作为一个额外的安全层,我使用IIS中的“集成Windows身份validation”来保护我们的pipe理工具。
要设置新的用户帐户,我需要“计算机pipe理” – >“本地用户和组” – >“用户”。
对我的问题:是否有可能限制一个特定的用户访问某个IP地址。 例如,我只希望我的顾问能够从我们的办公室login?
我试过select用户 – >“属性” – >“拨入” – >“分配一个静态IP地址”,但它没有工作。 我还需要改变其他的东西吗?
你可以用URL Rewriter来做到这一点,就像IIRF一样。
IIRF 提供了如何基于远程机器的IP地址阻止请求的示例 。
# Iirf.ini # # ini file for blocking by IP address # RewriteLogLevel 1 RewriteLog c:\inetpub\iirfLogs\Iirf RewriteEngine ON StatusUrl /iirfStatus IterationLimit 5 RewriteCond %{REMOTE_ADDR} ^24\.132\.226\.94$ [OR] RewriteRule ^/(.*)$ /$1 [F] 我认为你在做什么是基于IP地址,所以……相反。
# Iirf.ini # # ini file for allowing requests by IP address range # RewriteLogLevel 1 RewriteLog c:\inetpub\iirfLogs\iirf RewriteEngine ON StatusUrl /iirfStatus IterationLimit 5 # If the IP address is not in the specified range, return 404 # (NF = Not Found) RewriteCond %{REMOTE_ADDR} ^(?!24\.132\.(\d+)\.(\d+)) RewriteRule ^/.*$ - [NF] # If URL processing has gotten this far, do nothing (no rewrite), # which means, implicitly, allow the request.
如果您还想允许访问经过身份validation的用户,则必须修改该ini文件以考虑身份validationcookie等。
您可以使用Windows防火墙将networking服务器端口上的stream量限制到您当地的办公室networking。 您也可以直接在IIS中设置IP限制。 但在这两种情况下,这个限制都是给每个人的。 没有这样做,它只适用于某些用户。 可能有一个第三方工具可以完成它。 但如果有的话,我从来没有听说过。
如果您控制pipe理工具的源代码,则自己添加对此的支持应该不会太难。 login时,您可以检查客户端的IP地址。 如果它不在您的networking中,并且是受限用户之一,则可以将它们汇集到一个错误页面。
你可以尝试有多个网站,而不是一个。 “内部使用”网站对办公室具有IP限制,但允许所有用户使用。 “外部网站”只允许某个Windows组中的用户使用。 您可以通过文件系统上的NTFS权限执行此操作。
当然这意味着你需要维护两个站点的副本,但是更新之后应该很容易同步它们。