Freigeben über

Hinzufügen von IP-Sicherheit <hinzufügen>

  • Artikel

Übersicht

Das <add>-Element der <ipSecurity>-Auflistung definiert eine eindeutige IP-Sicherheitseinschränkung. Jede Einschränkung kann auf der IPv4-Adresse (IP-Version 4), einem Bereich von IPv4-Adressen oder einem DNS-Domänennamen basieren.

Kompatibilität

Version Hinweise
IIS 10.0 Das <add>-Element wurde in IIS 10.0 nicht geändert.
IIS 8.5 Das <add>-Element wurde in IIS 8.5 nicht geändert.
IIS 8.0 Das <add>-Element wurde in IIS 8.0 nicht geändert.
IIS 7.5 Das <add>-Element wurde in IIS 7.5 nicht geändert.
IIS 7.0 Das <add>-Element der <ipSecurity>-Auflistung wurde in IIS 7.0 eingeführt.
IIS 6.0 Die <ipSecurity>-Auflistung ersetzt die IIS 6.0 IPSecurity-Metabasiseigenschaft.

Setup

Die Standardinstallation von IIS enthält nicht den Rollendienst oder das Windows-Feature für die IP-Sicherheit. Um die IP-Sicherheit in IIS zu verwenden, müssen Sie den Rollendienst oder das Windows-Feature mithilfe der folgenden Schritte installieren:

Windows Server 2012 oder Windows Server 2012 R2

  1. Klicken Sie auf der Taskleiste auf Server-Manager.
  2. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
  3. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter. Wählen Sie den Installationstyp aus, und klicken Sie auf Weiter. Wählen Sie den Zielserver aus, und klicken Sie auf Weiter.
  4. Erweitern Sie auf der Seite Serverrollen den Webserver (IIS), erweitern Sie den Webserver, erweitern Sie Sicherheit, und wählen Sie dann IP- und Domäneneinschränkungen aus. Klicken Sie auf Weiter.
    Screenshot that shows I P and Domain Restrictions selected for Windows Server 2012. .
  5. Klicken Sie auf der Seite Features auswählen auf Weiter.
  6. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  7. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows 8 oder Windows 8.1

  1. Bewegen Sie auf dem Startbildschirm den Mauszeiger ganz nach links unten, klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerung auf Programme und dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, erweitern Sie World Wide Web Services, erweitern Sie Sicherheit, und wählen Sie dann IP-Sicherheit aus.
    Screenshot that shows I P Security selected for Windows 8.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Schließen.

Windows Server 2008 oder Windows Server 2008 R2

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltungstools und klicken Sie dann auf Server-Manager.

  2. Erweitern Sie im Hierarchiebereich des Server-Managers die Rollen und klicken Sie dann auf den Webserver (IIS).

  3. Scrollen Sie im Bereich Webserver (IIS) zum Abschnitt "Rollendienste ", und klicken Sie dann auf "Rollendienstehinzufügen".

  4. Wählen Sie auf der Seite Rollendienste auswählen des Assistenten zum Hinzufügen von RollendienstenIP- und Domäneneinschränkungen aus, und klicken Sie dann auf Weiter.

    Screenshot that shows I P and Domain Restrictions selected for Windows Server 2008.

  5. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.

  6. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows Vista oder Windows 7

  1. Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.

  2. Klicken Sie in der Systemsteuerungauf Programme und Funktionenund dann auf Windows-Features aktivieren oder deaktivieren.

  3. Erweitern Sie Internetinformationsdienste, dann WWW-Dienste und dann Sicherheit.

  4. Wählen Sie IP-Sicherheit aus, und klicken Sie dann auf OK.

    Screenshot that shows I P Security selected for Windows Vista or Windows 7.

Gewusst wie

So fügen Sie IP-Einschränkungen hinzu, um den Zugriff für eine Website zu verweigern

  1. Öffnen Sie den Internet Information Services (IIS) Manager:

    • Wenn Sie Windows Server 2012 oder Windows Server 2012 R2 verwenden:

      • Klicken Sie in der Taskleiste auf Server-Manager, dann auf Tools und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows 8 oder Windows 8.1 verwenden:

      • Halten Sie die Windows-Taste gedrückt, drücken Sie den Buchstaben X, und klicken Sie dann auf "Systemsteuerung".
      • Klicken Sie auf Verwaltungund doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Server 2008 oder Windows Server 2008 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltung und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Vista oder Windows 7 verwenden:

      • Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
      • Doppelklicken Sie auf Verwaltung und doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

  2. Erweitern Sie im Bereich Verbindungen den Servernamen, erweitern Sie Sites und dann Website, Anwendung oder Webdienst, für die Sie IP-Einschränkungen hinzufügen möchten.

  3. Doppelklicken Sie im Bereich Start auf das Feature IP-Adresse und Domäneneinschränkungen.
    Screenshot that shows the Home pane in I I S Manager.

  4. Klicken Sie im Feature IP-Adresse und Domäneneinschränkungen im Bereich Aktionen auf Eingabe verweigern.
    Screenshot that shows the I P Address and Domain Restrictions pane.

  5. Geben Sie die IP-Adresse ein, die Sie verweigern möchten, und klicken Sie dann auf OK.
    Screenshot that shows the Add Deny Restriction Rule dialog box.

