有多种方法可以找到 Facebook 等主要组织的 IP 范围。其中最基本的是打开您选择的终端/命令行并发出命令：nslookup facebook.com.

这为您提供了与该 DNS 名称相关联的 IP 地址；在这种情况下，173.252.110.27是我的 DNS 服务器的答案。

然后为该 IP 地址运行“whois”查找（如果命令行中没有 whois 工具，则可以转到Whois.net）：whois 173.252.110.27

这种情况下的相关输出是：

NetRange:       173.252.64.0 - 173.252.127.255
CIDR:           173.252.64.0/18
OriginAS:       AS32934
NetName:        FACEBOOK-INC

Facebook 已分配了整个 /18 块173.252.64.0/18，因此只需将该范围用于您的 ACL。

注意：综上所述，通过 IP 进行阻止会很快变得很麻烦，并且在许多情况下非常无效。Facebook 规模的组织将不断添加新的 IP 空间，这将超出您的过滤范围。

一些站点可能会改为使用新的CDN，这当然也会使用不同的 IP 空间。

如果您在 HTTPS 和 URL 阻止方面遇到特定问题（取决于设备），您可以在另一个问题中询问有关这些特定问题的帮助。答案可能会更好地帮助您阻止访问这些站点。

要阻止不可接受的网站，您通常会使用代理服务器或网络过滤防火墙。要么强制每个人使用代理并阻止对网络的正常访问，要么使用防火墙并阻止有问题的 URL。使用 IP 地址对于网站来说从来都不是一个好的选择，因为这些地址对于大型站点来说可能会经常更改（当它们切换到/从 CDN 切换时，当它们添加另一个离您所在位置更近的集群时，等等）。

对于 Facebook 和 Google 等大公司来说，找出大型网站使用的所有IP 地址非常困难。尽管您阻止了 IP，但仍有许多服务可以用作访问这些站点的代理。

我一直在使用NBAR来限制 Facebook，但你可以调整它来阻止。这仅适用于纯文本 HTTP 请求，它在重定向到 HTTPS 之前有效地阻止了某人在浏览器中输入地址。将丢失 FB 的 SSL (TLS) 书签。

您还可以查看应该能够处理此问题的新 ASA-X CX（上下文感知安全），尽管我还没有部署它。

类地图匹配任何 facebook-not4you
 匹配协议 http 主机“*facebook.com”  
 匹配协议 http 主机“*fbcdn.net” 
！
政策地图 badfacebookbad
  类 facebook-not4you
    降低
！
接口 Gi0/1
  服务策略输出 badfacebookbad

代替您，如果我有机会花一些钱，我会在您的网关和 LAN 之间放置一个支持 UTM 的盒子。

例如，将 FortiGate 防火墙置于透明模式（像以太网桥一样工作）并丢弃所有发往“社交网络”站点类别的 Web 请求非常容易。