我们某部门正在使用一款内部Web应用。该应用现状概述如下：

1. 由外部公司开发；
2. 运行于我们环境中的一台VM上；
3. 部署在Windows Server 2016系统中，包含IIS角色；
4. 当前LAN内所有域用户（约500人）均可通过URL访问该应用。

需求：由于该应用具有极高安全重要性，因此希望对其网络访问进行隔离，仅允许授权人员访问。

根据你的场景，我整理了几个分层的访问隔离方案，从网络到应用层面逐步收紧权限，确保只有授权人员能访问这个高安全级别的Web应用：

1. 网络层拦截（第一道防线） #

从网络入口就限制非授权访问，是最直接有效的方式：

• Windows防火墙规则：在运行应用的Windows Server 2016 VM上，打开Windows Defender Firewall with Advanced Security，新建入站规则：
  1. 选择「端口」类型，指定IIS使用的端口（默认80/443，若自定义端口则填对应值）；
  2. 选择「允许连接」，然后在「远程IP地址」环节，仅添加授权人员的IP地址/IP段，或者对应域用户组的计算机IP范围；
  3. 命名规则并启用，这样非授权IP的请求会直接被防火墙拦截。
• 企业级防火墙/交换机配置：如果你们有统一的网络防火墙设备，优先在这个层面配置规则，把该VM的Web端口访问权限仅开放给指定的用户IP组，比单VM防火墙更易管理和维护。

2. IIS层面权限收紧（第二道防线） #

即使网络层有遗漏，通过IIS的权限控制进一步过滤：

• 调整身份验证模式：进入IIS站点的「身份验证」设置，禁用「匿名身份验证」，仅保留「Windows身份验证」，确保只有域用户能发起合法的访问请求。
• 修改站点文件系统权限：右键站点对应的物理目录，打开「安全」选项卡，移除原来的Domain Users组，只添加授权的特定域用户/用户组，并分配必要的权限（比如读取、执行）。
• URL授权精细化控制：启用IIS的「URL Authorization」模块，针对站点内的敏感路径（比如管理后台），设置仅允许特定管理员组访问，实现更细粒度的权限管控。

3. 额外安全增强（可选） #

如果需要更高的安全等级，可以叠加以下措施：

• 启用双重身份验证（MFA）：结合你们域环境的MFA解决方案，要求授权用户访问应用时完成二次验证（比如短信、令牌），即使账号泄露也能阻止非授权访问。
• 启用访问日志审计：在IIS中开启详细的访问日志记录，定期导出日志排查异常访问尝试，及时调整权限规则。

内容的提问来源于stack exchange，提问作者Baku Bakar