我們的一個部門正在使用內部 Web 應用程式。
關於 Web 應用程式實際狀態的簡短概述:
- 這個網頁應用程式是由外部公司開發的
- Web 應用程式在我們環境中的虛擬機器上執行
- Web 應用程式隨 Windows Server 2016 一起安裝,並包含 IIS 角色
- 每個網域使用者(大約 500 個使用者)都可以透過 LAN 存取 Web 應用程式 URL
我們的要求:
該應用程式對我們來說具有很高的安全相關性。這就是為什麼我們希望啟動所有可能的安全性設置,以便僅允許允許的使用者存取此 Web 應用程式。
我們想要什麼:
- 即使此應用程式確實有 Web 登錄,我們網域中的 500 個使用者也不應該從網路中的任何位置存取此網站。
- 我們希望消除透過 Citrix 環境存取此網站的情況(即使是由小團隊的成員嘗試)
- 有一個小團隊正在使用此 Web 應用程序,並且可以透過 URL 存取此 Web 應用程式。我們應該只為這少數用戶提供訪問此網站的權限。 (這應該發生,而無需更改應用程式(程式碼或其他) - 即使我們希望如此,我們也不能這樣做,因為它不是由我們開發的)
我們的想像:
- 我們可以在伺服器端定義一些東西,它應該只接受來自特定 IP 位址/IP 範圍的請求。
或者
- 我們可以定義網域使用者列表,如果他們請求該網站,則應該允許。但前提是它們有一個內部 IP 位址/範圍(XYZ)。
問題是:
- 我們怎麼能那樣做呢?
- 這是我們應該在 Windows Server 防火牆中執行的操作嗎?
- IIS選項下有什麼設定可以設定嗎?
- GPO 之上的東西?
先感謝您。