IIS服务器禁止某个IP或IP地址范围访问网站的方法

公司网站的最近一直遇到同行的恶意刷下载导致流量暴涨，严重影响正常用户的访问，因此不得不将这些ip地址拉黑了。网站环境是IIS，本文就针对该问题来讲讲IIS服务器禁止某个IP或IP地址范围访问网站的方法。

通过查看访问日志，发现这些ip前两个字段是相同的，只是后面两个字段不同，因此可以设置IP地址范围来限制访问。具体操作如下：

一、通过iis自带的功能实现

打开IIS，选中需要禁止IP的站点，找到"ip地址和域限制"这个功能。（注：如果没有安装，需要在服务器管理器→添加角色服务→勾选并安装"IP和域限制"）

图1

打开ip地址和域限制后，点击右边"添加拒绝条目"，弹出设置窗口，这里规则可以设置单个IP的拒绝，也可以设置禁止IP段的访问。

图2

最后IP段的填写要注意下，以下举例说明：

如上图所示，IP地址范围：115.239.212.0，掩码或前缀：255.255.255.0，故拒绝IP段范围是：115.239.212.*

如果要拒绝的IP段是：115.239.*.*，则要这样填写：

IP地址范围：115.239.0.0

掩码或前缀：255.255.0.0

如果要拒绝的IP段是：115.239.16.1 – 115.239.16.127，则要这样填写：

IP地址范围：115.239.16.0

掩码或前缀：255.255.255.128

如果要拒绝的IP段是：115.239.16.128 – 115.239.16.254，则要这样填写：

IP地址范围：115.239.16.128

掩码或前缀：255.255.255.128

通过ip安全策略

可以参考下面的文章

Windows下通过ip安全策略设置只允许固定IP远程访问

win2003 ip安全策略 限制某个IP或IP段访问服务器指定端口图文说明

IIS上限制IP地址访问网站的设置方法

对于一些重要的服务器，我们并不想让所有人都能访问，或者将一些总是攻击网站的用户屏蔽掉。这就需要添加限制访问网站的IP地址了。

IIS是一款功能强大的Web服务器。IIS提供了内置的IP地址黑白名单功能，也可以根据域名来限制访问。除了禁止某个IP地址段之外，在大量并发请求下IIS还支持对动态IP地址做限制。我们可以利用IIS的这个功能来增强网站的安全性。

编辑功能设置

每个站点都可以有自己的功能设置。打开IIS管理器，找到具体站点，点击"IP地址和域限制"，然后点击右侧的"编辑功能设置"。"未指定的客户端的访问权"这里，如果设置为"允许"，所有用户都可以访问，除了在拒绝条目中的访客。如果设置为"拒绝"，所有用户都无法访问，除了在允许条目中的访客。利用这个功能，可以搭建一个简单的局域网访问架构。至于"拒绝操作类型"，可以选择"未经授权、已禁止、未找到、中止"四种之一。设置完毕后，点击"确定"保存。

编辑动态限制设置

为了提高网站的安全性，IIS支持对动态IP地址做限制。点击"IP地址和域限制"，然后点击右侧的"编辑动态限制设置"。可以基于某个IP地址的并发请求数量来拒绝，也可以基于一段时间内的最大请求数量来拒绝，我们还可以只启用日志记录，实际不进行限制。如果访问者超出了允许的最大请求数量，则会在一段时间内禁止访问网站。设置完毕后，点击"确定"保存。

添加允许拒绝条目

我们可以同时添加允许和拒绝两种限制规则。打开IIS管理器，找到具体站点，点击"IP地址和域限制"，然后点击右侧的"添加允许条目"和"添加拒绝条目"。可以添加特定IP地址，也可以添加IP地址范围。设置完毕后，点击"确定"保存。

以上就是在IIS上限制IP地址访问网站的操作方法。通过静态和动态两种IP地址限制方式，增强了IIS上部署网站的安全性。