IIS服务器禁止某个IP或IP地址范围访问网站的方法
作者:陋室铭
公司网站的最近一直遇到同行的恶意刷下载导致流量暴涨,严重影响正常用户的访问,因此不得不将这些ip地址拉黑了。网站环境是IIS,本文就针对该问题来讲讲IIS服务器禁止某个IP或IP地址范围访问网站的方法。
通过查看访问日志,发现这些ip前两个字段是相同的,只是后面两个字段不同,因此可以设置IP地址范围来限制访问。具体操作如下:
一、通过iis自带的功能实现
打开IIS,选中需要禁止IP的站点,找到“ip地址和域限制”这个功能。(注:如果没有安装,需要在服务器管理器→添加角色服务→勾选并安装“IP和域限制”)
图1
打开ip地址和域限制后,点击右边“添加拒绝条目”,弹出设置窗口,这里规则可以设置单个IP的拒绝,也可以设置禁止IP段的访问。
图2
最后IP段的填写要注意下,以下举例说明:
如上图所示,IP地址范围:115.239.212.0,掩码或前缀:255.255.255.0,故拒绝IP段范围是:115.239.212.*
如果要拒绝的IP段是:115.239.*.*,则要这样填写:
IP地址范围:115.239.0.0
掩码或前缀:255.255.0.0
如果要拒绝的IP段是:115.239.16.1 – 115.239.16.127,则要这样填写:
IP地址范围:115.239.16.0
掩码或前缀:255.255.255.128
如果要拒绝的IP段是:115.239.16.128 – 115.239.16.254,则要这样填写:
IP地址范围:115.239.16.128
掩码或前缀:255.255.255.128
通过ip安全策略
可以参考下面的文章
win2003 ip安全策略 限制某个IP或IP段访问服务器指定端口图文说明
IIS上限制IP地址访问网站的设置方法
对于一些重要的服务器,我们并不想让所有人都能访问,或者将一些总是攻击网站的用户屏蔽掉。这就需要添加限制访问网站的IP地址了。
IIS是一款功能强大的Web服务器。IIS提供了内置的IP地址黑白名单功能,也可以根据域名来限制访问。除了禁止某个IP地址段之外,在大量并发请求下IIS还支持对动态IP地址做限制。我们可以利用IIS的这个功能来增强网站的安全性。
编辑功能设置
每个站点都可以有自己的功能设置。打开IIS管理器,找到具体站点,点击“IP地址和域限制”,然后点击右侧的“编辑功能设置”。“未指定的客户端的访问权”这里,如果设置为“允许”,所有用户都可以访问,除了在拒绝条目中的访客。如果设置为“拒绝”,所有用户都无法访问,除了在允许条目中的访客。利用这个功能,可以搭建一个简单的局域网访问架构。至于“拒绝操作类型”,可以选择“未经授权、已禁止、未找到、中止”四种之一。设置完毕后,点击“确定”保存。
编辑动态限制设置
为了提高网站的安全性,IIS支持对动态IP地址做限制。点击“IP地址和域限制”,然后点击右侧的“编辑动态限制设置”。可以基于某个IP地址的并发请求数量来拒绝,也可以基于一段时间内的最大请求数量来拒绝,我们还可以只启用日志记录,实际不进行限制。如果访问者超出了允许的最大请求数量,则会在一段时间内禁止访问网站。设置完毕后,点击“确定”保存。
添加允许拒绝条目
我们可以同时添加允许和拒绝两种限制规则。打开IIS管理器,找到具体站点,点击“IP地址和域限制”,然后点击右侧的“添加允许条目”和“添加拒绝条目”。可以添加特定IP地址,也可以添加IP地址范围。设置完毕后,点击“确定”保存。
以上就是在IIS上限制IP地址访问网站的操作方法。通过静态和动态两种IP地址限制方式,增强了IIS上部署网站的安全性。