微软网站IIS中的IP白名单黑名单实践

微软网站IIS中的IP白名单黑名单实践

0x00 前言

      企业日常实践当中，当我们开设网站需要对某些黑名单IP端里面启用白名单，也就是说，允许其他网段访问，但是该网站需要禁止某个网段（10.10.0.0/16）IP访问，但是必须同时也允许10.10.10.10、10.10.11.11 访问网站，那么这时候我们应该如何对IIS 中的IP地址和域限制进行配置呢？

0x01 开启IP地址和域限制

      在【开始】菜单，打开【服务器管理器】，定位到左上角的【服务器管理器】--【角色】--【web服务器IIS】--【Internet信息服务( IIS) 管理器】

点击【web服务器IIS】，如下图所示：

安装完成，即可进行下一步

0x02 设置IP地址和域限制

定位到功能模块，如下图所示：

定位到【编辑功能】，配置【未指定客户端的访问权限】为【允许】，如下图所示：

0x03配置IP和网段

      1、先配置允许的IP，此处非常重要，如下图所示：

在这里把要允许的IP都配置好，例如10.10.10.10、10.10.11.11

      2、最后配置禁止的网段，此处非常重要，如下图所示：

0x04查看经过排序的列表

这时候我们看到在网站的访问控制当中，先运行这两个访问，后禁止10.10.0.0/16访问，达到的效果是除了这两个IP外，10.10.0.0/16的其他IP均无法访问网站

0x05新增IP和网段

      这时候，如果我们出现同样的需求：禁止10.11.0.0/16网段访问，但是要允许10.11.11.11 和10.11.11.12 访问网站，这时候我们要怎么做呢？

      同样，也要在【添加允许条目】把这两个IP添加进行，然后在【添加拒绝的条目】把网段添加进去。

      此时，还有很重要的一步：点击【经过排序的列表】，如下图所示：

重点1：我们要把拒绝的条目都下移到允许条目的下面，如下图所示：

重点2：我们要把允许的条目都上移到拒绝条目的上面，如下图所示：

0x06最后的结果

允许的条目都在上面，拒绝的条目在下面，如下图所示：

这样最终达到目标：禁止某个网段，但允许该网段某些IP访问