はじめに

Apex Central の初期設定では、すべてのコンピュータが Web 管理コンソールのサイトにアクセスすることが可能です。

セキュリティ強化を目的として Internet Information Services (IIS) マネージャで IIS の設定を変更することで、サーバーのログまたはWebサイトのアクティビティに基づいて任意のIPアドレスからのアクセスを許可/拒否する手順をご案内いたします。

事前準備

サーバ側で「役割と機能の追加」よりサーバの役割として、 [IP およびドメインの制限] を追加します。

例:
Windows Server 2019 では、
[スタート] > [サーバー マネージャー] にて [管理] > [役割と機能の追加] から [Web サーバー (IIS)] > [Web サーバー] > [セキュリティ] > [IP およびドメインの制限] を選択し、ウィンドウの指示に従いインストールすることで追加が可能です。

 

操作手順

1. Apex Central サーバーがインストールされたマシンにて Internet Information Services (IIS) マネージャを起動します。
2. [<サーバ名>] > [サイト] > [Default Web Site]  > [WebApp] を選択します。
3. IISの「IP アドレスとおよびドメインの制限」をダブルクリックします。
   
4. すべてのアクセスを拒否するために、「機能の設定の編集」を選択して、特定できないクライアントのアクセスを「拒否」に設定します。
5. 右上にある「許可エントリ」の追加をクリックします。
6. 許可をしたいIPアドレスとIPアドレスの範囲を追加します。
   

   IPアドレス登録の際には以下の点にご注意ください。

   • 1. 許可をする端末のIPv4とIPv6の両方のIPアドレスを追加する必要がございます。
     許可すべきIPv6 が分からない場合には、次の「許可すべきIPアドレスの確認方法」のセクションを参照してください。
   • 2. 下記の端末を最低限許可する必要がございます。
     　- システム管理者の端末
     　- Apex Centralで管理/連携する全製品
      
   • 3. Apex Central内の通信を保証するためにローカルホストのIPを許可します。一般的に、以下がデフォルトのローカルIPアドレスです。
     　- IPv4　127.0.0.1
     　- IPv6　::1
      
   • 4. 必要なIPアドレスを追加した後にログアウトした場合で、その後ログインが正常に行われないときには、ブラウザのキャッシュを削除してください。
      
   • 5. 「ドメイン名の制限の有効化」の設定は、DNS 逆引き参照が必要になることから、サーバーパフォーマンスに重大な影響があるため推奨されていません。
7. 正しく入力された場合、入力したIPが下記のように表示されます。
   

許可すべきIPアドレスの確認方法

ここでは、IISログを用いて実際にブロックされたIPアドレスを確認することで、許可すべきIPアドレスを確認する手順を記載します。

1. 「操作手順４」で設定した制限の設定において、「拒否アクションの種類」が「許可されていません」になっていることを確認します。
   
2. 　[<サーバ名>] > [サイト] > [Default Web Site] の「ログ記録」を選択して、IIS ログの出力先を確認します。
3. 実際に管理コンソールへのアクセスを行った後、IIS ログを開き「403」エラーが表示されているログを確認します。確認したIPアドレスを確認した上で、許可すべきIPアドレスとして登録をおこなってください。