公司網(wǎng)站的最近一直遇到同行的惡意刷下載導致流量暴漲，嚴重影響正常用戶的訪問，因此不得不將這些ip地址拉黑了。網(wǎng)站環(huán)境是IIS，本文就針對該問題來講講IIS服務器禁止某個IP或IP地址范圍訪問網(wǎng)站的方法。

通過查看訪問日志，發(fā)現(xiàn)這些ip前兩個字段是相同的，只是后面兩個字段不同，因此可以設置IP地址范圍來限制訪問。具體操作如下：

一、通過iis自帶的功能實現(xiàn)

打開IIS，選中需要禁止IP的站點，找到“ip地址和域限制”這個功能。（注：如果沒有安裝，需要在服務器管理器→添加角色服務→勾選并安裝“IP和域限制”）

圖1

打開ip地址和域限制后，點擊右邊“添加拒絕條目”，彈出設置窗口，這里規(guī)則可以設置單個IP的拒絕，也可以設置禁止IP段的訪問。

圖2

最后IP段的填寫要注意下，以下舉例說明：

如上圖所示，IP地址范圍：115.239.212.0，掩碼或前綴：255.255.255.0，故拒絕IP段范圍是：115.239.212.*

如果要拒絕的IP段是：115.239.*.*，則要這樣填寫：

IP地址范圍：115.239.0.0

掩碼或前綴：255.255.0.0

如果要拒絕的IP段是：115.239.16.1 – 115.239.16.127，則要這樣填寫：

IP地址范圍：115.239.16.0

掩碼或前綴：255.255.255.128

如果要拒絕的IP段是：115.239.16.128 – 115.239.16.254，則要這樣填寫：

IP地址范圍：115.239.16.128

掩碼或前綴：255.255.255.128

通過ip安全策略

可以參考下面的文章 

Windows下通過ip安全策略設置只允許固定IP遠程訪問

win2003 ip安全策略 限制某個IP或IP段訪問服務器指定端口圖文說明

IIS上限制IP地址訪問網(wǎng)站的設置方法

對于一些重要的服務器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網(wǎng)站的用戶屏蔽掉。這就需要添加限制訪問網(wǎng)站的IP地址了。

IIS是一款功能強大的Web服務器。IIS提供了內(nèi)置的IP地址黑白名單功能，也可以根據(jù)域名來限制訪問。除了禁止某個IP地址段之外，在大量并發(fā)請求下IIS還支持對動態(tài)IP地址做限制。我們可以利用IIS的這個功能來增強網(wǎng)站的安全性。

編輯功能設置

每個站點都可以有自己的功能設置。打開IIS管理器，找到具體站點，點擊“IP地址和域限制”，然后點擊右側(cè)的“編輯功能設置”。“未指定的客戶端的訪問權(quán)”這里，如果設置為“允許”，所有用戶都可以訪問，除了在拒絕條目中的訪客。如果設置為“拒絕”，所有用戶都無法訪問，除了在允許條目中的訪客。利用這個功能，可以搭建一個簡單的局域網(wǎng)訪問架構(gòu)。至于“拒絕操作類型”，可以選擇“未經(jīng)授權(quán)、已禁止、未找到、中止”四種之一。設置完畢后，點擊“確定”保存。

編輯動態(tài)限制設置

為了提高網(wǎng)站的安全性，IIS支持對動態(tài)IP地址做限制。點擊“IP地址和域限制”，然后點擊右側(cè)的“編輯動態(tài)限制設置”?？梢曰谀硞€IP地址的并發(fā)請求數(shù)量來拒絕，也可以基于一段時間內(nèi)的最大請求數(shù)量來拒絕，我們還可以只啟用日志記錄，實際不進行限制。如果訪問者超出了允許的最大請求數(shù)量，則會在一段時間內(nèi)禁止訪問網(wǎng)站。設置完畢后，點擊“確定”保存。

添加允許拒絕條目

我們可以同時添加允許和拒絕兩種限制規(guī)則。打開IIS管理器，找到具體站點，點擊“IP地址和域限制”，然后點擊右側(cè)的“添加允許條目”和“添加拒絕條目”?？梢蕴砑犹囟↖P地址，也可以添加IP地址范圍。設置完畢后，點擊“確定”保存。

以上就是在IIS上限制IP地址訪問網(wǎng)站的操作方法。通過靜態(tài)和動態(tài)兩種IP地址限制方式，增強了IIS上部署網(wǎng)站的安全性。

最新評論