请帮我解决这个问题。我有 ASA 5520 系列防火墙,我想屏蔽高带宽消耗网站,以便我的网络获得更好的性能,例如:- • 我想屏蔽所有色情网站。 • 根据时间表屏蔽一些网站。 • 屏蔽所有聊天但允许 Skype。非常感谢。
答案1
屏蔽网站
您肯定不会想用防火墙来处理阻止网站的事情。
别误会我的意思,你可以这样做,但维护起来很麻烦,因为这不是防火墙的本意,你必须一直手动更新配置。问题是色情网站和其他流量密集型网站的数量惊人,而过去二十年来,正则表达式已被证明不适合完成这项任务。
简而言之:可能但不切实际。
正式地,思科可以使用正则表达式和手动输入来做到这一点,这里是指南: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100535-asa-8x-regex-config.html
更好的方法是使用透明代理,例如 Squid,它支持文本格式的黑名单。此外,网上有许多维护黑名单的提供商,这些黑名单大多按黑名单类别分类(例如“色情”、“社交媒体”等)。
一些例子:
以下是有关如何在 squid 中使用黑名单的指南: http://sharadchhetri.com/2014/03/20/squid-proxy-server-to-block-websites-listed-in-file/
通用安装指南可在网上找到,其中一个适用于 CentOS/RHEL 7 上 squid 透明代理配置的指南如下: http://broexperts.com/how-to-configure-squid-3-x-as-transparent-proxy-on-centos-7-rhel-7/
这当然需要大量的工作,但从长远来看效率更高。
简单的色情屏蔽方法不受你控制
如果您只是想屏蔽成人内容,请使用 openDNS 作为 DNS 服务器(当然是在您的 DNS 之后): https://www.opendns.com/home-internet-security/#family
缺点:不受您的控制,仅阻止色情内容,对您不透明。
屏蔽通讯应用
您可以使用防火墙和/或代理来实现这一点,这取决于即时通讯程序,有些使用集中式系统,有些是分散式系统,有些使用固定端口,有些则不使用。不可能编写一个通用指南来“阻止除 Skype 之外的所有即时通讯程序”,因为它们不仅数量众多,而且它们是可配置的(即它们使用哪些端口等),因此您基本上需要数据包检查来阻止某些协议(例如 XMPP)。
答案2
虽然您可以使用 Cisco ASA 5520 做很多事情,但它们并未捆绑到硬件中,并且您没有提供有关许可或模块的任何规范。您可能需要额外的许可证才能启用所有安全上下文需要,而且可能很难获得,例如 ASA 5520已 终止销售自 2013 年 9 月以来新服务附件结束自 2014 年 9 月起。由于所有支持将于 2018 年 9 月结束,因此您现在不应计划任何新功能。
此外,您已经提到了三种不同的用例,它们都需要不同的方法:
屏蔽所有色情网站。您需要按内容类型过滤网页内容。这意味着有人必须保存网站及其内容的列表。这不是设备,而是一项服务。可以使用设备执行此操作,但设备需要利用此类服务。
ASA 5520URL 过滤功能仅支持静态黑/白名单,并支持 Websense 和 Smartfilter;两者都是外部商业服务。
一些网站按照时间表进行。可以通过 URL 过滤来实现。对于 HTTP 来说很容易,但对于 HTTPS,您只能根据 DNS 解析 IP 来阻止连接,或者解密流量。
阻止所有聊天但允许 Skype。这可能意味着内容类型过滤,但更可能意味着基于端口阻止协议。对于后者,您的 ASA 5520 是一个正确的工具,但如今许多通信系统使用基于 HTTPS 端口的替代方法
443
。
您主要担心的是带宽消耗,内容过滤可能不是唯一的方法。ASA 5520 还具有QoS 功能喜欢流量监管,流量整形和优先级排队. 在处理当前情况的同时,请映射您的需求,以便根据您的需求获得合适的防火墙 /IDS/IPS/UTM 解决方案,因为您很快就需要更换 EOL 设备。