Настройка динамических параметров ограничений IP IIS 8 в Windows Server 2012

В веб-сервере IIS 7 и более ранних версий присутствовала встроенная функциональность, позволявшая администраторам разрешать или запрещать доступ для конкретного IP-адреса или пула адресов. При блокировке IP-адреса, любой HTTP-клиент, использовавший его, получал сообщение об ошибке с кодом “403.6 Forbidden”.

С помощью данной функции администраторы могут управлять доступом к своему серверу и реагировать на подозрительную активность в сети.

В новой версии веб-сервера IIS 8.0 компания Microsoft расширила описываемую функциональность, добавив несколько новых возможностей:

  • Динамическую фильтрацию IP-адресов, которая позволяет администраторам настраивать сервер таким образом, чтобы блокировать доступ для IP-адресов, количество запросов с которых превышает заданный порог.
  • Теперь функции фильтрации IP-адресов позволяют администраторам настраивать поведение веб-сервера при блокировке IP-адреса, таким образом, чтобы соединение разрывалось, вместо отправки клиенту ошибки HTTP 403.6.
  • Появилась новая функция фильтрации — режим прокси, который позволяет блокировать IP-адреса не только на основе IP клиента, который виден IIS, но и на основе значений x-forwarded в HTTP-заголовке.

Чтобы воспользоваться этими функциями необходим сервер под управлением Windows Server 2012 с установленным IIS 8.0.

Необходимо активировать дополнительные роли:

Настройка блокировки на основе HTTP-запросов

IIS 8.0 можно настроить так, чтобы он блокировал доступ к сайту на основе количества запросов, отправленных конкретным HTTP-клиентом за определенный промежуток времени, или на основе числа одновременных подключений, установленных клиентом.

Для настройки запрета на основе числа HTTP-запросов, необходимо зайти диспетчер служб IIS (с правами администратора), затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели выбрать пункт «Изменить динамические параметры ограничения»:

В появившемся диалоговом окне нужно поставить галочки в пунктах «Запретить IP_адрес с учетом количества параллельных запросов» и «Запрет IP-адреса по количеству запросов за период времени»:

После этого нужно нажать «ОК».

Настройка IIS для запрета доступа с IP-адреса

В IIS 7 и более ранних версий веб-сервер возвращал ошибку “403.6 Forbidden” клиенту, которому был запрещен доступ по IP. В IIS 8.0 адмнистраторы могут настраивать запрет на доступ разными способами.

Для этого нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно выбрать «Запрещено» в пункте «Запретить тип действия»:

Настройка режима прокси

При фильтрации по IP-адресам возникает проблема, которая заключается в том, что многие клиенты обращаются к веб-серверу через различные межсетевые экраны, балансировщики нагрузки и прокси-серверы — в таком случае IIS увидит лишь IP-адрес ближайшего к нему такого узла, за которым могут скрываться как благонадежные клиенты, так и те, которых стоит заблокировать. В IIS 8.0 администраторы могут настроить веб-сервер таким образом, чтобы он в дополнение к IP-адресу анализировал HTTP-заголовк x-forwarded-for, чтобы понимать, какой запрос нужно заблокировать, а какой нет. Эта функция называется режимом прокси.

Для того, чтобы настроить этот режим, нужно открыть диспетчер служб IIS, затем кликнуть на названии сервера и открыть оснастку «Ограничение IP-адресов и доменов»:

Затем в правой панели кликнуть на «Изменить параметры»:

Затем в диалоговом окне нужно поставить галочку напротив пункта «Разрешить режим прокси-сервера», а затем нажать «ОК»:


Средняя оценка: 5,0, всего оценок: 1