次の方法で共有

IP セキュリティの追加 <add>

  • [アーティクル]

概要

<ipSecurity> コレクションの <add> 要素は、一意の IP セキュリティ制限を定義します。 各制限は、IP バージョン 4 のアドレス、IP バージョン 4 のアドレスの範囲、または DNS ドメイン名に基づいて行うことができます。

互換性

バージョン メモ
IIS 10.0 <add> 要素は IIS 10.0 では変更されませんでした。
IIS 8.5 <add> 要素は IIS 8.5 では変更されませんでした。
IIS 8.0 <add> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <add> 要素は IIS 7.5 では変更されませんでした。
IIS 7.0 <ipSecurity> コレクションの <add> 要素は IIS 7.0 で導入されました。
IIS 6.0 <ipSecurity> コレクションは、IIS 6.0 IPSecurity メタベース プロパティを置き換えます。

段取り

IIS の既定のインストールには、IP セキュリティの役割サービスまたは Windows 機能は含まれません。 IIS で IP セキュリティを使用するには、次の手順を使用して役割サービスまたは Windows 機能をインストールする必要があります。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。
  2. [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。
  3. [役割と機能の追加] ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] を選択します。
  4. [サーバーの役割] ページで [Web サーバー (IIS)] を展開し、[Web サーバー][セキュリティ] の順に展開し、[IP およびドメインの制限] を選択します。 次へ をクリックします。
    Windows Server 2012 で選択されている I P とドメインの制限を示すスクリーンショット。 .
  5. [機能の選択] ページで、[次へ] をクリックします。
  6. [インストール オプションの確認] ページで、[インストール] をクリックします。
  7. [結果] ページで、 [閉じる]をクリックします。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。
  2. [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
  3. [インターネット インフォメーション サービス]を展開し、[World Wide Web サービス] を展開し、[セキュリティ] を展開して、[IP セキュリティ] を選択します。
    Windows 8 で [I P Security] が選択されていることを示すスクリーンショット。
  4. OK をクリックします。
  5. 閉じるをクリックします。

Windows Server 2008 または Windows Server 2008 R2

  1. タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。

  2. [サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。

  3. [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] を選択します。

  4. 役割サービスの追加ウィザード[役割サービスの選択] ページで、[IP およびドメインの制限] を選択し、[次へ] をクリックします。

    Windows Server 2008 で選択されている I P とドメインの制限を示すスクリーンショット。

  5. [インストール オプションの確認] ページで、[インストール] をクリックします。

  6. [結果] ページで、 [閉じる]をクリックします。

Windows Vista または Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順にクリックします。

  2. [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。

  3. [インターネット インフォメーション サービス][World Wide Web サービス][セキュリティ] の順に展開します。

  4. [IP セキュリティ] を選択し、[OK] を選択します。

    Windows Vista または Windows 7 で [I P Security] が選択されていることを示すスクリーンショット。

操作方法

Web サイトのアクセスを拒否する IP 制限を追加する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開し、[サイト] を展開し、IP 制限を追加するサイト、アプリケーション、または Web サービスを選択します。

  3. [ホーム] ウィンドウで、[IP アドレスおよびドメインの制限] 機能をダブルクリックします。
    I I S マネージャーの [ホーム] ウィンドウを示すスクリーンショット。

  4. [IP アドレスおよびドメインの制限] 機能で、[拒否エントリの追加][操作] ウィンドウで選択します。
    [I P アドレス] と [ドメインの制限] ウィンドウを示すスクリーンショット。

  5. 拒否する IP アドレスを入力し、[OK] を選択します。
    [拒否制限規則の追加] ダイアログ ボックスを示すスクリーンショット。

Web サイトの IP 制限機能の設定を編集する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、サーバー名を展開し、[サイト] を展開し、IP 制限を追加するサイト、アプリケーション、または Web サービスを選択します。

  3. [ホーム] ウィンドウで、[IP アドレスおよびドメインの制限] 機能をダブルクリックします。
    インターネット インフォメーション サービス Manager の [ホーム] ウィンドウを示すスクリーンショット。

  4. [IP アドレスおよびドメインの制限] 機能で、[機能設定の編集][操作] ウィンドウで選択します。
    [I P アドレスとドメインの制限] ウィンドウを示すスクリーンショット。

  5. 指定されていないクライアントの既定のアクセス動作を選択し、ドメイン名で制限を有効にするかどうかを指定し、[プロキシ モード] を有効にするかどうかを指定して、[拒否時の動作の種類] を選択して、[OK] を選択します。
    [拒否制限規則の追加] ダイアログ ボックスを示すスクリーンショット。[拒否アクションの種類] で [禁止] が選択されています。

構成

規則は、一覧に示される順序で上から下に処理されます。 allowunlisted 属性は最後に処理されます。 インターネット プロトコル セキュリティ (IPsec) を制限するためのベスト プラクティスは、まず拒否規則のリストを作成することです。

属性

属性 説明
allowed 省略可能な Boolean 属性です。

アドレス空間へのアクセスを許可するかどうかを指定します。

既定値は false です。
domainName 省略可能な文字列属性。

制限規則を適用するドメイン名を指定します。 アスタリスク (*) をワイルドカードとして使用できます。
ipAddress 省略可能な文字列属性。

制限規則を適用する IP バージョン 4 のアドレスを指定します。
subnetMask 省略可能な文字列属性。

この制限規則の IP アドレスを評価するために使うサブネット マスクを指定します。 サブネット マスクを使って、アドレス空間内の IP アドレスの範囲を特定できます。 既定値では、評価される IP アドレスが直接一致する必要があります (実質的に、単一アドレスの範囲)。

既定値は 255.255.255.255 です。

子要素

なし。

構成サンプル

次の構成サンプルでは、既定の Web サイトに 2 つの IP 制限を追加します。最初の制限では IP アドレス 192.168.100.1 へのアクセスが拒否され、2 つ目の制限では 169.254.0.0 ネットワーク全体へのアクセスが拒否されます。

<location path="Default Web Site">
   <system.webServer>
      <security>
         <ipSecurity>
            <add ipAddress="192.168.100.1" />
            <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" />
         </ipSecurity>
      </security>
   </system.webServer>
</location>

サンプル コード

次のコード サンプルでは、既定の Web サイトに 2 つの IP 制限を追加します。最初の制限では IP アドレス 192.168.100.1 へのアクセスが拒否され、2 つ目の制限では 169.254.0.0 ネットワーク全体へのアクセスが拒否されます。

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='192.168.100.1',allowed='False']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0',allowed='False']" /commit:apphost

Note

AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site");
         ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();

         ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
         addElement["ipAddress"] = @"192.168.100.1";
         addElement["allowed"] = false;
         ipSecurityCollection.Add(addElement);

         ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
         addElement1["ipAddress"] = @"169.254.0.0";
         addElement1["subnetMask"] = @"255.255.0.0";
         addElement1["allowed"] = false;
         ipSecurityCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.webServer/security/ipSecurity", "Default Web Site")
      Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection

      Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement("ipAddress") = "192.168.100.1"
      addElement("allowed") = False
      ipSecurityCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement1("ipAddress") = "169.254.0.0"
      addElement1("subnetMask") = "255.255.0.0"
      addElement1("allowed") = False
      ipSecurityCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;

var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "192.168.100.1";
addElement.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement);

var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
addElement1.Properties.Item("allowed").Value = false;
ipSecurityCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.webServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection

Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "192.168.100.1"
addElement.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement)

Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
addElement1.Properties.Item("allowed").Value = False
ipSecurityCollection.AddElement(addElement1)

adminManager.CommitChanges()