Considerando um firewall Cisco ASA (5500-X) para nossa borda de Internet em frente ao nosso cluster da web.
No momento, usamos uma caixa do Linux com o iptables. Um sistema de análise de logs detecta ataques de força bruta em blogs do WordPress, spam em fóruns, tentativas de invasão e muito mais. A atividade ilícita resultará em um bloqueio de curta duração do endereço IP ofensivo.
A lista de IPs bloqueados, no entanto, é de cerca de 30.000 endereços IPv4. Podemos carregá-los em um Cisco 5500-X usando uma API ou similar e quantos endereços IP / regras podem manipular?
Atualmente, usamos ipset (uma hashtable) para lidar com o grande número de blocos de IPs.
Obrigado!
Abaixo está um tópico da Unidade de Negócios ASA. Isto é para um ASA 5520 (somente 512 MB de RAM) e ele atende 300k ACE (expressões de controle de acesso; por exemplo, linhas em uma ACL)
Em suma, mesmo um ASA não-X-series mais antigo como o 5520 poderia lidar com 300.000 linhas negadas - portanto, lidar com 10% disso não seria um problema.