تنظیم محدودیت IP در IIS: آموزش کنترل دسترسی

موضوعاتی که در این مقاله به آنها پرداخته خواهد شد، به شرح زیر است:

مقدمه: چرا به محدودیت IP و دامنه در IIS نیاز داریم؟

امنیت IIS، سلام به همه متخصصان و علاقه‌مندان دنیای سرور در پشتوار سرور (PoshtvarServer)! در ادامه مسیر یادگیری IIS، امروز به سراغ یک مبحث فوق‌العاده مهم در زمینه امنیت IIS می‌رویم: تنظیم محدودیت IP در IIS.

این قابلیت یکی از ابزارهای کلیدی برای کنترل دسترسی IIS به وب‌سایت‌های شما محسوب می‌شود. فرض کنید می‌خواهید دسترسی به وب‌سایت یا بخش‌هایی از آن را فقط به کاربران شبکه داخلی محدود نمایید، یا شاید نیاز به مسدود کردن IP در IIS برای آدرس‌های مزاحم و ربات‌های مخرب داشته باشید. اینجاست که ویژگی “IP Address and Domain Restrictions” به بهترین شکل به شما کمک می‌کند.

این قابلیت قدرتمند به شما اجازه می‌دهد قوانینی برای مدیریت و کنترل دسترسی IIS تعریف کنید؛ قوانینی که مشخص می‌کنند کدام آدرس‌های IP مجاز هستند و کدام‌ها باید مسدود شوند. در این آموزش، ما ابتدا نحوه فعال‌سازی این سرویس را یاد می‌گیریم و سپس به صورت گام به گام، نحوه تنظیم محدودیت IP در IIS و ملاحظات مربوط به محدودیت دامنه را بررسی خواهیم کرد. هدف نهایی ما، بهبود امنیت IIS و داشتن کنترل بیشتر روی بازدیدکنندگان وب‌سایت شماست.

پیش‌نیازها و محیط آزمایشی برای امنیت IIS

پیش‌نیازهای اصلی:

وب سرور IIS باید روی ویندوز سرور 2022 شما نصب شده باشد. (برای راهنمایی، می‌توانید به آموزش نصب IIS ما مراجعه کنید.)
آشنایی با مدیریت وب سایت در IIS نیز مفید خواهد بود.
محیط آزمایشی ما:

  • نام کامپیوتر: server1.test.com
  • سیستم عامل: Windows Server 2022 Datacenter
  • آدرس IP: 192.168.0.2

نصب سرویس ضروری: IP and Domain Restrictions

نکته مهم اول: قابلیت فیلتر IP در IIS به‌طور پیش‌فرض هنگام نصب اولیه IIS فعال نیست. پس اولین قدم ما، افزودن این سرویس نقش (Role Service) است:

  • Server Manager را باز کنید و ویزارد “Add Roles and Features” را اجرا نمایید.
  • مراحل اولیه (Before You Begin، Installation Type، Server Selection) را مانند دفعه قبل در آموزش نصب IIS طی کنید تا به صفحه “Server Roles” برسید.
  • در لیست نقش‌ها، این مسیر را دنبال نمایید: Web Server (IIS) -> Web Server -> Security.
  • در زیرمجموعه Security، گزینه IP and Domain Restrictions را پیدا کنید و تیک بزنید.
  • حالا مراحل ویزارد را تا انتها ادامه دهید و روی “Install” کلیک کنید تا این سرویس نصب شود.

 

انتخاب سرویس نقش IP and Domain Restrictions در ویزارد Add Roles and Features برای فعال سازی محدودیت IP در IIS.

پیکربندی محدودیت آدرس IP (مسدود کردن IP در IIS)

حالا که سرویس آماده شده است، می‌توانیم قوانین مسدود کردن IP در IIS را تعریف کنیم. این بخش اصلی تنظیم محدودیت IP در IIS است.

گام ۱: باز کردن کنسول IIS و دسترسی به ویژگی

کنسول IIS Manager را باز کنید (مسیر دسترسی: Server Manager > Tools > Internet Information Services (IIS) Manager).

