Para ser mais específico, tenho uma solicitação de um cliente para bloquear o intervalo de IPs da China. Eu sei como fazer isso. Eu usaria os IPs do link e criaria uma ACL. Bem, se você der uma olhada, existem 3.412 redes que eu teria que bloquear.
O que estou realmente perguntando é que há uma maneira de fazer uma ACL super grande? Se fosse um espaço IP contíguo, eu poderia apenas super-rede, mas esse não é o caso.
Se um gigantesco grupo de objetos de rede é mais do seu agrado do que uma gigantesca ACL, então eu acho que seria a outra opção. É o mesmo nível de feio na linha de comando e em execução, mas o tornaria mais bonito no ASDM, suponho.
Tenha muito cuidado com os blocos gerais dos países; Eu vi isso causar alguns problemas interessantes. ("Por que não consigo acessar o Windows Update?" "Ah, você está acessando um servidor indonésio e alguém bloqueou toda a Ásia")
Nos blocos IP do país, podemos agregar redes contíguas para tornar a saída significativamente menor. Basta entrar em contato e perguntar.
Eu criei um script onde tudo o que você tem a fazer é escolher uma autoridade e isso lhe dará a configuração para acessar o ASA. É incrivelmente preciso.
Você pode bloquear ou permitir uma região específica, se desejar. Vou atualizá-lo em breve para fazer países específicos, mas agora ele faz autoridades como ARIN, RIPE, APNIC, etc.