Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения
Элемент <add> коллекции определяет уникальное <ipSecurity> ограничение безопасности IP-адресов. Каждое ограничение может основываться на IP-адресе версии 4, диапазоне IP-адресов версии 4 или доменном имени DNS.
Совместимость
| Версия | Примечания |
|---|---|
| IIS 10.0 | Элемент <add> не был изменен в IIS 10.0. |
| IIS 8,5 | Элемент <add> не был изменен в IIS 8.5. |
| IIS 8,0 | Элемент <add> не был изменен в IIS 8.0. |
| IIS 7,5 | Элемент <add> не был изменен в IIS 7.5. |
| IIS 7.0 | Элемент <add> коллекции появился <ipSecurity> в IIS 7.0. |
| IIS 6,0 | Коллекция <ipSecurity> заменяет свойство метабазы IPSecurity IIS 6.0. |
Настройка
Установка служб IIS по умолчанию не включает службу ролей или компонент Windows для защиты IP-адресов. Чтобы использовать безопасность IP-адресов в IIS, необходимо установить службу ролей или компонент Windows, выполнив следующие действия.
Windows Server 2012 или Windows Server 2012 R2
- На панели задач щелкните Диспетчер сервера.
- В диспетчер сервера откройте меню Управление и выберите пункт Добавить роли и компоненты.
- В мастере добавления ролей и компонентов нажмите кнопку Далее. Выберите тип установки и нажмите кнопку Далее. Выберите целевой сервер и нажмите кнопку Далее.
- На странице Роли сервера разверните узел Веб-сервер (IIS),Веб-сервер, Безопасность, а затем выберите Ограничения IP-адресов и доменов. Щелкните Далее.
. - На странице Выбор компонентов нажмите кнопку Далее.
- На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
- На странице Результаты нажмите кнопку Закрыть.
Windows 8 или Windows 8.1
- На начальном экране переместите указатель в левый нижний угол, щелкните правой кнопкой мыши кнопку Пуск и выберите пункт панель управления.
- В панель управления щелкните Программы и компоненты, а затем — Включить или выключить компоненты Windows.
- Разверните узел Службы IIS, Веб-службы, Безопасность, а затем выберите Безопасность IP-адресов.
- Нажмите кнопку ОК.
- Щелкните Закрыть.
Windows Server 2008 или Windows Server 2008 R2
На панели задач нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните диспетчер сервера.
В области иерархии диспетчер сервера разверните узел Роли, а затем щелкните Веб-сервер (IIS) .
В области Веб-сервер (IIS) прокрутите страницу до раздела Службы ролей и щелкните Добавить службы ролей.
На странице Выбор служб ролеймастера добавления служб ролей выберите Ограничения IP-адресов и доменов, а затем нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
На странице Результаты нажмите кнопку Закрыть.
Windows Vista или Windows 7
На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
В панель управления щелкните Программы и компоненты, а затем — Включить или отключить компоненты Windows.
Разверните узел Службы IIS, Затем — Службы Интернета и Безопасность.
Выберите Безопасность IP-адресов и нажмите кнопку ОК.
Инструкции
Добавление ограничений IP-адресов для запрета доступа к веб-сайту
Откройте диспетчер служб IIS.
Если вы используете Windows Server 2012 или Windows Server 2012 R2:
- На панели задач щелкните диспетчер сервера, инструменты, а затем диспетчер служб IIS.
Если вы используете Windows 8 или Windows 8.1:
- Удерживая нажатой клавишу Windows, нажмите букву X и щелкните панель управления.
- Щелкните Администрирование, а затем дважды щелкните диспетчер служб IIS.
Если вы используете Windows Server 2008 или Windows Server 2008 R2:
- На панели задач нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем щелкните Диспетчер служб IIS.
Если вы используете Windows Vista или Windows 7:
- На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
- Дважды щелкните элемент Администрирование, а затем дважды щелкните диспетчер служб IIS.
В области Подключения разверните имя сервера, узел Сайты, а затем сайт, приложение или веб-службу, для которых требуется добавить ограничения IP-адресов.
На панели Главная дважды щелкните функцию ОГРАНИЧЕНИЯ IP-адресов и доменов .
В функции ОГРАНИЧЕНИЯ IP-адресов и доменов щелкните Добавить запрет записи... на панели Действия .
Введите IP-адрес, который вы хотите запретить, и нажмите кнопку ОК.
Изменение параметров функции ограничений IP-адресов для веб-сайта
Откройте диспетчер служб IIS.
Если вы используете Windows Server 2012 или Windows Server 2012 R2:
- На панели задач щелкните диспетчер сервера, инструменты, а затем диспетчер служб IIS.
Если вы используете Windows 8 или Windows 8.1:
- Удерживая нажатой клавишу Windows, нажмите букву X и щелкните панель управления.
- Щелкните Администрирование, а затем дважды щелкните диспетчер служб IIS.
Если вы используете Windows Server 2008 или Windows Server 2008 R2:
- На панели задач нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем щелкните Диспетчер служб IIS.
Если вы используете Windows Vista или Windows 7:
- На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
- Дважды щелкните элемент Администрирование, а затем дважды щелкните диспетчер служб IIS.
В области Подключения разверните имя сервера, узел Сайты, а затем сайт, приложение или веб-службу, для которых требуется добавить ограничения IP-адресов.
На панели Главная дважды щелкните функцию ОГРАНИЧЕНИЯ IP-адресов и доменов .
В функции ОГРАНИЧЕНИЯ IP-адресов и доменов щелкните Изменить параметры компонентов... на панели Действия .
Выберите поведение доступа по умолчанию для неуказаемых клиентов, укажите, следует ли включать ограничения по доменному имени, укажите, следует ли включить режим прокси-сервера, выберите Тип действия запрета и нажмите кнопку ОК.
Конфигурация
Правила обрабатываются сверху вниз в порядке их отображения в списке. Атрибут allowunlisted обрабатывается последним. Рекомендуется сначала перечислить правила запрета.
Атрибуты
| Атрибут | Описание |
|---|---|
allowed |
Дополнительный логический атрибут. Указывает, следует ли разрешить доступ к адресным пространствам. Значение по умолчанию — false. |
domainName |
Необязательный строковый атрибут. Указывает доменное имя, на которое налагается правило ограничения. В качестве подстановочного знака можно использовать звездочку (*). |
ipAddress |
Необязательный строковый атрибут. Указывает IP-адрес версии 4, на который налагается правило ограничения. |
subnetMask |
Необязательный строковый атрибут. Указывает маску подсети, с помощью которой вычисляется IP-адрес для этого правила ограничения. Маску подсети можно использовать для определения диапазона IP-адресов в адресном пространстве. Для значения по умолчанию требуется прямое соответствие оцениваемого IP-адреса (по сути, диапазон одного адреса). Значение по умолчанию — 255.255.255.255. |
Дочерние элементы
Отсутствует.
Образец конфигурации
Следующий пример конфигурации добавляет два ограничения IP-адресов к веб-сайту по умолчанию. первое ограничение запрещает доступ к IP-адресу 192.168.100.1, а второе ограничение запрещает доступ ко всей сети 169.254.0.0.
<location path="Default Web Site">
<system.webServer>
<security>
<ipSecurity>
<add ipAddress="192.168.100.1" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" />
</ipSecurity>
</security>
</system.webServer>
</location>
Пример кода
Следующие примеры кода добавляют два ограничения IP-адресов для веб-сайта по умолчанию. первое ограничение запрещает доступ к IP-адресу 192.168.100.1, а второе ограничение запрещает доступ ко всей сети 169.254.0.0.
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='192.168.100.1',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0',allowed='False']" /commit:apphost
Примечание
При использовании AppCmd.exe для настройки этих параметров для параметра apphostфиксации необходимо задать значение . Это зафиксирует параметры конфигурации в соответствующем разделе расположения в файле ApplicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site");
ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();
ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
addElement["ipAddress"] = @"192.168.100.1";
addElement["allowed"] = false;
ipSecurityCollection.Add(addElement);
ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
addElement1["ipAddress"] = @"169.254.0.0";
addElement1["subnetMask"] = @"255.255.0.0";
addElement1["allowed"] = false;
ipSecurityCollection.Add(addElement1);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site")
Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection
Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement("ipAddress") = "192.168.100.1"
addElement("allowed") = False
ipSecurityCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement1("ipAddress") = "169.254.0.0"
addElement1("subnetMask") = "255.255.0.0"
addElement1("allowed") = False
ipSecurityCollection.Add(addElement1)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;
var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "192.168.100.1";
addElement.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement);
var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
addElement1.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement1);
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection
Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "192.168.100.1"
addElement.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement)
Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
addElement1.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement1)
adminManager.CommitChanges()