دسترسی به کنسول IIS Manager از طریق منوی Tools در Server Manager برای تنظیم محدودیت IP.
  • در پنل سمت چپ (Connections)، به سایتی بروید که می‌خواهید روی آن محدودیت اعمال نمایید (در این مثال، Default Web Site). روی نام سایت کلیک کنید.
  • در پنل میانی (Features View)، روی آیکون IP Address and Domain Restrictions دوبار کلیک نمایید.
انتخاب آیکون IP Address and Domain Restrictions در Features View برای وب سایت مورد نظر در IIS جهت تنظیم فیلتر IP.

گام ۲: افزودن قانون Deny (مسدود کردن)

برای اینکه شروع به مسدود کردن IP در IIS کنیم، یک قانون Deny اضافه می‌نماییم:

  • در پنل Actions سمت راست، روی “Add Deny Entry…” کلیک کنید.
کلیک بر روی Add Deny Entry در پنل Actions برای ایجاد یک قانون جدید جهت مسدود کردن IP در IIS.

پنجره “Add Deny Restriction Rule” باز می‌شود.

  • گزینه “Specific IP address” را انتخاب کنید.
  • آدرس IPای را که می‌خواهید مسدود کنید در کادر مربوط وارد نمایید (در
  • مثال تصویر: 192.168.0.3).
  • روی OK کلیک کنید.
پنجره Add Deny Restriction Rule با وارد کردن یک آدرس IP مشخص برای اعمال محدودیت دسترسی در IIS.

گام ۳: مشاهده قانون ایجاد شده

اکنون قانون Deny که اضافه کردید، در لیست قوانین کنترل دسترسی IIS قابل مشاهده است.

لیست قوانین IP Address and Domain Restrictions در IIS که قانون Deny جدید برای IP مشخص را نشان می‌دهد.

گام ۴: تست و تأیید مسدود شدن دسترسی برای امنیت IIS

برای اطمینان از اینکه تنظیم محدودیت IP در IIS درست کار می‌کند:

  • از سیستمی که IP آن را مسدود کرده‌اید، به وب‌سایت دسترسی پیدا کنید.
  • باید با خطای 403 – Forbidden روبرو شوید. این نشان‌دهنده این است که فرآیند مسدود کردن IP در IIS شما با موفقیت انجام شده است.
مرورگر وب خطای 403 Forbidden را نمایش می‌دهد که نشان دهنده اعمال موفقیت آمیز محدودیت IP در IIS است.

پیکربندی محدودیت دامنه برای امنیت IIS (نکات مهم کنترل دسترسی IIS)

علاوه بر IP، شما می‌توانید دسترسی را بر اساس نام دامنه کلاینت نیز محدود نمایید. اما یک هشدار بسیار مهم: فعال کردن محدودیت بر اساس دامنه، به‌شدت روی عملکرد سرور شما تأثیر منفی می‌گذارد!

چرا؟ چون برای هر درخواست ورودی، IIS مجبور است یک عملیات DNS Reverse Lookup انجام دهد تا نام دامنه متناظر با IP کلاینت را پیدا کند. این فرآیند هم زمان‌بر است و هم از نظر منابع سرور بسیار پرهزینه.

بنابراین، به‌طور کلی استفاده از محدودیت دامنه توصیه نمی‌شود، مگر در موارد بسیار خاص و با آگاهی کامل از تأثیرات منفی آن روی عملکرد. در مقایسه، استفاده از محدودیت IP در IIS بسیار کارآمدتر است.

با این حال، اگر باز هم اصرار به استفاده از آن دارید، مراحل کلی فعال‌سازی آن به صورت زیر هستند:

گام ۱: دسترسی مجدد به ویژگی

مانند قبل، به بخش IP Address and Domain Restrictions برای سایت مورد نظر بروید.

نتخاب مجدد آیکون IP Address and Domain Restrictions در IIS برای پیکربندی محدودیت دسترسی بر اساس دامنه.

گام ۲: ویرایش تنظیمات کلی (Edit Feature Settings)

در پنل Actions سمت راست، روی Edit Feature Settings… کلیک کنید.

