Ciao a tutti,
Ho un asa 5505 e gli utenti non possono navigare su internet però devono andare solo su alcuni siti?
Come posso fare?
permettere solo alcuni siti su asa 5505
Moderatore: Federico.Lagni
-
rinux
- Cisco fan
- Messaggi: 71
- Iscritto il: mer 22 apr , 2009 4:20 pm
- Località: near Frosinone
Ciao,
verifica se puoi bloccare semplicemente a livello di IP o se vuoi lavorare a livello di nome; ti crei delle espressioni regolari e blocchi il traffico che non soddisfano queste regole; solo che tocca trovare tutti i siti del sottobosco (liveupdate del SO, AV, ecc. ecc)...
...forse qui puoi trovare qualche info utile:
http://www.cisco.com/en/US/products/ps6 ... 0c5a.shtml
http://www.cisco.com/en/US/products/ps6 ... e442.shtml
...tra l'altro puoi dotare l'ASA di ispettore esterno
http://www.cisco.com/en/US/products/hw/ ... 517b.shtml
73
Arturo
verifica se puoi bloccare semplicemente a livello di IP o se vuoi lavorare a livello di nome; ti crei delle espressioni regolari e blocchi il traffico che non soddisfano queste regole; solo che tocca trovare tutti i siti del sottobosco (liveupdate del SO, AV, ecc. ecc)...
...forse qui puoi trovare qualche info utile:
http://www.cisco.com/en/US/products/ps6 ... 0c5a.shtml
http://www.cisco.com/en/US/products/ps6 ... e442.shtml
...tra l'altro puoi dotare l'ASA di ispettore esterno
http://www.cisco.com/en/US/products/hw/ ... 517b.shtml
73
Arturo
There are 10 kinds of people in the world —
those who understand trinary, those who don't understand trinary and those who mistake it for binary.
those who understand trinary, those who don't understand trinary and those who mistake it for binary.
-
mssdnl
- Cisco fan
- Messaggi: 66
- Iscritto il: ven 03 ott , 2008 9:23 am
Ciao,
grazie della risposta questi documenti li avevo, se ti può interessare guarda questo link
https://supportforums.cisco.com/docs/DO ... cific_urls
qui puoi inserire i nomi dei siti permessi e non, l'ho provato e funziona...
Ciao
grazie della risposta questi documenti li avevo, se ti può interessare guarda questo link
https://supportforums.cisco.com/docs/DO ... cific_urls
qui puoi inserire i nomi dei siti permessi e non, l'ho provato e funziona...
Ciao
-
rinux
- Cisco fan
- Messaggi: 71
- Iscritto il: mer 22 apr , 2009 4:20 pm
- Località: near Frosinone
Credo che resti il problema del traffico https; probabilmente la strada più gestibile è quella di utilizzare un proxy (Squid & co) e fare li il controllo attivando sull'asa il WCCP per renderlo 'trasparente'.mssdnl ha scritto:puoi inserire i nomi dei siti permessi e non, l'ho provato e funziona...
Oppure puoi inserire una regola per bloccare il traffico DNS ed utilizzare servizi come OpenDNS; per utenti normali è sufficiente... ...se a questo metti un'autenticazione AAA della navigazione con utenti distinti responsabilizzi l'uso delle resorse internet e puoi risalire più facilmente ad eventuali abusi.
73
Arturo
There are 10 kinds of people in the world —
those who understand trinary, those who don't understand trinary and those who mistake it for binary.
those who understand trinary, those who don't understand trinary and those who mistake it for binary.
