我们的一个部门正在使用内部网络应用程序。
关于 Web 应用程序实际状态的简要概述:
- Web 应用程序由外部公司开发
- Web 应用程序正在我们环境中的虚拟机上运行
- Web 应用程序随 Windows Server 2016 一起安装,并且包含角色 IIS
- 每个域用户(约 500 个用户)都可以通过 LAN 访问 Web 应用程序 URL
我们的要求:
此应用程序对我们来说具有很高的安全性相关性。这就是为什么我们希望激活所有可能的安全设置,以便只有允许的用户才能访问此 Web 应用程序。
我们想要的是:
- 即使此应用程序确实具有 Web 登录,我们域中的 500 个用户也不应从我们网络的任何地方访问该网站。
- 我们希望消除通过 Citrix 环境访问此网站的情况(即使只有小团队的一名成员尝试访问)
- 有一个小团队正在使用这个 Web 应用程序,并且可以通过 URL 访问这个 Web 应用程序。我们应该只让这几个用户可以访问这个网站。(这应该发生,而无需更改应用程序(代码或其他内容)——即使我们想这样做,我们也做不到,因为它不是我们开发的)
我们的想象:
- 我们可以在服务器端定义一些东西,它应该只接受来自特定 IP 地址/ IP 范围的请求。
或者
- 我们可以定义一个域用户列表,如果他们请求此网站,则应该允许。但前提是他们有一个内部 IP 地址/范围,即 XYZ。
问题是:
- 我们怎样才能做到这一点?
- 这是我们应该在 Windows Server 防火墙中做的事情吗?如果是,您会建议什么?
- IIS 选项下是否有一些我们可以设置的设置?
- GPO 上有什么东西吗?
先感谢您。