Condividi tramite

Restrizioni degli indirizzi IP dinamici IIS 8.0

  • Articolo

di Robert McMurray

Compatibilità

Versione Note
IIS 8,0 Restrizioni di indirizzi IP dinamici predefinite per IIS 8.0.
IIS 7,5 Le restrizioni degli indirizzi IP dinamici sono disponibili come modulo fuori banda per IIS 7.5.
IIS 7.0 Le restrizioni per gli indirizzi IP dinamici sono disponibili come modulo fuori banda per IIS 7.0.

Problema

IIS 7 e versioni precedenti hanno funzionalità predefinite che consentono agli amministratori di consentire o negare l'accesso per singoli indirizzi IP o intervalli di indirizzi IP. Quando un indirizzo IP è stato bloccato, qualsiasi client HTTP da tale indirizzo IP riceverà un errore HTTP "403.6 Non consentito" dal server. Questa funzionalità consente agli amministratori di personalizzare l'accesso per il server in base all'attività visualizzata nei log o nell'attività del sito Web del server. Tuttavia, si tratta di un processo manuale. Anche se la funzionalità può essere scriptata per individuare utenti malintenzionati esaminando i file di log IIS usando uno strumento come l'utilità LogParser di Microsoft, questo richiede comunque un intervento manuale.

Soluzione

In IIS 8.0 Microsoft ha espanso la funzionalità predefinita per includere diverse nuove funzionalità:

  • Filtro degli indirizzi IP dinamici, che consente agli amministratori di configurare il server per bloccare l'accesso per gli indirizzi IP che superano il numero specificato di richieste.
  • Le funzionalità di filtro degli indirizzi IP consentono ora agli amministratori di specificare il comportamento quando IIS blocca un indirizzo IP, pertanto le richieste dai client dannosi possono essere interrotte dal server anziché restituire risposte HTTP 403.6 al client.
  • Il filtro IP ora include una modalità proxy, che consente agli indirizzi IP di essere bloccati non solo dall'IP client visualizzato da IIS ma anche dai valori ricevuti nell'intestazione x-forwarded-for HTTP

Istruzioni dettagliate

Prerequisiti:

  • Computer Windows Server 2012 con IIS 8.0 installato.

    Nota

    La funzionalità Restrizioni IP e dominio deve essere installata come parte di IIS.

    Screenshot che mostra una casella di controllo selezionata per Restrizioni di dominio e I P.

Soluzioni alternative per i bug noti:

Non sono presenti bug noti per questa funzionalità in questo momento.

Configurazione di IIS per negare l'accesso in base alle richieste HTTP

IIS 8.0 può essere configurato per negare l'accesso ai siti Web in base al numero di volte in cui un client HTTP accede al server entro un intervallo di tempo specificato o in base al numero di connessioni simultanee da un client HTTP.

Per configurare IIS per negare l'accesso in base al numero di richieste HTTP ricevute, seguire questa procedura:

  1. Accedere come amministratore nel computer Windows Server 2012.
  2. Aprire Gestione Internet Information Services (IIS).
  3. Evidenziare il nome del server, il sito Web o il percorso della cartella nel riquadro Connessioni e quindi fare doppio clic su Indirizzo IP e restrizioni di dominio nell'elenco delle funzionalità.
    Screenshot che mostra L'I S Manager, con il riquadro Home del sito Web predefinito aperto e I P Address and Domain Restrictions selezionato.
  4. Fare clic su Modifica impostazioni di restrizione dinamica nel riquadro Azioni .
    Screenshot che mostra il riquadro Restrizioni indirizzo I P e dominio aperto. Modificare le impostazioni di restrizione dinamica è evidenziato nel riquadro Azioni.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni restrizione IP dinamica , selezionare l'indirizzo IP nega in base al numero di richieste simultanee se si vuole impedire a un client HTTP di stabilire troppe connessioni simultanee. Selezionare la casella Nega indirizzo IP in base al numero di richieste in un periodo di tempo , se si vuole impedire a un client HTTP di stabilire troppe connessioni entro un periodo di tempo specifico.
    Screenshot che mostra la finestra di dialogo Impostazioni restrizione I P dinamica. Le prime due voci hanno selezionato le caselle di controllo.
  6. Fare clic su OK.

