Freigeben über

IIS 8.0 Beschränkungen für dynamische IP-Adressen

  • Artikel

von Robert McMurray

Kompatibilität

Version Hinweise
IIS 8.0 Integrierte Einschränkungen für dynamische IP-Adressen für IIS 8.0.
IIS 7.5 Dynamische IP-Adresseinschränkungen waren als Out-of-Band-Modul für IIS 7.5verfügbar.
IIS 7.0 Dynamische IP-Adresseinschränkungen waren als Out-of-Band-Modul für IIS 7.0verfügbar.

Problem

IIS 7 und frühere Versionen verfügen über integrierte Funktionen, mit denen Administratoren den Zugriff auf einzelne IP-Adressen oder IP-Adressbereiche zulassen oder verweigern können. Wenn eine IP-Adresse blockiert wurde, erhalten alle HTTP-Clients von dieser IP-Adresse eine HTTP-Fehlermeldung "403.6 Forbidden"-Antwort vom Server. Diese Funktionalität ermöglicht Administratoren das Anpassen des Zugriffs für ihren Server basierend auf Aktivitäten, die sie in den Protokollen oder Websiteaktivitäten ihres Servers sehen. Dies ist jedoch ein manueller Prozess. Auch wenn Die Funktionalität so konfiguriert werden kann, dass böswillige Benutzer durch Untersuchen der IIS-Protokolldateien mithilfe eines Tools wie dem Hilfsprogramm LogParser von Microsoft erkannt werden können, erfordert dies dennoch manuelle Eingriffe.

Lösung

In IIS 8.0 hat Microsoft die integrierte Funktionalität um mehrere neue Features erweitert:

  • Dynamische IP-Adressfilterung, mit der Administratoren ihren Server so konfigurieren können, dass der Zugriff für IP-Adressen blockiert wird, die die angegebene Anzahl von Anforderungen überschreiten.
  • Mit den Features zum Filtern von IP-Adressen können Administratoren jetzt das Verhalten angeben, wenn IIS eine IP-Adresse blockiert, sodass Anforderungen von böswilligen Clients vom Server abgebrochen werden können, anstatt HTTP 403.6-Antworten an den Client zurückzugeben.
  • Die IP-Filterung bietet jetzt einen Proxymodus, der es ermöglicht, IP-Adressen nicht nur von der Client-IP zu blockieren, die von IIS angezeigt wird, sondern auch von den Werten, die im x-forwarded-for-HTTP-Header empfangen werden.

Schrittanweisungen

Voraussetzungen:

  • Windows Server 2012-Computer mit installierter IIS 8.0-Installation.

    Hinweis

    Das Feature für IP- und Domäneneinschränkungen muss als Teil von IIS installiert werden.

    Screenshot that shows a selected checkbox for I P and Domain Restrictions.

Problemumgehungen für bekannte Fehler:

Derzeit gibt es keine bekannten Fehler für dieses Feature.

Konfigurieren von IIS zum Verweigern des Zugriffs basierend auf HTTP-Anforderungen

IIS 8.0 kann so konfiguriert werden, dass der Zugriff auf Websites verweigert wird, basierend auf der Häufigkeit, mit der ein HTTP-Client innerhalb eines bestimmten Zeitintervalls auf den Server zugreift, oder basierend auf der Anzahl der gleichzeitigen Verbindungen von einem HTTP-Client.

Wenn Sie IIS so konfigurieren möchten, dass der Zugriff basierend auf der Anzahl der empfangenen HTTP-Anforderungen verweigert wird, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich als Administrator auf Ihrem Windows Server 2012-Computer an.
  2. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.
  3. Markieren Sie den Servernamen, die Website oder den Ordnerpfad im Bereich "Verbindungen ", und doppelklicken Sie dann in der Liste der Features auf "IP-Adresse" und "Domäneneinschränkungen" .
    Screenshot that shows the I I S Manager, with the Default Web Site Home pane open and I P Address and Domain Restrictions selected.
  4. Klicken Sie im Bereich Aktionen auf Dynamische Einschränkungseinstellungen bearbeiten..
    Screenshot that shows the I P Address and Domain Restrictions pane open. Edit Dynamic Restriction Settings is highlighted in the Actions pane.
  5. Wenn das Dialogfeld "Einstellungen für dynamische IP-Einschränkung" angezeigt wird, prüfen Sie „IP-Adresse verweigern“, basierend auf der Anzahl der gleichzeitigen Anforderungen, wenn Sie verhindern möchten, dass ein HTTP-Client zu viele gleichzeitige Verbindungen herstellt. Und prüfen Sie das Kontrollkästchen, um die IP-Adresse basierend auf der Anzahl der Anforderungen über einen bestimmten Zeitraum zu verweigern, wenn Sie verhindern möchten, dass ein HTTP-Client innerhalb eines bestimmten Zeitraums zu viele Verbindungen herstellt.
    Screenshot that shows the Dynamic I P Restriction Settings dialog box. The first two items have selected checkboxes.
  6. Klicken Sie auf OK.

