您如何限制Dropbox流量？

#1 楼

将您的防火墙更新为知道应用程序的防火墙（这些天通常称为“下一代防火墙”）。帕洛阿尔托网络公司就是一个很好的例子。无需打开防火墙到基于IP的目的地，而是允许应用程序“ Dropbox”，而不关心目的地。您还可以在Dropbox上放置一些QoS。例如，您可以创建QoS策略，使Dropbox的最大带宽为5 mbps。

许多其他防火墙供应商也提出了与Palo Alto Networks之一类似的解决方案。我知道Juniper SRX和Checkpoint现在就做，尽管不确定Cisco。重要的是，您的防火墙可以理解应用程序（在第7层上），而不是第3层。

#2 楼

即使dropbox使用AWS，也可以将其阻止...

阻止Dropbox

我使用基于地址的方法来处理类似这样的事情，只需查找表示公司拥有并对其进行过滤...

使用AS19679（Dropbox）的Robtex信息来阻止保管箱...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI，Dropbox支持通过http代理进行连接，因此，如果您的代理不在上述ACL的路径中，请确保也阻止代理上的保管箱。

节流保管箱下班回家后进行研究...经过测试，Dropbox结合使用了它们自己的本机地址空间和AWS地址空间进行连接。他们正在做，但是如果我看一下顺序，就像将文件移入或移出本地Dropbox/文件夹时，首先他们与自己的地址块进行通信，然后根据需要使用AWS进行批量传输。

因为他们将AWS用于我看到的大多数字节，我不确定您是否可以仅使用地址块轻松地限制它们；但是，至少在今天，它们可以被ACL阻止。

以下是摘要，请参阅下面的所有支持的Syslog信息...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

由于Dropbox动态使用AWS地址空间，因此无法有效地限制它们，但是我将以Dropbox的地址空间为例，为您提供其他非AWS网站/应用程序的示例...您还需要为您的“内部”地址块定义一个object-group（仅供参考，我正在使用ASA 8.2）...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

我使用此技术来限制带宽到许多社交网站（例如Facebook），并且非常有效。我自动进行了地址块更改的定期检查，并添加了目标开始发布的任何其他信息...当然，不需要自动化。


支持Syslog信息

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs