Answers:
将您的防火墙更新为知道应用程序的防火墙(这些天通常称为“下一代防火墙”)。帕洛阿尔托网络公司就是一个很好的例子。无需打开防火墙到基于IP的目标,您就可以使用应用程序“ Dropbox”,而不关心目标。您还可以在Dropbox上放置一些QoS。例如,您可以创建QoS策略,使Dropbox的最大带宽为5 mbps。
许多其他防火墙供应商也提出了与Palo Alto Networks之一类似的解决方案。我知道Juniper SRX和Checkpoint现在就做,尽管不确定Cisco。重要的是,您的防火墙可以理解应用程序(在第7层上),而不是第3层。
即使Dropbox使用AWS,也可以将其阻止...
我对这类东西使用基于地址的方法,只是查找表示公司拥有的地址块并对其进行过滤...
使用AS19679(Dropbox)的Robtex信息来阻止保管箱...
object-group network DROPBOX_AS19679
network-object 108.160.160.0 255.255.240.0
network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log
仅供参考,Dropbox支持通过http代理进行连接,因此,如果您的代理不在上述ACL的路径中,请确保您也阻止了代理上的dropbox。
下班回家后,我做了一些研究……当我测试时,Dropbox结合使用了它们自己的本机地址空间和AWS地址空间进行连接。
Dropbox使用SSL,因此很难确切说明他们在做什么,但是如果我看一下序列,就像将文件移入或移出本地Dropbox/文件夹时,首先他们要与自己的地址块通信,然后再使用AWS用于按要求进行批量转移。
由于他们在我看到的大多数字节中都使用AWS,因此我不确定您是否可以仅使用地址块轻松限制它们;因此,但是,至少在今天,它们可以被ACL阻止。
以下是摘要,有关所有支持的Syslog信息,请参见下文...
Time Action Connection No. Destination ASA Bytes
-------- ------------------- -------------- ------------ ---------
22:26:51 Delete-dropbox-file 591637 Dropbox 6965
22:26:51 " 591638 Dropbox 11590
22:28:46 Paste-into-dropbox 591738 Dropbox 7317
22:28:46 " 591741 AWS 2422218
22:28:46 " 591788 Dropbox 7674
由于Dropbox动态使用AWS地址空间,因此无法有效地限制它们,但是我将以Dropbox的地址空间为例,为您提供其他非AWS网站/应用程序的示例...您还需要object-group为您的“内部”地址块定义一个(仅供参考,我正在使用ASA 8.2)...
access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
match access-list ACL_Dropbox
!
policy-map Policy_Police
class Class_Dropbox
police input 384000
police output 384000
class class-default
!
service-policy Policy_Police interface INSIDE
我使用这种技术来限制许多社交网站(例如Facebook)的带宽,并且非常有效。我自动进行了地址块更改的定期检查,并添加了目标开始宣布的其他内容……当然,不需要自动化。
支持的系统日志信息
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs