这本质上是一项业务决策，而不是安全决策。从商业角度来看，风险是您会失去来自该国家/地区的用户，或者从该国家/地区的 VPN 访问该站点的用户，虽然确实不太可能，但理论上 IP 分配可能会发生变化，这意味着如果您没有如果不使用最新的分配来维护和更新这些块，您可能会意外地阻止来自目标国家/地区的合法用户，这些用户碰巧已从先前分配给被阻止国家/地区的池中获得 IP。

从安全的角度来看，它可以减少攻击量，并增加攻击者针对您的站点的成本（因为他们需要从特定国家获取机器，而不是任何机器）。

当您拥有受区域限制的产品时，这往往是有道理的 - 想想仅在特定国家/地区运送商品的商店，仅接受特定地区人员参赛的竞赛，或与实体企业合作的系统范围有限（例如，送货到全国连锁店，因此其他地方的用户无法从服务中受益）。在这些情况下，证明风险的合理性往往更容易，因为来自其他国家/地区的人无法使用该服务（并且在边缘情况下将邻国包括在内并不难 - 葡萄牙企业可能包括西班牙IP范围，以防万一）。

当您拥有信息业务或数字产品时，它就不那么有意义了。在这些情况下，您最终可能会获得更多不需要的流量，因为想要获得该产品的人会求助于允许的国家/地区内的 VPN。想想人为的限制，例如世界各地错开的电影发行、延迟数月才能在原产国以外放映的电视节目或游戏发行。

您可以从http://www.ipdeny.com/ipblocks/等网站获取特定国家/地区的 IP 列表，然后选择是否使用白名单方式（“我们只运送到意大利南部，因此只允许意大利和梵蒂冈城 IP地址”）或黑名单方法（“我们看到很多来自澳大利亚的攻击，因此将阻止所有澳大利亚 IP 地址”）。

_{（请注意，所有国家都是随机选择的，不应被视为对特定国家的认可或不认可。）}

禁止 IP 范围通常不是一个好主意。仅当范围对您来说一直是个大问题时，您才应该这样做。原因如下：

• 许多人使用 VPN 或 TOR 等匿名网络，这意味着有效用户可能拥有来自您认为不属于目标受众的国家/地区的 IP。如果连接有困难，此类网络的用户可能不会使用您的服务。
• 在谈论 IP 地址时，即使不是不可能，也很难真正按位置禁止。就您而言，这可能更容易，因为您正在查看整个国家和地区，而不是更具体的地方。
• 专门的攻击者可以轻松绕过基于 IP 的禁令。你只会阻止脚本小子。可以使用设置良好的防火墙来处理此类烦恼；弹性、配置良好的服务器软件；和安全的后端代码。

至于只允许后端/管理端口上的某些 IP 范围：去吧。这绝对是个好主意，因为您可以对系统管理员有一定的期望（他们不需要使用 VPN 或其他匿名网络登录，他们居住在具有特定 IP 范围的区域等）不能有你的客户。

不要浪费时间尝试维护 GeoIP 黑名单。这是一种下意识的反应，在实践中是短视和无效的。

把它想象成恐怖主义——蒂莫西·麦克维在俄克拉荷马州引爆了一枚炸弹。你禁止所有白人进入美国。这真的能解决问题吗？

我见过的大多数实际攻击来自僵尸网络和/或匿名代理。因此，即使您阻止中国，中国攻击者也只会通过美国或欧洲的受感染主机路由他们的流量。封锁中国、伊拉克、土耳其、俄罗斯……他们将绕过它。这是互联网的本质。

作为对策，行为分析比动态黑名单更有效。无论流量来自何处，都应该阻止攻击服务的人。

相反，根据您要保护的内容，考虑使用 WAF 或 Cloudflare 之类的代理 - 如果它可以帮助您在晚上睡得更好，您可以轻松按国家/地区进行屏蔽，但更重要的是它们可以作为共享情报存储库。（您不必专门使用它们，我刚刚对它们有很好的经验）。

如果他们检测到攻击者正在攻击其他人的网站，而这些攻击者也试图攻击您的网站，他们将被阻止或阻止，因为他们之前与恶意活动相关联 - 而不是他们居住在广东或白俄罗斯的事实.

这不适用于 SSH 等，因此您仍然需要使用类似 fail2ban 的东西来阻止对这些服务的攻击。但是对于 HTTP 之类的，它已经很棒了。