我发现此过程仅在50%的时间内有效。
我发现阻止了特定于Torrent的端口,并且使用regex可以正常工作,但这并不能捕获所有流量。
object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999
和
regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"
是否有人拥有最新的正则表达式来查找激流? br />或这是ASA目前的限制吗?
#1 楼
Bittorrent客户端可以(并且确实)使用随机端口。阻塞公共端口只会鼓励用户转移到其他端口。另外,客户端间的通信支持加密已经有好几年了(最初是作为限制ISP干扰的一种手段),从而使得实际的ptp通信无法识别。
在客户端中寻找“ info_hash”-跟踪器通信虽然有些有效,但也很容易被击败。 (tor,ssl,vpn等)。它也无济于事,可以停止无跟踪程序群(DHT),对等交换(PEX),UDP跟踪程序协议...
如果您已完成管理杀死50%,算是幸运。这是一场无法赢得胜利的mol鼠游戏。
#2 楼
为所有受支持的应用程序协议以透明代理模式配置它,并且仅允许代理连接。包括BitTorrent在内的任何未知协议都将失败。用于BitTorrent的SSL隧道是不可行的,因此HTTPS不会有太大的漏洞。让未经L7批准的任何路由连接通过都会使BitTorrent滑过。评论
我敢打赌,这种方法会破坏很多东西。限制连接数又如何呢?一旦来自一台主机x的连接数达到x,杀死所有连接数y秒钟。这是阻止用户使用p2p文件传输的有效方法。有可以执行此操作的安全性/审核软件/设备。不确定ASA寿。
–sdaffa23fdsf
2013年6月27日7:08
还有其他一些极端的解决方案,例如查询跟踪器和将所有对等对象列入黑名单。如果是在办公环境中,则只有受信任的用户才能访问除HTTP之外的任何内容。对于它们的其余部分,透明的HTTP代理不会有不良影响,并且可以根据情况授予路由/ NAT访问权限。
–先生
2013年6月27日7:35
SSL隧道到底有多“不可行”?您确实意识到许多VPN只是SSL连接。习惯使用BT的用户将找到一种方法来尝试阻止他们。
–瑞奇
16年7月21日在18:45
SSL上的高带宽TCP隧道将迅速融化到不再占用带宽的地步。外部隧道终结点将是Torrent客户端可见的IP地址,而不是您公司的地址。
–先生
16年7月22日在6:43
#3 楼
我们可以通过多种方式来实现在ASA防火墙中阻止Bit torrent的这一需求通过创建具有Bit Torrent可用URL的对象并在防火墙中创建出站策略拒绝规则,该策略需要放在允许规则
我们甚至可以使用内容过滤,因此内容过滤是安全配置文件之一,此特殊安全配置文件可以附加到用于int的出站安全策略规则中/>
甚至可以通过创建具有各种torrent URL的对象并在用于Internet访问的出站安全策略中使用此webfilterring对象来使用安全性配置文件之一的webfilterring功能
#4 楼
解决方法之一是通过设置一组特定的控制列表来限制Torrent流量的速率。确保端口和目标IP(您的IP池)。 (远端桌面3389),VNC,HTTP 8080(取代80)
评论
我相信这将是ASA目前的限制。其他UTM设备使用“一个应用程序模块(基于IPS)”并可以成功阻止它。不过,我相信您也可以做到,但是可以使用ASA上附加的IPS模块。