Dropbox 似乎使用 Amazon AWS 进行存储,因此我无法阻止或限制到 dropbox.com 的流量
由于有很多 Web 服务依赖于 AmazonAWS,因此我不能仅仅阻止该域。
您对如何处理 Dropbox 流量有什么建议吗?
我在 cisco ASA 工作,但我怀疑这适用于所有防火墙管理器
您如何限制 Dropbox 流量?
网络工程
思科
服务质量
安全
思科
防火墙
2021-07-08 20:18:30
2个回答
即使 Dropbox 使用 AWS,它们也可以被阻止......
阻止 Dropbox
我对这样的东西使用基于地址的方法,只需查找该公司拥有的地址块并对其进行过滤...
使用AS19679 (Dropbox) 的 Robtex 信息来阻止 Dropbox...
object-group network DROPBOX_AS19679
network-object 108.160.160.0 255.255.240.0
network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log
仅供参考,Dropbox 支持通过 http 代理连接,因此如果您的代理不在上述 ACL 的路径中,请确保您也在代理上阻止 dropbox。
限制 Dropbox
下班回家后我做了一些研究……当我测试时,Dropbox 使用他们自己的本地地址空间和 AWS 地址空间的组合进行连接。
Dropbox 使用 SSL,所以很难确切地说出他们在做什么,但是如果我查看排序,当您将文件移入或移出本地Dropbox/文件夹时,它们首先与自己的地址块通信,然后使用 AWS根据需要进行批量传输。
由于他们使用 AWS 处理我看到的大部分字节,我不相信您可以单独使用地址块轻松限制它们;但是,至少在今天,它们可以被 ACL 阻止。
以下是总结,所有支持的系统日志信息见下文...
Time Action Connection No. Destination ASA Bytes
-------- ------------------- -------------- ------------ ---------
22:26:51 Delete-dropbox-file 591637 Dropbox 6965
22:26:51 " 591638 Dropbox 11590
22:28:46 Paste-into-dropbox 591738 Dropbox 7317
22:28:46 " 591741 AWS 2422218
22:28:46 " 591788 Dropbox 7674
由于 Dropbox 动态使用 AWS 地址空间,因此无法对其进行有效节流,但我将举例说明您将对其他非 AWS 站点/应用程序执行的操作,以 Dropbox 的地址空间为例……您还需要object-group为您的“内部”地址块定义一个(仅供参考,我使用的是 ASA 8.2)...
access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
match access-list ACL_Dropbox
!
policy-map Policy_Police
class Class_Dropbox
police input 384000
police output 384000
class class-default
!
service-policy Policy_Police interface INSIDE
我使用这种技术来限制许多社交网站(例如 Facebook)的带宽,并且非常有效。我自动定期检查地址块更改并添加目标开始宣布的任何其他内容……当然,不需要自动化。
支持系统日志信息
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
将您的防火墙更新为了解应用程序的防火墙(现在通常称为“下一代防火墙”)。Palo Alto Networks 就是一个很好的例子。不是将防火墙打开到基于 IP 的目的地,而是允许应用程序“Dropbox”而不关心目的地。您还可以在 Dropbox 之上添加一些 QoS。例如,您可以创建一个 QoS 策略,为 Dropbox 提供最大 5 mbps 的带宽。
许多其他防火墙供应商已经提出了与 Palo Alto Networks 之一类似的解决方案。我知道瞻博网络 SRX 和 Checkpoint 现在这样做了,但不确定 Cisco。重要的是您的防火墙理解应用程序(在第 7 层)而不是仅仅理解第 3/4 层。
其它你可能感兴趣的问题