Dropbox AWS kullansa da engellenebilir ...
Dropbox'ı Engelleme
Böyle şeyler için adres tabanlı bir yaklaşım kullanıyorum, sadece şirketin sahip olduğu adres bloklarına bakın ve filtreleyin ...
Dropbox'ı engellemek için AS19679 (Dropbox) için Robtex bilgilerini kullanma ...
object-group network DROPBOX_AS19679
network-object 108.160.160.0 255.255.240.0
network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log
FYI, Dropbox http proxy üzerinden bağlanmayı destekler , bu nedenle proxy'niz yukarıdaki ACL yolunda değilse, proxy'nizdeki dropbox'ı da engellediğinizden emin olun.
Kısma Dropbox
İşten eve döndükten sonra biraz araştırma yaptım ... Test ettiğimde, Dropbox bağlantılar için kendi yerel adres alanı ve AWS adres alanının bir kombinasyonunu kullanıyor.
Dropbox SSL kullandı, bu yüzden tam olarak ne yaptıklarını söylemek zor oldu, ancak sıralamaya bakarsam, bir dosyayı yerel Dropbox/
klasörünüzün içine veya dışına taşıdığınızda benziyor , önce kendi adres bloklarıyla konuşuyorlar, sonra AWS kullanıyorlar gerektiğinde toplu transfer için.
Gördüğüm baytların çoğu için AWS kullandıklarından, adres adreslerini kullanarak bunları kolayca kısabileceğinizden emin değilim; ancak, en azından bugün ACL'lerle engellenebilirler.
Aşağıda bir özet verilmektedir, tüm Destekleyen Sistem Günlüğü Bilgileri için aşağıya bakın ...
Time Action Connection No. Destination ASA Bytes
-------- ------------------- -------------- ------------ ---------
22:26:51 Delete-dropbox-file 591637 Dropbox 6965
22:26:51 " 591638 Dropbox 11590
22:28:46 Paste-into-dropbox 591738 Dropbox 7317
22:28:46 " 591741 AWS 2422218
22:28:46 " 591788 Dropbox 7674
Dropbox dinamik olarak AWS adres alanını kullandığından, etkili bir şekilde kısıtlanamazlar, ancak Dropbox'ın adres alanını örnek olarak kullanarak AWS dışındaki diğer siteler / uygulamalar için ne yapacağınıza bir örnek vereceğim ... object-group
"İç" adres bloklarınız için bir tanımlamak için (FYI, ASA 8.2 kullanıyorum) ...
access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
match access-list ACL_Dropbox
!
policy-map Policy_Police
class Class_Dropbox
police input 384000
police output 384000
class class-default
!
service-policy Policy_Police interface INSIDE
Bu tekniği, bir dizi sosyal ağ sitesine (Facebook gibi) bant genişliğini azaltmak için kullanıyorum ve oldukça etkili. Adres bloğu değişiklikleri için periyodik kontrolleri otomatikleştirdim ve hedeflerin duyurmaya başladığı başka bir şey ekledim ... elbette otomasyon gerekli değildir.
Syslog Bilgilerini Destekleme
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs