如何隔离网络中内部 IIS Web 服务器的访问?

如何隔离网络中内部 IIS Web 服务器的访问?

我们的一个部门正在使用内部网络应用程序。

关于 Web 应用程序实际状态的简要概述:

  • Web 应用程序由外部公司开发
  • Web 应用程序正在我们环境中的虚拟机上运行
  • Web 应用程序随 Windows Server 2016 一起安装,并且包含角色 IIS
  • 每个域用户(约 500 个用户)都可以通过 LAN 访问 Web 应用程序 URL

我们的要求:

此应用程序对我们来说具有很高的安全性相关性。这就是为什么我们希望激活所有可能的安全设置,以便只有允许的用户才能访问此 Web 应用程序。

我们想要的是:

  • 即使此应用程序确实具有 Web 登录,我们域中的 500 个用户也不应从我们网络的任何地方访问该网站。
  • 我们希望消除通过 Citrix 环境访问此网站的情况(即使只有小团队的一名成员尝试访问)
  • 有一个小团队正在使用这个 Web 应用程序,并且可以通过 URL 访问这个 Web 应用程序。我们应该只让这几个用户可以访问这个网站。(这应该发生,而无需更改应用程序(代码或其他内容)——即使我们想这样做,我们也做不到,因为它不是我们开发的)

我们的想象:

  • 我们可以在服务器端定义一些东西,它应该只接受来自特定 IP 地址/ IP 范围的请求。

或者

  • 我们可以定义一个域用户列表,如果他们请求此网站,则应该允许。但前提是他们有一个内部 IP 地址/范围,即 XYZ。

问题是:

  • 我们怎样才能做到这一点?
  • 这是我们应该在 Windows Server 防火墙中做的事情吗?如果是,您会建议什么?
  • IIS 选项下是否有一些我们可以设置的设置?
  • GPO 上有什么东西吗?

先感谢您。

相关内容