如何在IIS中停止指定IP地址的网站访问？

IIS（Internet Information Services）自带的“IP地址和域限制”功能可用于精确管理来访权限，从而保障网站安全。当网站运维人员通过日志分析发现特定IP或IP地址段存在恶意请求时，就可以通过两种不同方法来配置黑名单：“拒绝访问”模式中将不允许访问的IP记入拒绝列表，“授权访问”模式则将禁止多数IP访问，只允许少数IP列入白名单访问。这种IP限制技术有助于构建更可控的网络空间。

方法一：通过IIS管理器配置IP限制

IIS管理器提供了交互式的图形界面操作方案，让技术员可以通过步骤化操作快速完成规则配置。

• 步骤1：按Win + R组合键，输入inetmgr启动IIS管理器。在左侧连接面板找到需配置的站点并点击选中。
• 步骤2：双击“IP地址和域限制”图标。如果功能未安装，需要在服务器管理器的“添加角色服务”中勾选安装“IP和域限制”模块。
• 步骤3：在右侧操作面板点击“添加拒绝条目”，在弹出的窗口中可以指定单个IP（如192.168.1.10），也可设置一个IP段。若设置如115.239.212.*这样的网段，对应的“IP地址范围”应填写115.239.212.0，“掩码或前缀”填255.255.255.0。
• 步骤4：完成条目添加后，务必要在“编辑IP和域限制设置”中将“未指定客户端的访问操作”设置为“拒绝”，点击“应用”按钮保存配置。设置结束后建议通过被禁止的IP访问网站，以验证限制是否成功生效。

方法二：配置Web.config实现黑名单规则

除了通过IIS管理器界面操作外，还可以直接编辑网站的Web.config文件来编写限制规则，这对批量部署和自动化运维更有优势。

在网站的根目录中找到或新建Web.config文件，在配置节点内插入以下代码结构，系统便会根据设定自动拒绝指定IP或IP段的访问请求。

其中allowUnlisted=”true”指不在列表中的IP默认允许访问；设置为false后则禁止所有未明确允许的IP。每一组元素即代表一条拒绝规则，支持单一IP与子网段两种模式配置。

根据需求正确设置IP地址范围

对网站的访问实施精准的控制离不开对子网掩码机制的理解。实际填写IP地址范围时应特别留意，其配置规则的确定对限制效果有决定性影响。

举例来说：

• 若要限制IP范围115.239.16.1 ~ 115.239.16.127，应这样填写：“IP地址范围”为115.239.16.0，“掩码或前缀”为255.255.255.128。相对应的，限制115.239.16.128 ~ 115.239.16.254时，“IP地址范围”和“掩码”就分别是115.239.16.128与255.255.255.128。同理，要将整个128.X.X.X网段排除在外时，对应的写法是IP地址范围128.1.1.1，子网掩码255.0.0.0。

黑名单模式与白名单模式的区别与选择

IIS的IP限制模块同时提供了“授权访问”与“拒绝访问”两种控制逻辑。

• 黑名单模式（拒绝访问）：选择此种模式时，默认情况下所有IP均可访问本网站，但此时“添加”操作的目的是录入那些需要禁止的IP地址或地址段。
• 白名单模式（授权访问）：选择此模式后，默认情况下任何IP将无法访问站点，管理员通过“添加”录入的则是被允许访问网站的特殊IP。

设置黑名单时需注意的关键事项

一个看似简单的IP限制操作，若考虑不周全，往往会导致规则失效、服务中断，甚至影响网站正常运行。

• 规则执行顺序：当同一站点同时设置允许与拒绝规则时，IIS的匹配顺序是有讲究的，默认按“顺序方式”应用规则。在需要实现“除特定IP外封锁整个网段”的目标时，应将允许的IP规则置于拒绝规则的上方。
• 与其他安全产品的关系：很多部署了防火墙的服务器要注意，防火墙的已有规则很可能与IIS的访问控制产生重叠与冲突，技术人员在实际操作前需确保内外规则的一致性。
• 潜在功能限制：通过IP限制的手段能在一定程度阻挡恶意扫描与常规骚扰，但它不能防御大流量的DDoS攻击。面对网络层洪泛攻击，仍需接入专业的高防服务或部署于抗D设备后方。

验证配置效果与排除故障的方法

为确保以上配置确实起到了预期的防护作用，动手后的结果检验是必不可少的。

• 最直观的办法就是，在一台处于被禁IP段的客户机上尝试打开网站地址。若配置成功，客户机会看到“403
  禁止访问: 访问被拒绝”的错误提示页面。
• 修改Web.config等配置文件后，若不生效，可尝试对IIS服务执行重启操作。最快的方式是点击“开始”菜单，在“运行”中输入iisreset命令即可实现。