在我们无法控制源代码的 IIS7 Web 应用程序 (ASP.NET) 中,任何从互联网访问该应用程序的人都会看到登录页面。
为了符合安全审核,登录页面(特定 URL)必须锁定在内部 IP 网络范围内。换句话说,互联网用户应该可以做除了进入此登录页面之外的所有事情。
阻止/允许整个站点很容易,但是如何在 IIS 配置中实现特定页面或 URL 的安全性?
答案1
您可以在文件夹和虚拟目录以及站点级别使用“IP 地址和域限制”功能。
因此,将登录页面放入其中一个,并使用 IIS 限制。(我的意思是,重新设计网站时要考虑到这一点,不要随意移动它)。
也可以看看:https://stackoverflow.com/questions/8147804/ip-restriction-for-a-folder-of-a-web-application-in-iis7
答案2
在您的 web.config 中,添加如下部分:
<location path="authentication/logon.aspx">
<system.webServer>
<security>
<ipSecurity>
<add ipAddress="127.0.0.1" subnetMask="255.255.255.0" allowed="false" />
</ipSecurity>
</security>
</system.webServer>
</location>
在根配置节点内。
尽管在 IIS UI 中无法将设置应用于单个文件,但配置系统确实支持这一点。关键是位置节点中的“路径”属性。该节点内的任何内容仅适用于指定的路径。