可通过以下两种方式实现：

1. D90分支版本区域限制（推荐）

   适用版本：需升级至D90分支版本

   配置步骤：

     1. 进入安全策略视图

     2. 创建基于地理区域的安全策略

     security-policy ip

      rule name Block_Foreign_IP

       source-zone untrust

       geo-location country-code US,JP,KR  # 示例：阻断美日韩IP

       action deny

     支持通过ISO 3166国家代码批量阻断指定国家IP2. 传统黑名单方式

   适用所有版本：

     1. 创建境外IP地址对象组

     ip address-set name Foreign_IPs

      range 1.1.1.1 2.2.2.2  # 填入境外IP段

     2. 配置黑名单策略

     attack-defense blacklist enable

     attack-defense global blacklist source-ip Foreign_IPs

     block-period 86400  # 阻断时长设为最大值

     建议优先使用地理区域策略，可通过在线Geo-IP数据库自动更新境外IP段。实际部署时需注意：

定期更新地理位置数据库

排除合法跨国业务IP

在应用层检测引擎开启源阻断功能

结合IP信誉功能实现动态阻断两种方式均可通过display security-policy statistics和display attack-defense blacklist命令验证阻断效果。