似乎Dropbox使用Amazon AWS进行存储,所以我无法阻止或拖曳dropbox.com的流量

由于有很多Web服务依赖AmazonAWS,所以我不能仅仅阻止该域。

您对如何处理保管箱流量有任何建议吗?

我正在使用cisco ASA,但是我怀疑这适用于所有防火墙管理器

评论

哪种ASA模型?具有CX功能的第一代或第二代X模型?

#1 楼

将您的防火墙更新为知道应用程序的防火墙(这些天通常称为“下一代防火墙”)。帕洛阿尔托网络公司就是一个很好的例子。无需打开防火墙到基于IP的目的地,而是允许应用程序“ Dropbox”,而不关心目的地。您还可以在Dropbox上放置一些QoS。例如,您可以创建QoS策略,使Dropbox的最大带宽为5 mbps。

许多其他防火墙供应商也提出了与Palo Alto Networks之一类似的解决方案。我知道Juniper SRX和Checkpoint现在就做,尽管不确定Cisco。重要的是,您的防火墙可以理解应用程序(在第7层上),而不是第3层。

评论


谢谢。尽管我希望那不是答案。似乎ASA即将推出其X系列,该系列更适合上层,但可能涉及更多的资金。我希望我们可以升级设备阵容,而不是测试新硬件,并按顺序学习新软件。以适应互联网上的新技术。

–布雷克
13年6月28日在18:07

#2 楼

即使dropbox使用AWS,也可以将其阻止...

阻止Dropbox

我使用基于地址的方法来处理类似这样的事情,只需查找表示公司拥有并对其进行过滤...

使用AS19679(Dropbox)的Robtex信息来阻止保管箱...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log


FYI,Dropbox支持通过http代理进行连接,因此,如果您的代理不在上述ACL的路径中,请确保也阻止代理上的保管箱。

节流保管箱下班回家后进行研究...经过测试,Dropbox结合使用了它们自己的本机地址空间和AWS地址空间进行连接。他们正在做,但是如果我看一下顺序,就像将文件移入或移出本地Dropbox/文件夹时,首先他们与自己的地址块进行通信,然后根据需要使用AWS进行批量传输。

因为他们将AWS用于我看到的大多数字节,我不确定您是否可以仅使用地址块轻松地限制它们;但是,至少在今天,它们可以被ACL阻止。

以下是摘要,请参阅下面的所有支持的Syslog信息...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674


由于Dropbox动态使用AWS地址空间,因此无法有效地限制它们,但是我将以Dropbox的地址空间为例,为您提供其他非AWS网站/应用程序的示例...您还需要为您的“内部”地址块定义一个object-group(仅供参考,我正在使用ASA 8.2)...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE


我使用此技术来限制带宽到许多社交网站(例如Facebook),并且非常有效。我自动进行了地址块更改的定期检查,并添加了目标开始发布的任何其他信息...当然,不需要自动化。


支持Syslog信息

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs


评论


您是否认为保管箱服务始终映射到相同的AWS服务器?由于它是“云”,因此它似乎总是会改变,因此将IP阻止给警察可能无法正常工作。

–布雷克
13年6月27日在22:41

我下班回家后更新了答案...您可以阻止他们,因为他们似乎使用自己的IP块进行“控制”连接...我的测试表明他们使用AWS进行批量数据传输,因此看起来很难扼杀他们。

–迈克·彭宁顿
13年6月28日在4:05