限制对在IIS7 / ASP.NET上运行的特定URL的访问

Question

我正在IIS7 Web场上部署公共ASP.NET网站。

该应用程序在3个Web服务器上运行，位于防火墙后面。

我们希望在网站上创建一个只有内部用户才能访问的页面。 它主要用于诊断，触发缓存到期等。

/admin/somepage.aspx

控制对此页面的访问权限的最佳方法是什么？ 我们要：

1. 阻止所有外部（公共）用户访问该URL。
2. 允许特定内部用户访问该页面，仅允许来自某些IP或网络。

这种访问控制是否应该在（a）网络级别，（b）应用程序级别等完成？

Answer 1

我发现最好的解决方案是在我们的F5负载平衡器上放置一个irule。

我们创建了一个规则，负载均衡器会删除特定目录的所有外部请求。 在内部，我们仍然可以通过直接连接到服务器场中的服务器来访问页面。

Answer 2

以下是如何为特定用户和仅限特定用户保护特定页面

<configuration>
    <location path="admin/somepage.aspx">
        <system.web>
            <authorization>
                <allow users="User1,User2" />
                <deny users="*" />
            </authorization>
        </system.web>
    </location>
</configuration>

要设置允许的IP，您需要通过IPv4 Address and Domain Restriction在IIS中配置网站，其中添加通配符Deny Entry并指定Allow Entries 。

您也可以通过编程方式设置所有这些。

Answer 3

一个简单的实现是将IIS中该文件的文件安全性设置为仅集成Windows身份验证。

然后在该文件的代码后面，检查用户的ID ..如果他们经过身份验证，他们将拥有一个ID，并让他们访问该页面。

if(!HttpContext.Current.User.Identity.IsAuthenticated)
{
   //Direct user to other page or  display message.
}

当用户转到该页面时，它会询问他们的网络登录