卡卡網(wǎng)

當服務(wù)器需要屏蔽某些IP時，我們可以通過組策略的IP安全策略來實現(xiàn)，也可以在IIS等Web服務(wù)器里實現(xiàn)，還可以通過.htaccess等網(wǎng)站配置文件來實現(xiàn)，不過這里我推薦的是盡可能用組策略來屏蔽IP，好處有如下3點。

1、節(jié)省網(wǎng)絡(luò)帶寬

當在IIS阻止某些IP訪問時，實際上是Web服務(wù)器仍然會被訪問，只是遇到這些IP時返回403（禁止訪問）的信息，帶寬還是會消耗一些，與允許訪問的相比，消耗的少而已。

我最近在某一VPS上，通過組策略屏蔽了一大批搜索引擎和應(yīng)用的爬蟲IP，結(jié)果看到日志文件的體積減少了一大半。

組策略屏蔽某些IP后Web訪問日志文件體積明顯減少

2、減輕服務(wù)器負荷

在IIS里屏蔽IP，Web網(wǎng)站仍然會被訪問，觸發(fā)規(guī)則響應(yīng)403，由此產(chǎn)生的資源消耗，勢必增加服務(wù)器的負荷。但在組策略屏蔽IP后，這些都不會發(fā)生了，因為IP剛到達服務(wù)器就被擋住了，它不能訪問到Web網(wǎng)站。

組策略屏蔽IP減輕服務(wù)器負荷

3、多種網(wǎng)絡(luò)協(xié)議

IIS屏蔽IP只能是TCP協(xié)議，也即是屏蔽了IP的FTP、HTTP(S)訪問，而組策略屏蔽IP時可以是任意協(xié)議，如TCP、UDP，ICMP等。

組策略多種網(wǎng)絡(luò)協(xié)議屏蔽IP

總結(jié)

上述便是組策略屏蔽IP比IIS屏蔽IP的3大好處，我推薦盡可能用組策略來屏蔽IP。

參考文章

Windows組策略屏蔽IP（段）詳細教程

設(shè)置Windows組策略IP安全策略屏蔽【多個IP或IP段】

從組策略關(guān)閉端口（445/135/137/138/139/3389等）教程

IIS6 拒絕一組計算機（IP段）訪問的IP設(shè)置方法

IIS7、IIS7.5設(shè)置拒絕一組計算機(IP段)訪問網(wǎng)站的方法

標簽: 組策略  屏蔽IP  IIS  主機  vps