คุณเร่งปริมาณการใช้งาน Dropbox อย่างไร


10

ดูเหมือนว่า Dropbox ใช้ Amazon AWS เพราะเป็นที่เก็บข้อมูลดังนั้นฉันจึงไม่สามารถบล็อกหรือทราฟฟิกทราฟฟิกไปยัง dropbox.com ได้

เนื่องจากมีบริการบนเว็บมากมายที่พึ่งพา AmazonAWS ฉันจึงไม่สามารถบล็อกโดเมนนั้นได้

คุณมีข้อเสนอแนะเกี่ยวกับวิธีจัดการปริมาณการใช้งานของดรอปบ็อกซ์หรือไม่?

ฉันทำงานจาก cisco ASA แต่ฉันสงสัยว่าสิ่งนี้ใช้ได้กับตัวจัดการไฟร์วอลล์ทั้งหมด


3
ASA รุ่นใด รุ่นที่ 1 หรือรุ่นที่ 2 ที่มีความสามารถของ CX?
Generalnetworkerror

คำตอบ:


4

อัปเดตไฟร์วอลล์ของคุณเป็นโปรแกรมที่รู้จักแอปพลิเคชัน (ปกติเรียกว่า "ไฟร์วอลล์รุ่นต่อไป" ในปัจจุบัน) Palo Alto Networks เป็นตัวอย่างที่ดี แทนที่จะเปิดไฟร์วอลล์ของคุณไปยังปลายทางที่ใช้ IP คุณอนุญาตแอปพลิเคชัน "Dropbox" และไม่สนใจปลายทาง คุณสามารถวาง QoS ไว้บน Dropbox ได้เช่นกัน ตัวอย่างเช่นคุณสามารถสร้างนโยบาย QoS ที่ให้แบนด์วิดท์ Dropbox สูงสุด 5 mbps

ผู้จำหน่ายไฟร์วอลล์รายอื่น ๆ จำนวนมากได้คิดค้นวิธีแก้ไขปัญหาที่คล้ายคลึงกับหนึ่งใน Palo Alto Networks ฉันรู้ว่า Juniper SRX และ Checkpoint ทำทันที แต่ไม่แน่ใจเกี่ยวกับ Cisco สิ่งสำคัญคือไฟร์วอลล์ของคุณเข้าใจแอปพลิเคชั่น (บนเลเยอร์ 7) กับเลเยอร์เพียง 3/4 เท่านั้น


ขอบคุณ แม้ว่าฉันหวังว่าจะไม่ใช่คำตอบ ดูเหมือนว่า ASA จะออกมาพร้อมกับซีรีย์ X ของพวกเขาซึ่งมีเกียร์มากขึ้นไปสู่เลเยอร์ด้านบน แต่นั่นอาจจะเกี่ยวข้องกับ $$$ เพิ่มเติมฉันหวังว่าเราจะสามารถอัพเกรดฝูงบินของอุปกรณ์แทนที่จะทดสอบฮาร์ดแวร์ใหม่และเรียนรู้ซอฟต์แวร์ใหม่ตามลำดับ เพื่อรองรับเทคโนโลยีใหม่บนอินเทอร์เน็ต
Blake

13

แม้ว่า dropbox จะใช้ AWS แต่ก็สามารถบล็อกได้ ...

การบล็อก Dropbox

ฉันใช้วิธีการตามที่อยู่สำหรับสิ่งต่างๆเช่นนี้เพียงค้นหาบล็อคที่อยู่ที่ บริษัท กล่าวว่าเป็นเจ้าของและกรอง ...

