Один из наших отделов работает с внутренним веб-приложением.
Краткий обзор текущего состояния веб-приложения:
- Веб-приложение было разработано сторонней компанией
- Веб-приложение работает на виртуальной машине в нашей среде.
- Веб-приложение установлено вместе с Windows Server 2016 и включает роль IIS.
- URL-адрес веб-приложения доступен по локальной сети каждому пользователю домена (около 500 пользователей).
Наша просьба:
Это приложение имеет для нас высокую степень безопасности. Вот почему мы хотели бы активировать все возможные настройки безопасности для доступа к этому веб-приложению только разрешенных пользователей.
Что мы хотим:
- Даже если в этом приложении есть веб-вход, этот веб-сайт не должен быть доступен для 500 пользователей в нашем домене из любой точки нашей сети.
- Мы хотели бы исключить доступ к этому веб-сайту через нашу среду Citrix (даже если это пытается сделать один из членов небольшой команды)
- Есть небольшая команда, которая работает с этим веб-приложением и имеет доступ к этому веб-приложению через URL. Мы должны сделать этот веб-сайт доступным только для этих нескольких пользователей. (это должно произойти, без изменения приложения (кода или чего-либо еще) – даже если бы мы этого хотели, мы не могли бы, потому что это не разработано нами)
Что мы представляем:
- Что-то, где мы можем определить на стороне сервера, что он должен принимать запросы только с определенного IP-адреса/диапазона IP-адресов.
или
- Что-то, где мы можем определить список пользователей домена, если они запрашивают этот веб-сайт, он должен быть разрешен. Но только если у них есть внутренний IP-адрес / диапазон, который является XYZ.
Вопрос в том:
- Как мы могли это сделать?
- Следует ли нам сделать это в брандмауэре Windows Server? Если да, что бы вы предложили?
- Есть ли какие-то настройки в параметрах IIS, которые мы можем установить?
- Что-то с GPO?
Заранее спасибо.