IIS 8.0 동적 IP 주소 제한

  • 아티클

작성자 : Robert McMurray

호환성

버전 참고
IIS 8.0 IIS 8.0에 대한 동적 IP 주소 제한 기본 제공.
IIS 7.5 동적 IP 주소 제한은 IIS 7.5용 대역 외 모듈로 사용할 수 있었습니다.
IIS 7.0 동적 IP 주소 제한은 IIS 7.0용 대역 외 모듈로 사용할 수 있었습니다.

문제

IIS 7 및 이전 버전에는 관리자가 개별 IP 주소 또는 IP 주소 범위에 대한 액세스를 허용하거나 거부할 수 있는 기본 제공 기능이 있었습니다. IP 주소가 차단되면 해당 IP 주소의 모든 HTTP 클라이언트는 서버에서 HTTP 오류 "403.6 사용할 수 없음" 회신을 받게 됩니다. 이 기능을 사용하면 관리자가 서버의 로그 또는 웹 사이트 활동에 표시되는 활동에 따라 서버에 대한 액세스를 사용자 지정할 수 있습니다. 그러나 수동 프로세스입니다. Microsoft의 LogParser 유틸리티와 같은 도구를 사용하여 IIS 로그 파일을 검사하여 악의적인 사용자를 검색하도록 기능을 스크립팅할 수 있지만 여전히 수동 개입이 필요합니다.

솔루션

IIS 8.0에서 Microsoft는 다음과 같은 몇 가지 새로운 기능을 포함하도록 기본 제공 기능을 확장했습니다.

  • 동적 IP 주소 필터링 - 관리자가 지정된 요청 수를 초과하는 IP 주소에 대한 액세스를 차단하도록 서버를 구성할 수 있습니다.
  • 이제 IP 주소 필터링 기능을 사용하면 IIS가 IP 주소를 차단할 때 관리자가 동작을 지정할 수 있으므로 클라이언트에 HTTP 403.6 응답을 반환하는 대신 서버에서 악의적인 클라이언트의 요청을 중단할 수 있습니다.
  • 이제 IP 필터링은 IIS에서 볼 수 있는 클라이언트 IP뿐만 아니라 x-forwarded-for HTTP 헤더에서 수신된 값에 의해 IP 주소를 차단할 수 있는 프록시 모드를 제공합니다.

단계별 지침

필수 조건:

  • IIS 8.0이 설치된 Windows Server 2012 컴퓨터.

    참고

    IP 및 도메인 제한 기능은 IIS의 일부로 설치해야 합니다.

    I P 및 도메인 제한에 대해 선택한 확인란을 보여 주는 스크린샷

알려진 버그에 대한 해결 방법:

현재 이 기능에 대한 알려진 버그가 없습니다.

HTTP 요청에 따라 액세스를 거부하도록 IIS 구성

지정된 시간 간격 내에 HTTP 클라이언트가 서버에 액세스하는 횟수 또는 HTTP 클라이언트의 동시 연결 수에 따라 웹 사이트에 대한 액세스를 거부하도록 IIS 8.0을 구성할 수 있습니다.

수신하는 HTTP 요청 수에 따라 액세스를 거부하도록 IIS를 구성하려면 다음 단계를 사용합니다.

  1. Windows Server 2012 컴퓨터에서 관리자 권한으로 로그인합니다.
  2. IIS(인터넷 정보 서비스) 관리자를 엽니다.
  3. 연결 창에서 서버 이름, 웹 사이트 또는 폴더 경로를 강조 표시한 다음 기능 목록에서 IP 주소 및 도메인 제한을 두 번 클릭합니다.
    기본 웹 사이트 홈 창이 열려 있고 IP 주소 및 도메인 제한이 선택된 I S 관리자를 보여 주는 스크린샷
  4. 작업 창에서 동적 제한 설정 편집을 클릭합니다.
    IP 주소 및 도메인 제한 창이 열려 있는 것을 보여 주는 스크린샷 동적 제한 설정 편집이 작업 창에 강조 표시되어 있습니다.
  5. 동적 IP 제한 설정 대화 상자가 나타나면 HTTP 클라이언트가 너무 많은 동시 연결을 설정하지 못하도록 하려는 경우 동시 요청 수에 따라 IP 주소 거부를 검사. 또한 HTTP 클라이언트가 특정 기간 내에 너무 많은 연결을 설정하지 못하도록 하려는 경우 일정 기간 동안의 요청 수에 따라 IP 주소 거부 상자를 검사.
    동적 IP 제한 설정 대화 상자를 보여 주는 스크린샷. 처음 두 항목은 확인란을 선택했습니다.
  6. 확인을 클릭합니다.