การใช้ข้อมูล Robtex สำหรับ AS19679 (Dropbox)เพื่อบล็อก dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI, Dropbox รองรับการเชื่อมต่อผ่านพร็อกซี httpดังนั้นหากพร็อกซีของคุณไม่ได้อยู่ในเส้นทางของ ACL ด้านบนตรวจสอบให้แน่ใจว่าคุณบล็อก dropbox บนพร็อกซีของคุณด้วย

การควบคุมปริมาณ Dropbox

ฉันทำงานวิจัยบางอย่างหลังจากกลับถึงบ้านจากที่ทำงาน ... เมื่อฉันทดสอบ Dropbox ใช้การผสมผสานพื้นที่ที่อยู่ดั้งเดิมของตนเองและพื้นที่ที่อยู่ AWS สำหรับการเชื่อมต่อ

Dropbox ใช้ SSL ดังนั้นจึงเป็นการยากที่จะบอกว่าพวกเขากำลังทำอะไร แต่ถ้าฉันดูที่การเรียงลำดับดูเหมือนว่าเมื่อคุณย้ายไฟล์เข้าหรือออกจากDropbox/โฟลเดอร์ในเครื่องของคุณก่อนอื่นพวกเขาจะพูดคุยกับบล็อกที่อยู่ของพวกเขาเอง สำหรับการถ่ายโอนจำนวนมากตามที่ต้องการ

เนื่องจากพวกเขาใช้ AWS สำหรับไบต์ส่วนใหญ่ที่ฉันเห็นฉันไม่มั่นใจว่าคุณสามารถเค้นพวกเขาได้อย่างง่ายดายโดยใช้บล็อกที่อยู่คนเดียว อย่างไรก็ตามอย่างน้อยวันนี้พวกเขาสามารถถูกบล็อกด้วย ACL

ต่อไปนี้เป็นข้อมูลสรุปดูด้านล่างสำหรับข้อมูลสนับสนุน Syslogทั้งหมด...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

เนื่องจาก Dropbox ใช้พื้นที่ที่อยู่ AWS แบบไดนามิกพวกเขาไม่สามารถควบคุมปริมาณได้อย่างมีประสิทธิภาพ แต่ฉันจะยกตัวอย่างสิ่งที่คุณจะทำกับไซต์ / แอปพลิเคชันอื่น ๆ ที่ไม่ใช่ AWSโดยใช้พื้นที่ที่อยู่ของ Dropbox เป็นตัวอย่าง ... เพื่อกำหนดobject-groupบล็อกที่อยู่ "ภายใน" ของคุณ (FYI ฉันใช้ ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

ฉันใช้เทคนิคนี้เพื่อ จำกัด ความเร็วแบนด์วิดท์ให้กับเว็บไซต์เครือข่ายสังคมออนไลน์ (เช่น Facebook) และมีประสิทธิภาพมาก ฉันตรวจสอบการเปลี่ยนแปลงบล็อคที่อยู่เป็นระยะโดยอัตโนมัติและเพิ่มสิ่งอื่นใดที่เป้าหมายเริ่มประกาศ ... การทำงานอัตโนมัติไม่จำเป็นต้องใช้


สนับสนุนข้อมูล Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs

คุณคิดว่าบริการดรอปบ็อกซ์จะจับคู่กับเซิร์ฟเวอร์ AWS เดียวกันเสมอหรือไม่ ดูเหมือนว่ามันจะเปลี่ยนไปตลอดเวลาเพราะมันเป็น "คลาวด์" ดังนั้นการบล็อกไอพีของตำรวจให้กับตำรวจอาจไม่ทำงาน
เบลค

1
ฉันอัปเดตคำตอบของฉันหลังจากที่ฉันกลับบ้านจากที่ทำงาน ... คุณสามารถบล็อกพวกเขาเนื่องจากพวกเขาดูเหมือนจะใช้บล็อก IP ของตัวเองสำหรับการเชื่อมต่อ "ควบคุม" ... การทดสอบของฉันแสดงให้เห็นว่าพวกเขาใช้ AWS สำหรับการถ่ายโอนข้อมูลจำนวนมาก มันคงยากที่จะเค้นพวกเขา
Mike Pennington
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.