Konfigurieren des Verhaltens für IIS beim Verweigern von IP-Adressen

In IIS 7 und früheren Versionen würde IIS einen HTTP-Fehler "403.6 Verboten" vom Server zurückgeben, wenn eine Client-IP-Adresse blockiert wurde. In IIS 8.0 können Administratoren ihren Server so konfigurieren, dass der Zugriff auf IP-Adressen auf verschiedene zusätzliche Weise verweigert wird.

Führen Sie die folgenden Schritte aus, um das Verhalten zu konfigurieren, das IIS beim Verweigern von IP-Adressen verwendet:

  1. Melden Sie sich als Administrator auf Ihrem Windows Server 2012-Computer an.

  2. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.

  3. Markieren Sie den Servernamen, die Website oder den Ordnerpfad im Bereich "Verbindungen ", und doppelklicken Sie dann in der Liste der Features auf "IP-Adresse" und "Domäneneinschränkungen" .
    Screenshot that shows the I I S Manager. I P Address and Domain Restrictions is selected in the Default Web Site Home pane.

  4. Klicken Sie im Bereich Aktionen auf Featureeinstellungen bearbeiten.
    Screenshot that shows the I P Address and Domain Restrictions pane, with Edit Feature Settings highlighted in the Actions pane.

  5. Wenn das Dialogfeld "IP- und Domäneneinschränkungseinstellungen bearbeiten" angezeigt wird, klicken Sie auf das Dropdownmenü "Aktionstyp verweigern", und wählen Sie das Verhalten aus den folgenden Werten aus:

    • Nicht autorisiert: IIS gibt eine HTTP 401-Antwort zurück.

    • Verboten: IIS gibt eine HTTP 403-Antwort zurück.

    • Nicht gefunden: IIS gibt eine HTTP 404-Antwort zurück.

    • Abbruch: IIS beendet die HTTP-Verbindung.

      Screenshot that shows the Edit I P and Domain Restrictions Settings dialog box. Forbidden is selected from the Deny Action Type list.

  6. Klicken Sie auf OK.

Konfigurieren von IIS für den Proxymodus

Eine der Herausforderungen bei der IP-Filterung besteht darin, dass viele Clients über eine oder mehrere Firewalls, Lastenausgleich oder Proxyserver auf IIS zugreifen; damit die IP-Adresse möglicherweise immer als Server im Anforderungspfad angezeigt wird, der dem IIS-Server am nächsten ist. In IIS 8.0 können Administratoren ihren Server so konfigurieren, dass der x-forwarded-for- HTTP-Header zusätzlich zur Client-IP-Adresse untersucht wird, um zu bestimmen, welche Anforderungen blockiert werden sollen. Dieses Verhalten wird als "Proxymodus" bezeichnet.

Führen Sie die folgenden Schritte aus, um IIS für den Proxymodus zu konfigurieren:

  1. Melden Sie sich als Administrator auf Ihrem Windows Server 2012-Computer an.
  2. Öffnen Sie den Internetinformationsdienste (IIS)-Manager.
  3. Markieren Sie den Servernamen, die Website oder den Ordnerpfad im Bereich "Verbindungen ", und doppelklicken Sie dann in der Liste der Features auf "IP-Adresse" und "Domäneneinschränkungen" .
    Screenshot that shows the Default Web Site Home pane, with I P Address and Domain Restrictions selected.
  4. Klicken Sie im Bereich Aktionen auf Featureeinstellungen bearbeiten.
    Screenshot that shows the I I S Manager, with Edit Feature Settings highlighted in the Actions pane.
  5. Wenn das Dialogfeld "IP- und Domäneneinschränkungseinstellungen bearbeiten" angezeigt wird, prüfen Sie das Kontrollkästchen zum Aktivieren des Proxymodus.
    Screenshot that shows the Edit and Domain Restrictions Settings dialog box. Enable Proxy Mode is selected in the checkbox.
  6. Klicken Sie auf OK.

Zusammenfassung

In diesem Handbuch haben Sie sich mit der Konfiguration von IIS befasst, um den Zugriff auf Ihren Server basierend auf der Anzahl der Anforderungen einer Client-IP-Adresse dynamisch zu verweigern sowie das Verhalten zu konfigurieren, das IIS verwendet, wenn der Zugriff auf potenziell böswillige Benutzer verweigert wird.