我是偏执狂，还是公司防火墙检查了整个国家？[关闭]

最近，在过去的一年左右的时间里，我注意到到达某些地点的难度似乎越来越大，尤其是在伊朗或俄罗斯等非受惠国家的地点。

例如，刚才我试图访问俄罗斯国防部的网站（http://eng.mil.ru/en/index.htm），该网站具有与我业务相关的正当理由，并且它超时了。我通过欧洲代理人尝试了同一站点，并且连接没有问题。然后我尝试了一个tracert，这是结果：

我对此的解释是IP被公司防火墙阻止。我问我们的IT部门什么是网络的IP阻止策略，并被告知该策略不是由我们公司决定的，而是由防火墙服务提供商确定的，并且对提供商来说是“秘密和专有的”，并且它们（即IT）无法控制该政策。

这是什么故事？防火墙产品供应商是否只是在封锁整个国家？

我只是为了傻笑而决定尝试不同的国家，看看会发生什么：

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

好的，所以我可以访问乌兹别克斯坦和乔治亚州的网站，但不能访问亚美尼亚或乌克兰的网站？谁在制定这种逻辑？

我见过各种各样的供应商根据原产国进行内容过滤。中国和俄罗斯通常是默认情况下处于启用过滤状态的国家，或者至少设置了某种警报。这是因为这些通常是恶意软件攻击的来源。我不认为您的IT部门无法控制它。任何值得其加盐的供应商都可以让您修改其产品的默认设置。

这可能不是在IDS / IPS级别上完成的，而是在防火墙级别（通过IP列表阻止，效果较差）或路由级别使用称为选择性黑洞的方法（非常有效并阻止了来自甚至完全到达您的路由器）。

背后的原因尚不明确-可能是因为您列出的国家/地区通常是攻击源，尽管实际上不超过美国，而且坚定的攻击者会继续前进并在这种情况下进行规避...如果您是在一个足够大的组织中工作- 他们很偏执 -某种程度上自己是关于来自那里的IP威胁的。无论哪种方式，对于许多意图和目的而言，这都是一种权宜之计的安全措施，您无需多管闲事。隧道或代理了！

完全有可能使用IP地理位置来阻止与某些国家/地区关联的IP地址范围。关于它的有效性有很多争论，我当然不会建议一味地将其应用于任何人，但是要由企业自己确定它是否与来自特定地区的公司有合法业务，因此封锁与该区域相关的地址范围所带来的风险是与不封锁那些地址所带来的风险。

虽然地理阻止不会阻止确定的攻击者，但是它确实增加了从该位置攻击您的网络的复杂性（请记住，这可能意味着该位置的僵尸网络成员），而且还可以减少来自该位置的“背景噪音”数量。随便的攻击者和脚本小子，使查看更坚定的攻击变得更加容易。

此示例来自Sonicwall知识库文章，该文章介绍了如何设置此类过滤器。

无论如何，如果您有业务需要连接到处于受封锁国家的业务，我不建议像其他答案中所建议的那样尝试绕过防火墙，而是将其作为管理问题：与您的经理联系，让他们与IT部门经理交谈，并明确说明存在允许此类访问的业务要求。极不可能没有办法配置这些类型的块，并且偶然地会发生某种安全事件，并且检测到您尝试解决属于公司IT策略的块的尝试，因此您非常有可能可能会为安全漏洞负责。