Configurazione del comportamento per IIS quando nega gli indirizzi IP

In IIS 7 e versioni precedenti, IIS restituirà un errore HTTP "403.6 Non consentito" dal server quando un indirizzo IP client è stato bloccato. In IIS 8.0 gli amministratori possono configurare il server per negare l'accesso agli indirizzi IP in diversi modi aggiuntivi.

Per configurare il comportamento che IIS userà durante la negazione degli indirizzi IP, seguire questa procedura:

  1. Accedere come amministratore nel computer Windows Server 2012.

  2. Aprire Gestione Internet Information Services (IIS).

  3. Evidenziare il nome del server, il sito Web o il percorso della cartella nel riquadro Connessioni e quindi fare doppio clic su Indirizzo IP e restrizioni di dominio nell'elenco delle funzionalità.
    Screenshot che mostra l'I S Manager. Indirizzo I P e restrizioni di dominio sono selezionati nel riquadro Home del sito Web predefinito.

  4. Fare clic su Modifica impostazioni funzionalità nel riquadro Azioni .
    Screenshot che mostra il riquadro I P Address and DomainLimitazione, con Modifica impostazioni funzionalità evidenziate nel riquadro Azioni.

  5. Quando viene visualizzata la finestra di dialogo Modifica impostazioni ip e restrizioni dominio , fare clic sul menu a discesa Nega tipo azione e scegliere il comportamento usato da IIS dai valori seguenti:

    • Non autorizzato: IIS restituisce una risposta HTTP 401.

    • Non consentito: IIS restituisce una risposta HTTP 403.

    • Not Found: IIS restituisce una risposta HTTP 404.

    • Interruzione: IIS termina la connessione HTTP.

      Screenshot che mostra la finestra di dialogo Modifica impostazioni restrizioni P e dominio. Non consentito è selezionato dall'elenco Nega tipo di azione.

  6. Fare clic su OK.

Configurazione di IIS per la modalità proxy

Una delle sfide per il filtro IP è che molti client accedono a IIS tramite uno o più firewall, bilanciamento del carico o server proxy; quindi l'indirizzo IP può essere sempre visualizzato come server nel percorso della richiesta più vicino al server IIS. In IIS 8.0 gli amministratori possono configurare il server per esaminare l'intestazione x-forwarded-for HTTP oltre all'indirizzo IP client per determinare quali richieste bloccare. Questo comportamento è denominato "Modalità proxy".

Per configurare IIS per la modalità proxy, seguire questa procedura:

  1. Accedere come amministratore nel computer Windows Server 2012.
  2. Aprire Gestione Internet Information Services (IIS).
  3. Evidenziare il nome del server, il sito Web o il percorso della cartella nel riquadro Connessioni e quindi fare doppio clic su Indirizzo IP e restrizioni di dominio nell'elenco delle funzionalità.
    Screenshot che mostra il riquadro Home del sito Web predefinito, con indirizzi I P e restrizioni di dominio selezionate.
  4. Fare clic su Modifica impostazioni funzionalità nel riquadro Azioni .
    Screenshot che mostra L'I S Manager, con Modifica impostazioni funzionalità evidenziate nel riquadro Azioni.
  5. Quando viene visualizzata la finestra di dialogo Modifica impostazioni di restrizione IP e dominio , selezionare la casella Abilita modalità proxy.
    Screenshot che mostra la finestra di dialogo Modifica e impostazioni restrizioni dominio. Abilitare la modalità proxy è selezionata nella casella di controllo.
  6. Fare clic su OK.

Riepilogo

In questa guida è stata esaminata la configurazione di IIS per negare dinamicamente l'accesso al server in base al numero di richieste da un indirizzo IP client, nonché alla configurazione del comportamento che IIS userà quando nega l'accesso agli utenti potenzialmente dannosi.