So bearbeiten Sie die IP-Einschränkungsfeature-Einstellungen für eine Website

  1. Öffnen Sie den Internet Information Services (IIS) Manager:

    • Wenn Sie Windows Server 2012 oder Windows Server 2012 R2 verwenden:

      • Klicken Sie in der Taskleiste auf Server-Manager, dann auf Tools und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows 8 oder Windows 8.1 verwenden:

      • Halten Sie die Windows-Taste gedrückt, drücken Sie den Buchstaben X, und klicken Sie dann auf "Systemsteuerung".
      • Klicken Sie auf Verwaltungund doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Server 2008 oder Windows Server 2008 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltung und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Vista oder Windows 7 verwenden:

      • Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
      • Doppelklicken Sie auf Verwaltung und doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

  2. Erweitern Sie im Bereich Verbindungen den Servernamen, erweitern Sie Sites und dann Website, Anwendung oder Webdienst, für die Sie IP-Einschränkungen hinzufügen möchten.

  3. Doppelklicken Sie im Bereich Start auf das Feature IP-Adresse und Domäneneinschränkungen.
    Screenshot that shows the Home pane in Internet Information Services Manager.

  4. Klicken Sie im Feature IP-Adresse und Domäneneinschränkungen im Bereich Aktionen auf Featureeinstellungen bearbeiten...
    Screenshot that shows the I P Address and Domain Restrictions window.

  5. Wählen Sie das Standardzugriffsverhalten für nicht angegebene Clients aus, geben Sie an, ob Einschränkungen nach Domänenname aktiviert werden sollen, ob der Proxymodus aktiviert werden soll, wählen Sie den Ablehnungsaktionstyp aus, und klicken Sie dann auf OK.
    Screenshot that shows the Add Deny Restriction Rule dialog box. Forbidden is selected under Deny Action Type.

Konfiguration

Regeln werden in der Reihenfolge verarbeitet, in der sie in der Liste aufgeführt sind (von oben nach unten). Das allowUnlisted-Attribut wird zuletzt verarbeitet. Eine bewährte Methode für IPsec-Einschränkungen (Internetprotokollsicherheit) besteht darin, zuerst Verweigerungsregeln aufzulisten.

Attribute

Attribut Beschreibung
allowed Optionales boolesches Attribut.

Gibt an, ob der Zugriff auf den Adressraum zugelassen werden soll.

Der Standardwert ist false.
domainName Optionales Zeichenfolgeattribut.

Gibt den Domänennamen an, auf den eine Einschränkungsregel angewendet werden soll. Sie können ein Sternchen (*) als Platzhalterzeichen verwenden.
ipAddress Optionales Zeichenfolgeattribut.

Gibt die IPv4-Adresse an, auf die eine Einschränkungsregel angewendet werden soll.
subnetMask Optionales Zeichenfolgeattribut.

Gibt die Subnetzmaske an, mit der die IP-Adresse für diese Einschränkungsregel ausgewertet werden soll. Sie können eine Subnetzmaske verwenden, um einen Bereich von IP-Adressen in einem Adressraum anzugeben. Beim Standardwert ist eine direkte Übereinstimmung der ausgewerteten IP-Adresse erforderlich (im Grunde ist dies ein Bereich von einer einzelnen Adresse).

Der Standardwert ist 255.255.255.255.

Untergeordnete Elemente

Keine.

Konfigurationsbeispiel

Im folgenden Konfigurationsbeispiel werden der Standardwebsite zwei IP-Einschränkungen hinzugefügt. die erste Einschränkung verweigert den Zugriff auf die IP-Adresse 192.168.100.1, und die zweite Einschränkung verweigert den Zugriff auf das gesamte 169.254.0.0.0-Netzwerk.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <ipSecurity>
            <add ipAddress="192.168.100.1" />
            <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" />
         </ipSecurity>
      </security>
   </system.webServer>
</location>

Beispielcode

In den folgenden Codebeispielen werden der Standardwebsite zwei IP-Einschränkungen hinzugefügt. die erste Einschränkung verweigert den Zugriff auf die IP-Adresse 192.168.100.1, und die zweite Einschränkung verweigert den Zugriff auf das gesamte 169.254.0.0.0-Netzwerk.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='192.168.100.1',allowed='False']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0',allowed='False']" /commit:apphost

Hinweis

Sie müssen unbedingt den Commitparameterapphost festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der Datei ApplicationHost.config festgelegt.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site");
         ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();

         ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
         addElement["ipAddress"] = @"192.168.100.1";
         addElement["allowed"] = false;
         ipSecurityCollection.Add(addElement);

         ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
         addElement1["ipAddress"] = @"169.254.0.0";
         addElement1["subnetMask"] = @"255.255.0.0";
         addElement1["allowed"] = false;
         ipSecurityCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site")
      Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection

      Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement("ipAddress") = "192.168.100.1"
      addElement("allowed") = False
      ipSecurityCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement1("ipAddress") = "169.254.0.0"
      addElement1("subnetMask") = "255.255.0.0"
      addElement1("allowed") = False
      ipSecurityCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;

var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "192.168.100.1";
addElement.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement);

var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
addElement1.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection

Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "192.168.100.1"
addElement.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement)

Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
addElement1.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement1)

adminManager.CommitChanges()