卡卡網

當服務器需要屏蔽某些IP時，我們可以通過組策略的IP安全策略來實現，也可以在IIS等Web服務器里實現，還可以通過.htaccess等網站配置文件來實現，不過這里我推薦的是盡可能用組策略來屏蔽IP，好處有如下3點。

1、節(jié)省網絡帶寬

當在IIS阻止某些IP訪問時，實際上是Web服務器仍然會被訪問，只是遇到這些IP時返回403（禁止訪問）的信息，帶寬還是會消耗一些，與允許訪問的相比，消耗的少而已。

我最近在某一VPS上，通過組策略屏蔽了一大批搜索引擎和應用的爬蟲IP，結果看到日志文件的體積減少了一大半。

組策略屏蔽某些IP后Web訪問日志文件體積明顯減少

2、減輕服務器負荷

在IIS里屏蔽IP，Web網站仍然會被訪問，觸發(fā)規(guī)則響應403，由此產生的資源消耗，勢必增加服務器的負荷。但在組策略屏蔽IP后，這些都不會發(fā)生了，因為IP剛到達服務器就被擋住了，它不能訪問到Web網站。

組策略屏蔽IP減輕服務器負荷

3、多種網絡協議

IIS屏蔽IP只能是TCP協議，也即是屏蔽了IP的FTP、HTTP(S)訪問，而組策略屏蔽IP時可以是任意協議，如TCP、UDP，ICMP等。

組策略多種網絡協議屏蔽IP

總結

上述便是組策略屏蔽IP比IIS屏蔽IP的3大好處，我推薦盡可能用組策略來屏蔽IP。

參考文章

Windows組策略屏蔽IP（段）詳細教程

設置Windows組策略IP安全策略屏蔽【多個IP或IP段】

從組策略關閉端口（445/135/137/138/139/3389等）教程

IIS6 拒絕一組計算機（IP段）訪問的IP設置方法

IIS7、IIS7.5設置拒絕一組計算機(IP段)訪問網站的方法

標簽: 組策略  屏蔽IP  IIS  主機  vps