快捷導(dǎo)航

IIS服務(wù)器禁止某個(gè)IP或IP地址范圍訪問網(wǎng)站的方法

更新時(shí)間：2024年09月30日 12:07:40 作者：陋室銘

公司網(wǎng)站的最近一直遇到同行的惡意刷下載導(dǎo)致流量暴漲,嚴(yán)重影響正常用戶的訪問,因此不得不將這些ip地址拉黑了,網(wǎng)站環(huán)境是IIS,本文就針對(duì)該問題來講講IIS服務(wù)器禁止某個(gè)IP或IP地址范圍訪問網(wǎng)站的方法

公司網(wǎng)站的最近一直遇到同行的惡意刷下載導(dǎo)致流量暴漲，嚴(yán)重影響正常用戶的訪問，因此不得不將這些ip地址拉黑了。網(wǎng)站環(huán)境是IIS，本文就針對(duì)該問題來講講IIS服務(wù)器禁止某個(gè)IP或IP地址范圍訪問網(wǎng)站的方法。

通過查看訪問日志，發(fā)現(xiàn)這些ip前兩個(gè)字段是相同的，只是后面兩個(gè)字段不同，因此可以設(shè)置IP地址范圍來限制訪問。具體操作如下：

一、通過iis自帶的功能實(shí)現(xiàn)

打開IIS，選中需要禁止IP的站點(diǎn)，找到“ip地址和域限制”這個(gè)功能。（注：如果沒有安裝，需要在服務(wù)器管理器→添加角色服務(wù)→勾選并安裝“IP和域限制”）

IIS服務(wù)器禁止某個(gè)IP或IP地址范圍訪問網(wǎng)站的方法

圖1

打開ip地址和域限制后，點(diǎn)擊右邊“添加拒絕條目”，彈出設(shè)置窗口，這里規(guī)則可以設(shè)置單個(gè)IP的拒絕，也可以設(shè)置禁止IP段的訪問。

IIS服務(wù)器禁止某個(gè)IP或IP地址范圍訪問網(wǎng)站的方法

圖2

最后IP段的填寫要注意下，以下舉例說明：

如上圖所示，IP地址范圍：115.239.212.0，掩碼或前綴：255.255.255.0，故拒絕IP段范圍是：115.239.212.*

如果要拒絕的IP段是：115.239.*.*，則要這樣填寫：

IP地址范圍：115.239.0.0

掩碼或前綴：255.255.0.0

如果要拒絕的IP段是：115.239.16.1 – 115.239.16.127，則要這樣填寫：

IP地址范圍：115.239.16.0

掩碼或前綴：255.255.255.128

如果要拒絕的IP段是：115.239.16.128 – 115.239.16.254，則要這樣填寫：

IP地址范圍：115.239.16.128

掩碼或前綴：255.255.255.128

通過ip安全策略

可以參考下面的文章

Windows下通過ip安全策略設(shè)置只允許固定IP遠(yuǎn)程訪問

win2003 ip安全策略限制某個(gè)IP或IP段訪問服務(wù)器指定端口圖文說明

IIS上限制IP地址訪問網(wǎng)站的設(shè)置方法

對(duì)于一些重要的服務(wù)器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網(wǎng)站的用戶屏蔽掉。這就需要添加限制訪問網(wǎng)站的IP地址了。

IIS是一款功能強(qiáng)大的Web服務(wù)器。IIS提供了內(nèi)置的IP地址黑白名單功能，也可以根據(jù)域名來限制訪問。除了禁止某個(gè)IP地址段之外，在大量并發(fā)請(qǐng)求下IIS還支持對(duì)動(dòng)態(tài)IP地址做限制。我們可以利用IIS的這個(gè)功能來增強(qiáng)網(wǎng)站的安全性。

編輯功能設(shè)置

每個(gè)站點(diǎn)都可以有自己的功能設(shè)置。打開IIS管理器，找到具體站點(diǎn)，點(diǎn)擊“IP地址和域限制”，然后點(diǎn)擊右側(cè)的“編輯功能設(shè)置”。“未指定的客戶端的訪問權(quán)”這里，如果設(shè)置為“允許”，所有用戶都可以訪問，除了在拒絕條目中的訪客。如果設(shè)置為“拒絕”，所有用戶都無法訪問，除了在允許條目中的訪客。利用這個(gè)功能，可以搭建一個(gè)簡(jiǎn)單的局域網(wǎng)訪問架構(gòu)。至于“拒絕操作類型”，可以選擇“未經(jīng)授權(quán)、已禁止、未找到、中止”四種之一。設(shè)置完畢后，點(diǎn)擊“確定”保存。

編輯動(dòng)態(tài)限制設(shè)置

為了提高網(wǎng)站的安全性，IIS支持對(duì)動(dòng)態(tài)IP地址做限制。點(diǎn)擊“IP地址和域限制”，然后點(diǎn)擊右側(cè)的“編輯動(dòng)態(tài)限制設(shè)置”。可以基于某個(gè)IP地址的并發(fā)請(qǐng)求數(shù)量來拒絕，也可以基于一段時(shí)間內(nèi)的最大請(qǐng)求數(shù)量來拒絕，我們還可以只啟用日志記錄，實(shí)際不進(jìn)行限制。如果訪問者超出了允許的最大請(qǐng)求數(shù)量，則會(huì)在一段時(shí)間內(nèi)禁止訪問網(wǎng)站。設(shè)置完畢后，點(diǎn)擊“確定”保存。

添加允許拒絕條目

我們可以同時(shí)添加允許和拒絕兩種限制規(guī)則。打開IIS管理器，找到具體站點(diǎn)，點(diǎn)擊“IP地址和域限制”，然后點(diǎn)擊右側(cè)的“添加允許條目”和“添加拒絕條目”?？梢蕴砑犹囟↖P地址，也可以添加IP地址范圍。設(shè)置完畢后，點(diǎn)擊“確定”保存。