Назад |
Перейти на главную страницу
Как изолировать доступ к внутреннему веб-серверу IIS в сети?
Один из наших отделов работает с внутренним веб-приложением.
Краткий обзор фактического состояния веб-приложения:
- Веб-приложение было разработано сторонней компанией
- Веб-приложение работает на виртуальной машине в нашей среде.
- Веб-приложение устанавливается с Windows Server 2016 и включает роль IIS.
- URL-адрес веб-приложения доступен по локальной сети от каждого пользователя домена (около 500 пользователей)
Наш запрос:
Это приложение имеет для нас большое значение с точки зрения безопасности. Вот почему мы хотели бы активировать все возможные настройки безопасности для доступа к этому веб-приложению только разрешенным пользователям.
Что мы хотим:
- Даже у этого приложения есть веб-вход, этот веб-сайт не должен быть доступен для 500 пользователей в нашем домене из любой точки нашей сети.
- Мы хотели бы исключить доступ к этому веб-сайту через нашу среду Citrix (даже если это пытается сделать один член небольшой команды)
- Есть небольшая команда, которая работает с этим веб-приложением и имеет доступ к этому веб-приложению по URL-адресу. Мы должны сделать этот веб-сайт доступным только для этих нескольких пользователей. (это должно произойти, без изменения приложения (кода или чего-то еще) - даже если бы мы этого хотели, мы не могли, потому что оно не нами разработано)
Что мы себе представляем:
- То, что мы можем определить на стороне сервера, что он должен принимать запросы только с определенного IP-адреса / диапазона IP-адресов.
или
- Что-то, где мы можем определить список пользователей домена, если они запрашивают этот веб-сайт, это должно быть разрешено. Но только если у них есть внутренний IP-адрес / диапазон XYZ.
Вопрос в том:
- Как мы могли это сделать?
- Должны ли мы это делать в брандмауэре Windows Server, если да, что бы вы предложили?
- Есть ли какие-то настройки в параметрах IIS, которые мы можем установить?
- Что-то по поводу GPO?
Заранее спасибо.