动态 IP 安全性 <dynamicIpSecurity>

项目
03/25/2024

概述

<dynamicIpSecurity> 元素提供阻止恶意 Web 请求的动态方式。使用动态 IP 限制意味着管理员不需要标识需要阻止的 IP 地址。相反，管理员可以配置系统，使其阻止满足设置条件的任何 IP 地址。如果来自该客户端的并发 HTTP 连接请求数超过特定数目，则包括阻止远程客户端；如果一段时间内收到的请求数超过特定树木，则阻止客户端。可以在服务器或站点级别配置动态 IP 限制。

管理员可以指定客户端被阻止将返回哪个 HTTP 响应状态代码：未授权 (401)；禁止 (403)；或找不到 (404)。还可以将“拒绝操作类型”设置为“中止”以删除连接，而不返回任何指示原因。

如果启用代理模式，可以通过标识通过 HTTP 代理或负载均衡器连接到 Web 服务器的客户端的发起 IP 地址来阻止请求。这是通过检查 x-forwarded-for-HTTP 标头来完成的。

兼容性

版本	说明
IIS 10.0	`<dynamicIpSecurity>` 元素在 IIS 10.0 中未进行修改。
IIS 8.5	<`dynamicIpSecurity>` 元素在 IIS 8.5 中未进行修改。
IIS 8.0	<`dynamicIpSecurity>` 元素是在 IIS 8.0 中引入的。
IIS 7.5	空值
IIS 7.0	空值
IIS 6.0	空值

安装

Windows Server 2012 或 Windows Server 2012 R2

在任务栏上，单击 “服务器管理器”。
在“服务器管理器”中，单击“管理”菜单，然后单击“添加角色和功能”。
在“添加角色和功能”向导中，单击“下一步”。选择安装类型，然后单击“下一步”。选择目标服务器，然后单击“下一步”。
在“服务器角色”页上，依次展开“Web 服务器 (IIS)”、“Web 服务器”和“安全性”，然后选择“IP 和域限制”。单击 “下一步” 。
。
在“选择功能”页上，单击“下一步”。
在“确认安装选择”页上，单击“安装”。
在“结果” 页面中单击“关闭” 。

Windows 8 或 Windows 8.1

在“开始”屏幕上，将指针一直移动到左下角，右键单击“开始”按钮，然后单击“控制面板”。
在“控制面板”中，单击“程序与功能”，然后单击“打开或关闭 Windows 功能”。
依次展开“Internet Information Services”、“万维网服务”和“安全性”，然后选择“IP 安全”。
单击“确定”。
单击“关闭” 。

操作方式

如何添加 IP 限制以拒绝网站访问

打开 Internet Information Services (IIS) 管理器：
- 如果使用 Windows Server 2012 或更高版本：
  - 在任务栏上，单击“服务器管理器”，单击“工具”，然后单击“Internet Information Services (IIS) 管理器”。
- 如果使用的是 Windows 8 或更高版本：
  - 按住 Windows 键，按字母 X，然后单击“控制面板”。
  - 单击“管理工具”，然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中，选择要为服务器添加动态 IP 限制的服务器名称，或展开“站点”，然后选择一个站点为站点添加动态 IP 限制。
在“主页”窗格中，双击“IP 地址和域限制”功能。
在“操作”窗格中，单击“编辑动态限制设置...”。
在“动态 IP 限制设置”对话框中，指定是否根据并发示例数和/或请求速率拒绝 IP 地址，指定是否启用仅日志记录模式，然后单击“确定”。

配置

<dynamicIpSecurity> 元素在服务器或站点级别配置。

特性

属性说明

denyAction

可选的枚举属性。

指定 IIS 应发送回客户端的默认拒绝模式响应。

默认值为 Forbidden。

值	说明
`AbortRequest`	指定默认情况下，IIS 应向客户端发送 `Abort` 拒绝模式响应。数值为 `0`。
`Unauthorized`	指定默认情况下，IIS 应向客户端发送 `Unauthorized` 拒绝模式响应。如果远程端正在使用基于浏览器的客户端，则返回“未授权”可能会导致在远程客户端显示身份验证对话框，从而导致对 IIS 发起虚假的身份验证尝试。数值为 `401`。
`Forbidden`	指定默认情况下，IIS 应向客户端发送 `Forbidden` 拒绝模式响应。数值为 `403`。
`NotFound`	指定默认情况下，IIS 应向客户端发送 `Not Found` 拒绝模式响应。数值为 `404`。

enableLoggingOnlyMode 可选布尔属性。

指定 IIS 将记录来自客户端的将被拒绝的请求，而不会实际拒绝它们。

默认值为 false。

enableProxyMode 可选布尔属性。

启用后 IIS 不仅可以阻止来自 IIS 看到的客户端 IP 的请求，还可以阻止来自 x-forwarded-for HTTP 标头中收到的 IP 地址的请求。此标头可识别通过 HTTP 代理或负载均衡器连接的客户端的发起 IP 地址。这称为代理模式。

默认值为 false。

子元素

元素	说明
`denyByConcurrentRequests`	可选元素。指定将基于一段时间内收到的请求数阻止某些远程客户端。
`denyByRequestRate`	可选元素。指定将基于来自客户端的并发 HTTP 连接请求数阻止某些远程客户端。

配置示例

以下配置示例演示如何设置动态 IP 地址限制。

<system.webServer>
   <security>
      <dynamicIpSecurity enableLoggingOnlyMode="true">
         <denyByConcurrentRequests enabled="true" maxConcurrentRequests="10" />
         <denyByRequestRate enabled="true" maxRequests="30" 
            requestIntervalInMilliseconds="300" />
      </dynamicIpSecurity>
   </security>
</system.webServer>

