应用错误收集

我有一个网站，我正在尝试配置某些目录的安全性。我在IIS授权规则下添加了适当的拒绝和允许规则。

如果用户尝试访问该文件夹而未在URL中指定文件名，则IIS会启动并正确应用规则。例如，https://example.org/siteadmin/groupeditor将正确地导致应用IIS授权规则。
如果用户尝试访问* .jpg或* .htm等静态文件，IIS也会正确应用授权规则。 https://example.org/siteadmin/groupeditor/mypicture.gif或https://example.org/siteadmin/groupeditor/test.htm将导致应用IIS授权规则。
如果用户知道CFM页面名称，他们可以访问该页面。 https://example.org/siteadmin/groupeditor/mypage.cfm将呈现

我有页面＆＃34;守卫＆＃34;使用application.cfc中的逻辑来检查用户是否处于适当的角色。但是，这种配置无法正常工作，这让我感到困惑。我唯一可以猜到的是，不知何故，ColdFusion的ISAPI过滤器在IIS之前可以访问请求。它是否正确？有什么方法可以解决这个问题吗？