Permitir apenas tráfego nos EUA (Server 2008 R2)

Estou tentando configurar o firewall do Windows Server 2008 R2 para bloquear todo o tráfego, exceto o tráfego originado dos IPs dos EUA. A atual política de firewall de entrada é configurada da seguinte maneira:

• Bloqueie algumas portas (de qualquer lugar)
• Permitir algumas portas / serviços (de qualquer lugar)
• Aplicar ação padrão (bloco)

Então, preciso adicionar um pouco de lógica acima da lógica de permissão. Eu li a documentação da Microsoft em: link e vi que as regras de bloqueio são aplicadas antes das regras de permissão - assim como Eu vejo algumas opções:

1. Crie uma regra de bloqueio massiva que bloqueia todos os IPs não pertencentes aos EUA
2. Crie uma regra de bloqueio para cada país / continente / ... com todos os IPs dessa região (basicamente o mesmo que a opção 1, apenas criando mais regras para facilitar o gerenciamento).
3. Crie uma regra de aceitação maciça que permita apenas IPs dos EUA

Eu prefiro ir com a terceira opção, pois isso deve resultar em um conjunto de regras menor. No entanto, minha preocupação é que, se eu criar uma regra padrão "aceitar tudo dos EUA", ela substituirá as ações de bloqueio padrão e permitirá que os usuários nos EUA atinjam as entradas que foram bloqueadas anteriormente pela ação padrão.

Então - alguém configurou algo assim antes? Se sim, qual rota você escolheu?

Editar: sei que posso ir a cada regra de permissão e restringir cada uma com uma lista de IPs dos EUA. Vamos supor que eu não quero fazer isso, pois isso cria uma dor de cabeça muito maior.