代码示例

以下示例为站点配置 <dynamicIpSecurity>。

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/dynamicIpSecurity /denyAction:"Unauthorized" /enableProxyMode:"True" /enableLoggingOnlyMode:"True"  /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.webServer/security/dynamicIpSecurity /denyByConcurrentRequests.enabled:"True" /denyByConcurrentRequests.maxConcurrentRequests:"10" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.webServer/security/dynamicIpSecurity /denyByRequestRate.enabled:"True" /denyByRequestRate.maxRequests:"25" /denyByRequestRate.requestIntervalInMilliseconds:"210"  /commit:apphost

注意

使用 AppCmd.exe 配置这些设置时，必须确保将 commit 参数设置为 apphost。这会将配置设置提交到 ApplicationHost.config 文件中的相应位置部分。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample {

    private static void Main() {
        
        using(ServerManager serverManager = new ServerManager()) { 
            Configuration config = serverManager.GetApplicationHostConfiguration();
            
            ConfigurationSection dynamicIpSecuritySection = config.GetSection("system.webServer/security/dynamicIpSecurity", "Default Web Site");
            dynamicIpSecuritySection["denyAction"] = @"Forbidden";
            dynamicIpSecuritySection["enableProxyMode"] = true;
            dynamicIpSecuritySection["enableLoggingOnlyMode"] = true;
            
            ConfigurationElement denyByConcurrentRequestsElement = dynamicIpSecuritySection.GetChildElement("denyByConcurrentRequests");
            denyByConcurrentRequestsElement["enabled"] = true;
            denyByConcurrentRequestsElement["maxConcurrentRequests"] = 10;
            
            ConfigurationElement denyByRequestRateElement = dynamicIpSecuritySection.GetChildElement("denyByRequestRate");
            denyByRequestRateElement["enabled"] = true;
            denyByRequestRateElement["maxRequests"] = 10;
            denyByRequestRateElement["requestIntervalInMilliseconds"] = 10;
            
            serverManager.CommitChanges();
        }
    }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim dynamicIpSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/dynamicIpSecurity", "Default Web Site")
      dynamicIpSecuritySection("denyAction") = "Forbidden"
      dynamicIpSecuritySection("enableProxyMode") = true
      dynamicIpSecuritySection("enableLoggingOnlyMode") = true
      Dim denyByConcurrentRequestsElement As ConfigurationElement = dynamicIpSecuritySection.GetChildElement("denyByConcurrentRequests")
      denyByConcurrentRequestsElement("enabled") = true
      denyByConcurrentRequestsElement("maxConcurrentRequests") = 10
      Dim denyByRequestRateElement As ConfigurationElement = dynamicIpSecuritySection.GetChildElement("denyByRequestRate")
      denyByRequestRateElement("enabled") = true
      denyByRequestRateElement("maxRequests") = 10
      denyByRequestRateElement("requestIntervalInMilliseconds") = 10
      serverManager.CommitChanges
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var dynamicIpSecuritySection = adminManager.GetAdminSection ("system.webServer/security/dynamicIpSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
dynamicIpSecuritySection.Properties.Item("denyAction").Value = "Unauthorized";
dynamicIpSecuritySection.Properties.Item("enableProxyMode").Value = true;
dynamicIpSecuritySection.Properties.Item("enableLoggingOnlyMode").Value = true;
var denyByConcurrentRequestsElement = dynamicIpSecuritySection.ChildElements.Item("denyByConcurrentRequests");
denyByConcurrentRequestsElement.Properties.Item("enabled").Value = true;
denyByConcurrentRequestsElement.Properties.Item("maxConcurrentRequests").Value = 10;
var denyByRequestRateElement = dynamicIpSecuritySection.ChildElements.Item("denyByRequestRate");
denyByRequestRateElement.Properties.Item("enabled").Value = true;
denyByRequestRateElement.Properties.Item("maxRequests").Value = 25;
denyByRequestRateElement.Properties.Item("requestIntervalInMilliseconds").Value = 210;

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set dynamicIpSecuritySection = adminManager.GetAdminSection ("system.webServer/security/dynamicIpSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
dynamicIpSecuritySection.Properties.Item("denyAction").Value = "Unauthorized"
dynamicIpSecuritySection.Properties.Item("enableProxyMode").Value = true
dynamicIpSecuritySection.Properties.Item("enableLoggingOnlyMode").Value = true
Set denyByConcurrentRequestsElement = dynamicIpSecuritySection.ChildElements.Item ("denyByConcurrentRequests")
denyByConcurrentRequestsElement.Properties.Item("enabled").Value = true
denyByConcurrentRequestsElement.Properties.Item("maxConcurrentRequests").Value = 10
Set denyByRequestRateElement = dynamicIpSecuritySection.ChildElements.Item("denyByRequestRate")
denyByRequestRateElement.Properties.Item("enabled").Value = true
denyByRequestRateElement.Properties.Item("maxRequests").Value = 25
denyByRequestRateElement.Properties.Item("requestIntervalInMilliseconds").Value = 210

adminManager.CommitChanges()

PowerShell

Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity" -name "denyAction" -value "Unauthorized"
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity" -name "enableProxyMode" -value "True"
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity" -name "enableLoggingOnlyMode" -value "True"
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity/denyByConcurrentRequests" -name "enabled" -value "True"
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity/denyByConcurrentRequests" -name "maxConcurrentRequests" -value 20
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity/denyByRequestRate" -name "enabled" -value "True"
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity/denyByRequestRate" -name "maxRequests" -value 20
Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -location 'Default Web Site' -filter "system.webServer/security/dynamicIpSecurity/denyByRequestRate" -name "requestIntervalInMilliseconds" -value 20