IP 주소를 거부할 때 IIS에 대한 동작 구성

IIS 7 및 이전 버전에서 IIS는 클라이언트 IP 주소가 차단되었을 때 서버에서 HTTP 오류 "403.6 사용할 수 없음" 회신을 반환합니다. IIS 8.0에서 관리자는 여러 가지 추가 방법으로 IP 주소에 대한 액세스를 거부하도록 서버를 구성할 수 있습니다.

IP 주소를 거부할 때 IIS에서 사용할 동작을 구성하려면 다음 단계를 사용합니다.

  1. Windows Server 2012 컴퓨터에서 관리자 권한으로 로그인합니다.

  2. IIS(인터넷 정보 서비스) 관리자를 엽니다.

  3. 연결 창에서 서버 이름, 웹 사이트 또는 폴더 경로를 강조 표시한 다음 기능 목록에서 IP 주소 및 도메인 제한을 두 번 클릭합니다.
    I S 관리자를 보여 주는 스크린샷 IP 주소 및 도메인 제한이 기본 웹 사이트 홈 창에서 선택됩니다.

  4. 작업 창에서 기능 설정 편집을 클릭합니다.
    작업 창에 기능 설정 편집이 강조 표시된 IP 주소 및 도메인 제한 창을 보여 주는 스크린샷

  5. IP 및 도메인 제한 설정 편집 대화 상자가 나타나면 거부 작업 유형 드롭다운 메뉴를 클릭하고 IIS에서 다음 값에서 사용하는 동작을 선택합니다.

    • 권한 없음: IIS는 HTTP 401 응답을 반환합니다.

    • 사용할 수 없음: IIS는 HTTP 403 응답을 반환합니다.

    • 찾을 수 없음: IIS는 HTTP 404 응답을 반환합니다.

    • 중단: IIS는 HTTP 연결을 종료합니다.

      IP 및 도메인 제한 설정 편집 대화 상자를 보여 주는 스크린샷 거부 작업 유형 목록에서 사용할 수 없음을 선택합니다.

  6. 확인을 클릭합니다.

프록시 모드에 대한 IIS 구성

IP 필터링의 과제 중 하나는 많은 클라이언트가 하나 이상의 방화벽, 부하 분산 또는 프록시 서버를 통해 IIS에 액세스한다는 것입니다. 따라서 IP 주소는 항상 IIS 서버에 가장 가까운 요청 경로의 서버로 나타날 수 있습니다. IIS 8.0에서 관리자는 차단할 요청을 결정하기 위해 클라이언트 IP 주소 외에도 x-forwarded-for HTTP 헤더를 검사하도록 서버를 구성할 수 있습니다. 이 동작을 "프록시 모드"라고 합니다.

프록시 모드에 대해 IIS를 구성하려면 다음 단계를 사용합니다.

  1. Windows Server 2012 컴퓨터에서 관리자 권한으로 로그인합니다.
  2. IIS(인터넷 정보 서비스) 관리자를 엽니다.
  3. 연결 창에서 서버 이름, 웹 사이트 또는 폴더 경로를 강조 표시한 다음 기능 목록에서 IP 주소 및 도메인 제한을 두 번 클릭합니다.
    IP 주소 및 도메인 제한이 선택된 기본 웹 사이트 홈 창을 보여 주는 스크린샷.
  4. 작업 창에서 기능 설정 편집을 클릭합니다.
    작업 창에 기능 설정 편집이 강조 표시된 I S 관리자를 보여 주는 스크린샷
  5. IP 및 도메인 제한 설정 편집 대화 상자가 나타나면 상자를 프록시 모드 사용으로 검사.
    편집 및 도메인 제한 설정 대화 상자를 보여 주는 스크린샷 프록시 모드 사용이 확인란에서 선택되어 있습니다.
  6. 확인을 클릭합니다.

요약

이 가이드에서는 클라이언트 IP 주소의 요청 수에 따라 서버에 대한 액세스를 동적으로 거부하도록 IIS를 구성하고 잠재적으로 악의적인 사용자에 대한 액세스를 거부할 때 IIS가 사용할 동작을 구성하는 방법을 살펴보았습니다.