Правило входящей перезаписи URL может отклонить запрос на основе заголовка запроса. Например, если ваш пользовательский заголовок запроса - AuthHeader. Затем вам нужно только добавить шаблон условия для {HTTP_AuthHeader}.
Пример правила запрета будет выглядеть следующим образом.
<rule name="deny rule" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTP_AuthHeader}" pattern="jokies" />
</conditions>
<action type="AbortRequest" />
</rule>
Как видите, IIS возвращает 504, когда заголовок запроса AuthHeader = jokies. 
IIS возвращает 200, если AuthHeader не соответствует шуткам
Конечно, Вы можете разработать и внедрить свой собственный httpmodule для настройки фильтра заголовка запроса.