کلیک بر روی Edit Feature Settings در پنل Actions برای دسترسی به تنظیمات اصلی محدودیت IP و دامنه در IIS.

گام ۳: فعال کردن محدودیت دامنه و تنظیم رفتار پیش‌فرض

در پنجره “Edit IP and Domain Restrictions Settings” که باز می‌شود:

  • برای فعال کردن قابلیت بررسی نام دامنه، تیک گزینه “Enable domain name restrictions” را بزنید.
  • در بخش “Access for unspecified clients” می‌توانید رفتار پیش‌فرض را تعیین نمایید (Allow یا Deny). اگر Deny را انتخاب کنید، باید دامنه‌های مجاز را به صورت Allow Rule اضافه کنید (این بخش در تصاویر این آموزش نشان داده نشده است).
  • گزینه “Enable Proxy Mode” برای مواقعی است که سرور شما پشت یک پروکسی قرار گرفته است.
  • Deny Action Type نوع پاسخی را تعیین می‌کند که در صورت مسدود شدن ارسال می‌شود (مثلاً Forbidden، Not Found، Abort).

در نهایت، روی OK کلیک کنید.

پنجره Edit IP and Domain Restrictions Settings با تیک فعال سازی محدودیت دامنه و تنظیم رفتار پیش فرض روی Deny.

گام ۴: تأیید هشدار عملکرد

بلافاصله پس از کلیک کردن روی OK (البته، اگر گزینه Enable domain name restrictions را تیک زده باشید)، IIS یک هشدار مهم در مورد تأثیر این ویژگی روی عملکرد سرور نمایش می‌دهد.

  • برای ادامه دادن و پذیرش این ریسک عملکردی، روی دکمه Yes کلیک کنید.
  • اگر منصرف شدید، روی دکمه No کلیک نمایید.

پنجره هشدار در IIS در مورد تاثیر منفی فعال کردن محدودیت دامنه بر عملکرد سرور به دلیل نیاز به DNS lookup.

(توجه: این آموزش نحوه افزودن قانون Allow یا Deny برای یک دامنه خاص را نشان نمی‌دهد، بلکه تنها نحوه فعال کردن کلی این قابلیت را پوشش می‌دهد. پس از فعال‌سازی، می‌توانید از گزینه‌های “Add Allow Entry” یا “Add Deny Entry” برای افزودن قوانین مبتنی بر نام دامنه استفاده نمایید.)

جمع‌بندی: افزایش امنیت IIS با کنترل دسترسی IIS

تبریک! شما با موفقیت مراحل فعال‌سازی و تنظیم محدودیت IP در IIS را آموختید.

این ابزار قدرتمند به شما امکان کنترل دسترسی IIS به محتوای وب‌سایتتان را می‌دهد و با استفاده صحیح از آن، به‌خصوص از طریق مسدود کردن IP در IIS برای آدرس‌های مخرب، می‌توانید امنیت IIS خود را به میزان قابل توجهی بهبود بخشید.

تیم پشتوار سرور (PoshtvarServer) از همراهی شما در این آموزش مهم امنیتی سپاسگزار است. به خاطر داشته باشید که پیکربندی صحیح این تنظیمات، بخش حیاتی از نگهداری یک وب سرور امن و پایدار محسوب می‌شود.

در آموزش‌های بعدی، به سراغ FTP سرور در IIS خواهیم رفت. اگر در مورد امنیت IIS یا سایر خدمات سرور سؤالی دارید، با ما در پشتوار سرور تماس بگیرید.

برای جزئیات فنی کامل در مورد تنظیم محدودیت IP در IIS و سایر گزینه‌های کنترل دسترسی IIS، می‌توانید به مستندات رسمی IP Security در IIS مایکروسافت مراجعه نمایید

مطالب مرتبط:

آدرس: اصفهان، خیابان انوشیروان، کوچه امام حسین، پلاک ۳۷، طبقه دوم، واحد ۲۰۲

تلفن تماس: 91013131 031

ایمیل آدرس: sales@poshtvarserver.com

تمامی حقوق برای پشتوار سرور محفوظ می باشد. کپی رایت © 2022

بازگشت به بالا