Cisco-Asa

如何使用 Cisco ASA 阻止國家/地區 IP 範圍?

  • October 7, 2014

更具體地說,我有一個客戶要求阻止中國的 IP 範圍。我知道該怎麼做。我會使用來自<https://www.countryipblocks.net/e_country_data/CN_netmask.txt>的 IP並創建一個 ACL。好吧,如果您看一下,我將不得不阻止 3,412 個網路。

我真正要問的是有沒有辦法製作一個超大的 ACL?如果它是連續的 IP 空間,我可以只是超網,但事實並非如此。

如果一個巨大的網路對象組比一個巨大的 ACL 更符合您的喜好,那麼我想那將是另一種選擇。它在命令行和執行中的醜陋程度相同,但我想它在 ASDM 中會更漂亮。

小心一攬子國家;我已經看到它引起了一些有趣的問題。(“為什麼我無法訪問 Windows 更新?”“哦,你正在訪問印度尼西亞伺服器,並且有人封鎖了整個亞洲”)

我創建了一個腳本,您所要做的就是選擇一個授權,它會給您配置以放入 ASA。它非常準確。

區域-asa

如果需要,您可以阻止或允許特定區域。我將很快更新它以針對特定國家/地區,但現在它針對 ARIN、RIPE、APNIC 等權威機構。

引用自:https://serverfault.com/questions/281178