Como posso bloquear determinado site no ASA 5520 Firewall?

Navegue suas respostas
1

Por favor, ajude-me a resolver o problema. Eu tenho o ASA 5520 series Firewall & Eu quero bloquear o site de consumo de alta largura de banda para obter um melhor desempenho para minha rede como: - • Eu quero bloquear todos os sites de pornografia. • Alguns sites de acordo com o cronograma. • Bloquear todo o bate-papo, mas permitir o Skype. Obrigado com gentileza.

    
por zelalem 29.03.2018 / 07:55

2 respostas

1

Sites de bloqueio

Bloquear sites não é algo que você gostaria de usar com um firewall.

Não me entenda mal, você pode, mas é uma dor na bunda para mantê-lo, porque não é isso que os firewalls devem fazer, você terá que atualizar manualmente sua configuração o tempo todo. O problema é que há quantidades INCRÍVEIS de pornografia e outros sites intensivos em tráfego, e a regex provou ser ruim para essa tarefa nas últimas duas décadas.

Então, em suma: possível, mas impraticável.

Oficialmente, a Cisco pode fazer isso com entradas regulares e de regex, aqui está o guia: link

A melhor maneira de fazer isso é fazer isso com um proxy transparente, como o Squid, que suporta listas negras em formato de texto. Também existem muitos fornecedores de listas negras mantidas on-line, que são, na maioria das vezes, classificadas em categorias de listas negras (por exemplo, "pornografia", "mídia social", etc.).

Alguns exemplos:

Aqui está um guia sobre como usar listas negras no squid: link

Guias gerais de instalação podem ser encontrados em toda a rede, um bom para a configuração de proxy transparente para o squid no CentOS / RHEL 7 está aqui: link

Isso requer muito trabalho, mas é mais eficiente a longo prazo.

método de pornografia fácil que não está sob seu controle

Se você quiser apenas bloquear conteúdo adulto, use o openDNS como servidor DNS (depois do DNS, é claro): link

Desvantagem: não sob o seu controle, apenas bloqueio pornográfico, intransparente para você.

Bloqueio de mensagens

O que você pode fazer com um firewall e / ou com um proxy, depende do mensageiro, alguns usam sistemas centralizados, alguns são descentralizados, outros usam portas fixas, outros não. É impossível escrever um guia geral para "bloquear todos os mensageiros, exceto o Skype", porque não apenas existem incontáveis números, mas também são configuráveis (também conhecidos como portas que eles usam, etc.). protocolos (como o XMPP).

    
por 29.03.2018 / 09:12
1

Embora você possa fazer muitas coisas com o Cisco ASA 5520, elas não estão incluídas no hardware e você não está fornecendo nenhuma especificação sobre seu licenciamento ou módulos. Você pode precisar de licenças adicionais para habilitar todos os contextos de segurança necessários, e pode ser difícil obter o ASA 5520 estes Fim da venda desde setembro de 2013 e Fim do novo anexo de serviço desde setembro de 2014. Como todo o suporte terminará em setembro de 2018, você não deve planejar novos recursos agora.

Além disso, você já mencionou três casos de uso diferentes, todos com abordagem diferente:

  • Bloqueia todos os sites de pornografia. Você precisa de filtragem de conteúdo da web por tipo de conteúdo. Isso significa que alguém precisa manter uma lista de sites e seu conteúdo. Isso não é um dispositivo, mas um serviço. Pode ser executado usando um dispositivo, mas o dispositivo precisa utilizar esse serviço.

    O recurso de filtragem de URL do ASA 5520 suporta apenas listas estáticas de preto / branco e suporte para Websense e Smartfilter; ambos os serviços comerciais externos.

  • Alguns sites de acordo com o agendamento. Possível com filtragem de URL. Fácil para HTTP, mas no HTTPS você só pode bloquear a conexão com base no DNS resolvido para o IP ou descriptografar o tráfego.

  • Bloqueia todo o bate-papo, mas permite o Skype. Isso também pode significar a filtragem do tipo de conteúdo, mas é mais provável que também bloqueie protocolos baseados em portas. Para este último, o seu ASA 5520 é uma ferramenta correta, mas muitos sistemas de comunicação hoje em dia utilizam métodos alternativos caindo na porta HTTPS 443 .

Sua principal preocupação é o consumo de largura de banda, a filtragem de conteúdo pode não ser a única abordagem. O ASA 5520 também tem recursos de QoS como policiamento de tráfego , traffic shaping e prioridade em fila . Ao lidar com a situação atual, mapeie seus requisitos para obter uma solução adequada de firewall / IDS / IPS / UTM com base em suas necessidades, pois é necessário substituir o equipamento EOL em breve.

    
por 29.03.2018 / 13:03

Tags

iniciar a Máquina virtual no host independente do ESXi Host 6.5 falha Os snapshots do EBS são excluídos quando o volume em si é excluído?