考虑在我们的networking集群前为我们的互联网边缘思科ASA(5500-X)防火墙。
目前,我们使用iptables的Linux机器。 日志分析系统检测对WordPress博客的暴力攻击,论坛垃圾邮件,黑客攻击等等。 非法活动将导致有问题的IP地址短暂的阻塞。
然而,被阻止的IP列表大约有30,000个IPv4地址。 我们可以使用API或类似的方法将这些加载到Cisco 5500-X中,并且可以处理多less个IP地址/规则?
我们目前使用ipset(一个哈希表)来处理大量的IP块。
谢谢!
以下是来自ASA业务部门的一个主题。 这是针对ASA 5520(只有512 MB的RAM),它提供了300k ACE(访问控制expression式;例如ACL中的行)
https://supportforums.cisco.com/thread/2064748
简而言之,即使是像5520这样老的非X系列ASA也能处理30万行的拒绝 – 所以处理10%的应该不成问题。