具体来说,我有一个客户要求我屏蔽中国的 IP 范围。我知道如何做到这一点。我会使用来自https://www.countryipblocks.net/e_country_data/CN_netmask.txt并制定 ACL。好吧,如果你看一下,就会发现有 3,412 个网络我必须阻止。
我真正想问的是,有没有办法绕过创建超大 ACL?如果是连续的 IP 空间,我可以直接使用超网,但事实并非如此。
答案1
如果您更喜欢庞大的网络对象组而不是庞大的 ACL,那么我想这将是另一个选择。它在命令行和执行中同样丑陋,但我想在 ASDM 中会更漂亮。
一定要小心不要对国家进行全面封锁;我发现这会导致一些有趣的问题。(“为什么我无法访问 Windows 更新?”“哦,你正在访问印度尼西亚服务器,有人封锁了整个亚洲”)
答案2
我创建了一个脚本,你只需选择一个授权机构,它就会为你提供放入 ASA 的配置。它非常准确。
您可以根据需要阻止或允许特定区域。我很快会更新它以适用于特定国家/地区,但现在它适用于 ARIN、RIPE、APNIC 等机构。