更具体地说,我有一个客户要求阻止中国的知识产权范围。 我知道如何做到这一点。 我将使用https://www.countryipblocks.net/e_country_data/CN_netmask.txt中的IP并创build一个ACL。 那么如果你看看有3,412个networking,我将不得不封锁。
我真正要问的是有一个方法可以制作一个超级大的ACL? 如果这是连续的IP空间,我可以超网,但事实并非如此。
如果一个巨大的networking对象组比你更喜欢一个巨大的ACL,那么我想这是另一种select。 这与命令行和执行中的丑陋级别是相同的,但是在ASDM中,它会使它更漂亮。
要非常小心的国家的毯子块; 我看到它引起一些有趣的问题。 (“为什么我不能进入Windows Update?”“哦,你打印的是印度尼西亚的服务器,有人封锁了整个亚洲”)
在国家IP模块,我们可以聚合连续的networking,使输出显着变小。 只需联系我们,问问。
我已经创build了一个脚本,你所要做的就是select一个权限,它会给你configuration放入ASA。 这是非常准确的。
区域-ASA
如果您愿意,您可以阻止或允许特定区域。 我会尽快更新,以做特定的国家,但现在它像ARIN,RIPE,APNIC等权威。