封禁ip有哪四种方式，这些方式之间有什么区别？

为什么说“四种方式”，因为从“用户→节点→源站”这个链路捋就是四种方式，分别是CDN端、服务器安全组、服务器防火墙和网站根目录文件（如IIS的web.config），本文就这四种方式的具体方法和区别展开阐述。

不管是哪种方式都得先搞清楚什么是B段和C段，详见文章：封禁ip的两种方法，搞清楚之后在哪封都简单。

一、CDN端。

从节点阻断ip，优点是被攻击资源在节点有缓存时流量不会回源，可减少服务器带宽消耗，防DDoS和CC效果突出。市面上CDN厂商有很多，但选择时一定要先试用看其缓存命中率怎么样，像CloudFlare在其默认缓存规则下缓存比例都能做到90%多，这也是很多网站都把境外线路开启CloudFlare加速的原因。国内因为管的严，攻击规模都不大，如果是境外攻击，就直接交给CloudFlare硬抗。

封禁方法就很简单了，CDN都有ip黑名单功能，写法基本都一样。

二、服务器安全组。

服务器安全组属于网络基础设施层，在安全组封禁的优点是流量到达服务器前被丢弃，可减轻服务器负载，因此也有防DDoS能力，只不过是基础型的。

封禁方法也很简单，服务器控制台找到安全组功能，写法与CDN端封禁无异，只是选择的参数要多一些。

三、服务器防火墙。

服务器防火墙属于操作系统内核网络层，流量到达服务器网卡后，由系统内核处理。特点是可精细化控制，比如基于IP、端口、协议、连接状态进行过滤。缺点是如果规则太多可能增加CPU负载。

封禁方法详见文章：如何封禁扫描器Censys的ip段和UA。

四、网站根目录文件。

网站根目录文件（如IIS的web.config）属于Web服务器应用层，在IIS处理HTTP请求时，根据URL或IP动态响应。特点是针对网站单独生效，不影响全局。缺点是规则复杂时会增加IIS负载，这也是为什么大部分网站选择安装Nginx反向代理环境部署证书的原因，因为Nginx的处理迸发能力高于IIS。

封禁方法见第二段内链文章。

个人认为最有效、最方便的就是在CDN端和服务器防火墙封禁，CDN端封禁在四种方式里是唯一同时拥有防DDoS和防CC效果的封禁。服务器安全组封禁得登录服务器控制台操作，麻烦不说，需要设置的参数太多还容易操作失误，封禁之后管理也麻烦。如果你确定某个ip段是恶意的，那它自然针对所有网站都有恶意，所以就没必要在网站端封，直接在服务器防火墙封针对所有网站生效。