考虑在我们的网络集群前面的互联网边缘使用 Cisco ASA(5500-X)防火墙。
目前,我们使用带有 iptables 的 Linux 机器。日志分析系统可检测对 WordPress 博客的暴力攻击、论坛垃圾邮件、黑客攻击等。非法活动将导致违规 IP 地址被短暂封锁。
但是,被阻止的 IP 列表大约有 30,000 个 IPv4 地址。我们可以使用 API 或类似工具将这些地址加载到 Cisco 5500-X 中吗?它可以处理多少个 IP 地址/规则?
我们目前使用 ipset(一个哈希表)来处理大量的 IP 块。
谢谢!
答案1
以下是来自 ASA 业务部门的一个帖子。这是针对 ASA 5520(仅 512 MB RAM)的,它服务于 300k ACE(访问控制表达式;例如 ACL 中的行)
https://supportforums.cisco.com/thread/2064748
简而言之,即使是较旧的非 X 系列 ASA(例如 5520)也可以处理 300,000 个单线拒绝 - 因此处理其中的 10% 应该不成问题。