Особенности процесса разработки

Функция фильтрации IIS

IIS позволяет устанавливать правила фильтрации, запрещающие доступ к сайту с определенных IP-адресов или доменов DNS. Выше шла речь о том, что фильтрация Windows 2000 недостаточно эффективна для использования в интернете. Для этого идеально подходит фильтрация IIS, например, домены и ограничения IP-адресов могут использоваться для запрета доступа к сайту конкурентов вашей организации. Фильтры работают посредством создания общего правила, отказывающего в доступе (или предоставляющего доступ) для доменного имени, определенных сетевых IP-адресов или диапазона IP-адресов с последующим указанием исключений для игнорирования общих фильтров.

Управление этой функцией осуществляется через MMC Internet Services Manager (Диспетчер служб интернета). Фильтр можно применить ко всем сайтам на сервере либо по отдельности к каждому.

ПРОБЛЕМА

Фильтрация широко используется для обеспечения информационной безопасности. Она применяется в Windows 2000, в сетевых экранах, на веб-серверах, в других продуктах. Вы уже использовали эту возможность ранее. Отключая протокол NetBIOS при укреплении сервера (см. "Подготовка и укрепление веб-сервера" ), вы выполняли фильтрацию пакетов по этому протоколу. В этом случае вы не создавали собственное правило, так как фирма Microsoft предоставила соответствующую опцию.

Не принято использовать метод номеров протоколов фильтрации TCP/IP для отдельного протокола. Тем не менее, он пригодится при создании собственных приложений на сервере Windows 2000 или веб-сайте IIS, использующем специальные протоколы и номера портов. В этих случаях можно блокировать все протоколы, кроме протокола, используемого определенным приложением.

Ниже приведена процедура настройки фильтрации IIS.

1. Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета), выбрав команду Start\Administrative Tools (Пуск\Администрирование). Отобразится консоль Internet Information Services, показанная ниже.
   

   
   увеличить изображение
   
2. Щелкните правой кнопкой мыши на имени сервера, если требуется настроить свойства глобально для всех веб-сайтов, или на отдельном веб-сайте под именем сервера. В появившемся меню выберите команду Properties (Свойства).
   • При установке глобальных свойств для всех веб-сайтов отобразится окно Server Properties (Свойства сервера), показанное на рисунке. Убедитесь, что отмечена опция WWW Service (Служба WWW) в диалоговом окне Master Properties (Главные свойства), после чего нажмите на кнопку Edit (Изменить) для перехода в окно Properties.
     

     
     
   • Если рассматривается каждый сайт по отдельности, то при выборе команды Properties перейдите в следующее окно, содержащее вкладки со свойствами сайта. Откройте вкладку Directory Security (Безопасность директории).
     

     
     
3. В области IP Address And Domain Name Restrictions (Ограничения IP-адресов и имен доменов) вкладки Directory Security нажмите на кнопку Edit (Изменить), чтобы открыть следующее диалоговое окно.
   

   
   

Диалоговое окно IP Address and Domain Name Restrictions используется для создания правил доступа. Начните с выбора опции Granted Access (Доступ разрешен) или Denied Access (Доступ запрещен) для установки правил своей политики. Выбор зависит от того, какая цель стоит перед вами. Если требуется открыть полный доступ к сайту, но заблокировать доступ через небольшое число доменов или адресов, выберите опцию Granted Access (Доступ разрешен), а затем создайте список запрещенных сайтов. Если требуется полностью закрыть доступ, но предоставить доступ столь же малой группе, как в предыдущем случае, выберите опцию Denied Access (Доступ запрещен) и создайте небольшой список сайтов, доступ которым разрешен.

Ниже приведена процедура создания правила, блокирующего отдельные IP-адреса или имена доменов.

1. Выберите опцию Granted Access (Доступ разрешен), чтобы создать основу для правила.
2. Определите исключения из правила (т.е. адреса, доступ с которых необходимо блокировать), нажав на кнопку Add (Добавить) для открытия окна Deny Access On (Запретить доступ с), в котором создается перечень адресов или доменов (если таковые есть).
   

   
   
3. В диалоговом окне Deny Access On (Запретить доступ с) выполните одно из действий.
   • Запретите доступ с одного компьютера локальной подсети или определенного домена, для чего выберите опцию Single computer (Один компьютер) и введите его IP-адрес в поле IP Address и имя домена, если компьютер находится не в вашей локальной подсети. Для указания домена нажмите на кнопку DNS Lookup (Поиск по DNS).
   • Запретите доступ группе компьютеров в той же подсети, для чего выберите опцию Group of computers (Группа компьютеров) и введите идентификатор сети и маску подсети в поля ввода данных в нижней части диалогового окна. Идентификатором является первый IP-адрес в диапазоне блокируемых адресов. Маска подсети обозначает размер диапазона. Это значение варьируется для каждой организации и зависит от типа используемых адресов (Class A, Class B или Class C). Например, если организация использует адреса типа Class C, а нужно заблокировать все адреса с начала вашего диапазона до адреса 128, значением маски подсети будет 255.255.255.128, так как в адресах типа Class C первые три поля обозначают номер сети, а последнее число – номер узла.

     Совет. Осуществите поиск в интернете по строке "TCP/IP Addressing", чтобы получить дополнительную информацию о типах адресов и масках подсети. Хорошим источником информации является сайт http://www.techtutorials.com/tutorials/tcpguide.shtml.

   • Запретите доступ к домену интернета, для чего выберите опцию Domain Name (Доменное имя) и введите имя домена в поле внизу диалогового окна.

Повторите процесс добавления для любых других адресов, групп адресов или доменов, фильтрация которых необходима. После создания правил отказа в доступе они отобразятся в списке исключений окна IP Address and Domain Name Restriction (Ограничения на доступ с IP-адресов и доменов).

Совет. Появится сообщение с предупреждением о снижении производительности работы, если указана блокировка для отдельных компьютеров в определенных доменах, так как в этом случае серверу придется выполнять обратный поиск по DNS. Иными словами, сервер будет сопоставлять адрес каждого посетителя с масками подсети доменов в DNS при каждом посещении сайта новым пользователем. Подумайте о том, разумно ли применять фильтрацию при блокировке доступа большого числа компьютеров.

Важно. Фильтрация по IP-адресам работает эффективно только в случае, если системы используют фиксированный IP-адрес. В интранет-подсети, использующей протокол динамической конфигурации узла (DHCP), многие адреса систем не являются постоянными, поэтому фильтрация по адресу проблематична и бесполезна, но в интернете, тем не менее, будет работать фильтрация имен доменов.