Рассмотрим межсетевой экран Cisco ASA (5500-X) для нашего интернет-периметра перед нашим веб-кластером.
На данный момент мы используем Linux с iptables. Система анализа журналов обнаруживает атаки методом перебора на блоги WordPress, спам на форумах, попытки взлома и многое другое. Незаконные действия приведут к кратковременной блокировке вредоносного IP-адреса.
Однако список заблокированных IP-адресов составляет около 30 000 IPv4-адресов. Можем ли мы загрузить их в Cisco 5500-X с помощью API или подобного, и сколько IP-адресов / правил он может обработать?
В настоящее время мы используем ipset (хеш-таблицу) для работы с большим количеством IP-блоков.
Спасибо!
Ниже представлена ветка бизнес-подразделения ASA. Это для ASA 5520 (всего 512 МБ ОЗУ), и он обслуживает 300 КБ ACE (выражения управления доступом; например, строки в ACL)
https://supportforums.cisco.com/thread/2064748
Короче говоря, даже более старый ASA, не относящийся к серии X, такой как 5520, мог обрабатывать 300 000 отказов одной линии, поэтому обработка 10% из них не должна вызывать проблем.