе количества получаемых HTTP-запросов, выполните следующие действия.

  1. Войдите в систему с правами администратора на компьютере с Windows Server 2012.
  2. Откройте диспетчер IIS.
  3. Выделите имя сервера, веб-сайт или путь к папке в области Подключения , а затем дважды щелкните ip-адрес и ограничения домена в списке компонентов.
    Снимок экрана: диспетчер I IS с открытой областью Главная веб-сайта по умолчанию и выбранным I P-адресом и ограничениями домена.
  4. Щелкните Изменить параметры динамических ограничений на панели Действия .
    Снимок экрана: открытая панель I P-адреса и ограничения домена. Изменение параметров динамического ограничения выделено на панели Действия.
  5. Когда появится диалоговое окно Динамические параметры ограничения IP-адресов, проверка запретить IP-адрес в зависимости от количества одновременных запросов, если вы хотите предотвратить установку слишком большого количества одновременных подключений HTTP-клиентом. И проверка поле Запрет ip-адреса в зависимости от количества запросов за определенный период времени, если вы хотите предотвратить установку слишком большого количества подключений в течение определенного периода времени для КЛИЕНТА HTTP.
    Снимок экрана, на котором показано диалоговое окно
  6. Нажмите кнопку ОК.

Настройка поведения служб IIS при запрете IP-адресов

В IIS 7 и более ранних версиях СЛУЖБЫ IIS возвращали ответ http "403.6 Запрещено" с сервера при блокировке IP-адреса клиента. В IIS 8.0 администраторы могут настроить сервер для запрета доступа к IP-адресам несколькими дополнительными способами.

Чтобы настроить поведение, которое службы IIS будут использовать при запрете IP-адресов, выполните следующие действия.

  1. Войдите в систему с правами администратора на компьютере с Windows Server 2012.

  2. Откройте диспетчер IIS.

  3. Выделите имя сервера, веб-сайт или путь к папке в области Подключения , а затем дважды щелкните ip-адрес и ограничения домена в списке компонентов.
    Снимок экрана: диспетчер I IS. В области Главная веб-сайта по умолчанию выбраны ограничения ip-адреса и домена.

  4. Щелкните Изменить параметры компонентов в области Действия .
    Снимок экрана: панель I P-адреса и ограничения домена с выделенным элементом

  5. Когда откроется диалоговое окно Изменение параметров ограничения IP-адресов и доменов , щелкните раскрывающееся меню Тип действия запрета и выберите поведение, используемое службами IIS, из следующих значений:

    • Не авторизовано. IIS возвращает ответ HTTP 401.

    • Запрещено. IIS возвращает ответ HTTP 403.

    • Не найдено. IIS возвращает ответ HTTP 404.

    • Прерывание. IIS завершает HTTP-подключение.

      Снимок экрана, на котором показано диалоговое окно

  6. Нажмите кнопку ОК.

Настройка служб IIS для режима прокси-сервера

Одна из проблем фильтрации IP-адресов заключается в том, что многие клиенты обращаются к СЛУЖБАм IIS через один или несколько брандмауэров, балансировки нагрузки или прокси-серверов; поэтому IP-адрес всегда может отображаться в качестве сервера в пути запроса, который является ближайшим к серверу IIS. В IIS 8.0 администраторы могут настроить сервер для проверки заголовка x-forwarded-for HTTP в дополнение к IP-адресу клиента, чтобы определить, какие запросы следует блокировать. Такое поведение называется режимом прокси-сервера.

Чтобы настроить iis для режима прокси-сервера, выполните следующие действия.

  1. Войдите в систему с правами администратора на компьютере с Windows Server 2012.
  2. Откройте диспетчер IIS.
  3. Выделите имя сервера, веб-сайт или путь к папке в области Подключения , а затем дважды щелкните ip-адрес и ограничения домена в списке компонентов.
    Снимок экрана: панель
  4. Щелкните Изменить параметры компонентов в области Действия .
    Снимок экрана: диспетчер I I SS с выделенным элементом
  5. Когда появится диалоговое окно Изменение параметров ограничения IP-адресов и доменов, проверка флажок Включить режим прокси-сервера.
    Снимок экрана, на котором показано диалоговое окно
  6. Нажмите кнопку ОК.

Итоги

В этом руководстве вы рассмотрели настройку служб IIS для динамического запрета доступа к серверу на основе количества запросов с IP-адреса клиента, а также настройку поведения, которое службы IIS будут использовать, когда они запрещают доступ потенциально вредоносным пользователям.