卡卡網(wǎng)

當(dāng)服務(wù)器需要屏蔽某些IP時(shí)，我們可以通過組策略的IP安全策略來實(shí)現(xiàn)，也可以在IIS等Web服務(wù)器里實(shí)現(xiàn)，還可以通過.htaccess等網(wǎng)站配置文件來實(shí)現(xiàn)，不過這里我推薦的是盡可能用組策略來屏蔽IP，好處有如下3點(diǎn)。

1、節(jié)省網(wǎng)絡(luò)帶寬

當(dāng)在IIS阻止某些IP訪問時(shí)，實(shí)際上是Web服務(wù)器仍然會(huì)被訪問，只是遇到這些IP時(shí)返回403（禁止訪問）的信息，帶寬還是會(huì)消耗一些，與允許訪問的相比，消耗的少而已。

我最近在某一VPS上，通過組策略屏蔽了一大批搜索引擎和應(yīng)用的爬蟲IP，結(jié)果看到日志文件的體積減少了一大半。

組策略屏蔽某些IP后Web訪問日志文件體積明顯減少

2、減輕服務(wù)器負(fù)荷

在IIS里屏蔽IP，Web網(wǎng)站仍然會(huì)被訪問，觸發(fā)規(guī)則響應(yīng)403，由此產(chǎn)生的資源消耗，勢必增加服務(wù)器的負(fù)荷。但在組策略屏蔽IP后，這些都不會(huì)發(fā)生了，因?yàn)镮P剛到達(dá)服務(wù)器就被擋住了，它不能訪問到Web網(wǎng)站。

組策略屏蔽IP減輕服務(wù)器負(fù)荷

3、多種網(wǎng)絡(luò)協(xié)議

IIS屏蔽IP只能是TCP協(xié)議，也即是屏蔽了IP的FTP、HTTP(S)訪問，而組策略屏蔽IP時(shí)可以是任意協(xié)議，如TCP、UDP，ICMP等。

組策略多種網(wǎng)絡(luò)協(xié)議屏蔽IP

總結(jié)

上述便是組策略屏蔽IP比IIS屏蔽IP的3大好處，我推薦盡可能用組策略來屏蔽IP。

參考文章

Windows組策略屏蔽IP（段）詳細(xì)教程

設(shè)置Windows組策略IP安全策略屏蔽【多個(gè)IP或IP段】

從組策略關(guān)閉端口（445/135/137/138/139/3389等）教程

IIS6 拒絕一組計(jì)算機(jī)（IP段）訪問的IP設(shè)置方法

IIS7、IIS7.5設(shè)置拒絕一組計(jì)算機(jī)(IP段)訪問網(wǎng)站的方法

標(biāo)簽: 組策略  屏蔽IP  IIS  主機(jī)  vps