Назад | Перейти на главную страницу

Windows Server 2008 R2 + IIS 7: как отклонить трафик для заданного домена / порта

У нас есть экземпляр Windows Server 2008 R2, на котором запущен IIS 7, обслуживающий несколько веб-сайтов / веб-служб в нескольких доменах (все порты 80 или 443).

У нас есть проблема безопасности с определенным поддоменом / портом, и я хотел бы настроить сервер, чтобы он вообще не отвечал на эту комбинацию поддомена / порта (т.е. даже не TCP-ответ ... SYN не должен получать соответствующие ACK, как будто сервера даже не существует).

Я не опытный сетевой администратор, тем более в Windows. Используя Microsoft Network Monitor, я вижу, что что-то берет трубку и отвечает 404:

Поле «процесс» пустое, поэтому я не знаю, что на самом деле берет трубку. Я подозреваю, что это должен быть IIS, но нет веб-сайта, настроенного для ответа на этот конкретный домен / порт. Я думал, что, возможно, «веб-сайт по умолчанию» улавливает весь ненастроенный трафик, но когда я настроил мониторинг неудачных запросов на веб-сайте по умолчанию, я не получил для этого журналов.

Я полагаю, что запись в брандмауэре может сделать эту работу, но я хотел бы знать, как все работает на самом деле, прежде чем идти по этому пути. Что отвечает на этот сетевой запрос и как мне узнать? И тогда я могу настроить этот компонент, чтобы он не отвечал на эти запросы?

ОБНОВЛЕНИЕ: за комментарий @Mass Nerder я запустил netstat -anb и я получаю следующее для порта 80 (рассматриваемого порта):

  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
 Can not obtain ownership information
  TCP    172.17.63.2:80         50.205.86.154:37961    ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.2:80         50.205.86.154:54097    ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.4:80         69.66.192.88:53898     ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.4:80         69.66.192.88:53899     ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.4:80         69.66.192.88:53900     ESTABLISHED
 Can not obtain ownership information
  TCP    [::]:80                [::]:0                 LISTENING
 Can not obtain ownership information

Я предполагаю, что сервер находится в демилитаризованной зоне или в сети напрямую, иначе вы могли бы фильтровать фактический брандмауэр. Без пункта назначения я не могу сказать, что вы пытаетесь заблокировать. Это IP: 80 трафика? Ваш запрос «даже не TCP-ответ» будет означать, что вам нужно вообще не открывать порт на этом IP-адресе, иначе IIS ответит обратно.

Если вы размещаете несколько доменов на одном и том же комбинированном IP: порту, то это не вариант.