Condividi tramite

Aggiunta dell'aggiunta di sicurezza <IP>

  • Articolo

Panoramica

L'elemento <add><ipSecurity> della raccolta definisce una restrizione di sicurezza IP univoca. Ogni restrizione può essere basata sull'indirizzo IP versione 4, su un intervallo di indirizzi IP versione 4 o su un nome di dominio DNS.

Compatibilità

Versione Note
IIS 10.0 L'elemento <add> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <add> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <add> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <add> non è stato modificato in IIS 7.5.
IIS 7.0 L'elemento <add><ipSecurity> della raccolta è stato introdotto in IIS 7.0.
IIS 6.0 La <ipSecurity> raccolta sostituisce la proprietà metabase IPSecurity IIS 6.0.

Installazione

L'installazione predefinita di IIS non include il servizio ruolo o la funzionalità di Windows per la sicurezza IP. Per usare la sicurezza IP in IIS, è necessario installare il servizio ruolo o la funzionalità di Windows usando la procedura seguente:

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.
  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
  4. Nella pagina Ruoliserver espandere Server Web (IIS), espandere Server Web, espandere Sicurezza e quindi selezionare IP e Restrizioni di dominio. Fare clic su Avanti.
    Screenshot che mostra le restrizioni di dominio e I P selezionate per Windows Server 2012. .
  5. Nella pagina Selezione funzionalità fare clic su Avanti.
  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore nell'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi fare clic su Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva le funzionalità di Windows.
  3. Espandere Internet Information Services, espandere Servizi Web a livello mondiale, espandere Sicurezza e quindi selezionare Sicurezza IP.
    Screenshot che mostra I P Security selezionato per Windows 8.
  4. Fare clic su OK.
  5. Fare clic su Close.

Windows Server 2008 o Windows Server 2008 R2

  1. Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Server Manager.

  2. Nel riquadro della gerarchia di Server Manager espandere Ruoli e quindi fare clic su Server Web (IIS).

  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.

  4. Nella pagina Seleziona servizi ruolo della Procedura guidata Aggiungi servizi ruolo selezionare RESTRIZIONI IP e dominio e quindi fare clic su Avanti.

    Screenshot che mostra le restrizioni di dominio e I P selezionate per Windows Server 2008.

  5. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  6. Nella pagina Risultati fare clic su Chiudi.

Windows Vista o Windows 7

  1. Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services, quindi Servizi Web a livello mondiale, quindi Sicurezza.

  4. Selezionare Sicurezza IP e quindi fare clic su OK.

    Screenshot che mostra I P Security selezionato per Windows Vista o Windows 7.

Procedure

Come aggiungere restrizioni IP per negare l'accesso per un sito Web

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Nella barra delle applicazioni fare clic su Server Manager, scegliere Strumenti e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi sito, applicazione o servizio Web per cui si desidera aggiungere restrizioni IP.

  3. Nel riquadro Home fare doppio clic sulla funzionalità Indirizzo IP e Restrizioni dominio .
    Screenshot che mostra il riquadro Home in I S Manager.

  4. Nella funzionalità Restrizioni indirizzo IP e dominio fare clic su Aggiungi voce nega... nel riquadro Azioni .
    Screenshot che mostra il riquadro Restrizioni indirizzo I P e dominio.

  5. Immettere l'indirizzo IP che si desidera negare e quindi fare clic su OK.
    Screenshot che mostra la finestra di dialogo Aggiungi regola di restrizione nega.

Come modificare le impostazioni delle funzionalità restrizioni IP per un sito Web

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Nella barra delle applicazioni fare clic su Server Manager, scegliere Strumenti e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi sito, applicazione o servizio Web per cui si desidera aggiungere restrizioni IP.

  3. Nel riquadro Home fare doppio clic sulla funzionalità Indirizzo IP e Restrizioni dominio .
    Screenshot che mostra il riquadro Home in Internet Information Services Manager.

  4. Nella funzionalità Restrizioni indirizzo IP e dominio fare clic su Modifica impostazioni funzionalità nel riquadro Azioni .
    Screenshot che mostra la finestra Indirizzi I P e Restrizioni dominio.

  5. Scegliere il comportamento di accesso predefinito per i client non specificati, specificare se abilitare le restrizioni in base al nome di dominio, specificare se abilitare la modalità proxy, selezionare Il tipo di azione Nega e quindi fare clic su OK.
    Screenshot che mostra la finestra di dialogo Aggiungi regola di restrizione nega. Non consentito è selezionato in Nega tipo di azione.

Configurazione

Le regole vengono elaborate dall'alto verso il basso, nell'ordine in cui vengono visualizzate nell'elenco. L'attributo allowunlisted viene elaborato l'ultimo. La procedura consigliata per le restrizioni di Internet Protocol Security (IPsec) consiste nell'elencare prima le regole Nega.

Attributi

Attributo Descrizione
allowed Attributo booleano facoltativo.

Specifica se consentire l'accesso allo spazio indirizzi.

Il valore predefinito è false.
domainName Attributo stringa facoltativo.

Specifica il nome di dominio su cui imporre una regola di restrizione. È possibile usare un asterisco (*) come carattere jolly.
ipAddress Attributo stringa facoltativo.

Specifica l'indirizzo IP versione 4 in cui imporre una regola di restrizione.
subnetMask Attributo stringa facoltativo.

Specifica la subnet mask con cui valutare l'indirizzo IP per questa regola di restrizione. È possibile usare una subnet mask per identificare un intervallo di indirizzi IP in uno spazio indirizzi. Il valore predefinito richiede una corrispondenza diretta dell'indirizzo IP da valutare (in modo efficace, un intervallo di un singolo indirizzo).

Il valore predefinito è 255.255.255.255.

Elementi figlio

Nessuno.

Esempio di configurazione

L'esempio di configurazione seguente aggiunge due restrizioni IP al sito Web predefinito; la prima restrizione nega l'accesso all'indirizzo IP 192.168.100.1 e la seconda restrizione nega l'accesso all'intera rete 169.254.0.0.0.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <ipSecurity>
            <add ipAddress="192.168.100.1" />
            <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" />
         </ipSecurity>
      </security>
   </system.webServer>
</location>

Codice di esempio

Gli esempi di codice seguenti aggiungono due restrizioni IP al sito Web predefinito; la prima restrizione nega l'accesso all'indirizzo IP 192.168.100.1 e la seconda restrizione nega l'accesso all'intera rete 169.254.0.0.0.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='192.168.100.1',allowed='False']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0',allowed='False']" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site");
         ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();

         ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
         addElement["ipAddress"] = @"192.168.100.1";
         addElement["allowed"] = false;
         ipSecurityCollection.Add(addElement);

         ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
         addElement1["ipAddress"] = @"169.254.0.0";
         addElement1["subnetMask"] = @"255.255.0.0";
         addElement1["allowed"] = false;
         ipSecurityCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site")
      Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection

      Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement("ipAddress") = "192.168.100.1"
      addElement("allowed") = False
      ipSecurityCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement1("ipAddress") = "169.254.0.0"
      addElement1("subnetMask") = "255.255.0.0"
      addElement1("allowed") = False
      ipSecurityCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;

var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "192.168.100.1";
addElement.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement);

var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
addElement1.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection

Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "192.168.100.1"
addElement.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement)

Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
addElement1.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement1)

adminManager.CommitChanges()