هل يمكن للـ ASA

غلق مواقع معينة او تصنيف لمواقع مثل الـ TMG

يمكن جدااا وذلك بطرق عديده سأذكر لك اهمها
1- اذا كنت تريد تطبيق هذا على نطاق واسع فيجب ان تستخدم external server لعمل url-filtering و اشهر نوعان اعرفهم هم :-
Websense Enterprise—filters HTTP, HTTPS, and FTP

or

Secure Computing SmartFilter, formerly known as N2H2—filters HTTP, HTTPS, FTP, and long URL filtering.

و سمعت ان هذا السيرفر يتطلب تجهيزة تكلفة عاليه
و من مميزات ان تستخدم external server انه لن يوثر على ال cpu مثل الحل التالى
و ايضا يوجد عليه تصنيفات للمواقع المختلفه فمثلا عندك تصنيف لجميع المواقع الاجتماعيه و تصنيف اخر للمواقع التجارية و تصنيف للمواقع الاباحيه , فيمكنك فلترة اى نوع من هذه التصنيفات

https://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008088517b.sht ml

2- هذه هى الطريقة العاديه سهله التطبيق فاذا كنت ترغب فى اغلاق عده مواقع فقط فهذا طبعا هو الحل المناسب
سوف تقوم باستخدام ال MPF او ال modular policy framework حيث ستقوم بعمل class map layer 7 و تققوم بعمل match لهذه المواقع باستخدام ال regex و تقوم بمنع هذه الترافيك
قد تجد الطريقة معقده اذا لم تكن تجيد التعامل مع ال asa جيدا

جزاك الله خيرا مشرفنا الكريم ونفعنا الله واياك

حقيقة انا جديد فى التعامل معه ، حاليا بعمل تصميم لشركة وبفكر فى شراء

Hardware Firewall وطبعا فكرت فى الـــ ASA

وعايزة يكون سهل التعامل وقوى وله دعم فنى

لأني خايف اعتمد على الــ TMG فى شبكة كبيرة بها
Exchange , AD , SQL , SharePoint وفروع

وفى نفس الوقت انت عارف اخى شريف مرونة ااــ TMG فى الإدارة

وعندى اسبوع مكثف للعمل على اختيار الفايروول يمكننى ان اتعلم فيه الـ ASA ان ساعدتنى فى المادة العلمية


فنصيحتك ؟

يمكن جدااا وذلك بطرق عديده سأذكر لك اهمها
1- اذا كنت تريد تطبيق هذا على نطاق واسع فيجب ان تستخدم external server لعمل url-filtering و اشهر نوعان اعرفهم هم :-
Websense Enterprise—filters HTTP, HTTPS, and FTP

or

Secure Computing SmartFilter, formerly known as N2H2—filters HTTP, HTTPS, FTP, and long URL filtering.

و سمعت ان هذا السيرفر يتطلب تجهيزة تكلفة عاليه
و من مميزات ان تستخدم external server انه لن يوثر على ال cpu مثل الحل التالى
و ايضا يوجد عليه تصنيفات للمواقع المختلفه فمثلا عندك تصنيف لجميع المواقع الاجتماعيه و تصنيف اخر للمواقع التجارية و تصنيف للمواقع الاباحيه , فيمكنك فلترة اى نوع من هذه التصنيفات

https://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008088517b.sht ml

2- هذه هى الطريقة العاديه سهله التطبيق فاذا كنت ترغب فى اغلاق عده مواقع فقط فهذا طبعا هو الحل المناسب
سوف تقوم باستخدام ال MPF او ال modular policy framework حيث ستقوم بعمل class map layer 7 و تققوم بعمل match لهذه المواقع باستخدام ال regex و تقوم بمنع هذه الترافيك
قد تجد الطريقة معقده اذا لم تكن تجيد التعامل مع ال asa جيدا



ياباشمهندس لو ممكن تعمل لينا لا ب لهذا الموضوع لانو هام جدا

مثل ماتفضل الأخ شريف يمكن لكن من الخطأ ولايستحسن تنفيذ حجب للمواقع من خلال الجدار الناري الخاص بالهاردوير ويفضل دائما السوفتوير أو الـ TMG لتنفيذ مثل هذا الأمر وعلى فكرة يمكن للروتر أيضا عمل حجب للمواقع وليس الـ ASA
اطلع على هذا الموضوع فيه بعض الأفكار حول هذا الأمر https://www.arabhardware.net/forum/showthread.php?t=187560
النقطة الثانية لو فعلا تريد شراء جدار ناري فعال وقوي أطلع على حلول جونيبر فهي جيدة جدا ومعروفة عند الجميع وله واجهة رسومية لتسهيل عملية الأعداد والتشغيل.
النقطة الثالثة لو في حال كانت شركة كبيرة فالأفصل ان يكون لديك جداران ناريان سوفت وير وهاردوير

وعندى اسبوع مكثف للعمل على اختيار الفايروول يمكننى ان اتعلم فيه الـ ASA ان ساعدتنى فى المادة العلمية


فنصيحتك ؟

لو انت ناوى على ال ASA فالامر ليس سهل و يحتاج الكثير من القراءه يوجد كتب كثيرة تشرح ال asa بالتفصيل و هناك فديوهات من منهج ccsp ماده ال snaf و ماده ال SNAA انصحك بالفديوهات بتاعه snaa من شرح جيرمى من شركة cbt nugget بصراحه شرح فى قمة الروعه

هذا الرابط ستجد به كتب لماده ال snaf - secure network with asa foundation
https://www.careercert.info/2009/12/ccsp-snaf-642-524.html

هذا الرابط ستجد به كتب لماده ال snaa - secure network with asa advanced
https://www.careercert.info/2009/12/ccsp-snaa-642-515.html

انصحك بالاتى اذا كنت تنوى ان تستخدم ال asa لمهام ال firewalling فقط اى لا تستخدمه فى انهاء vpn tunnel فيمكنك ان تركز على هذه العناوين فقط و تقراها سريعا
nat - acl - connection and translation - Controlling Traffic: Cisco Modular Policy Framework - protocols inspection

ستجد شرح لهذه المواضيع فى ال snaa و ال snaf و لكن الفرق بين ال snaa و ال snaf ان ال snaa بها مواضيع متقدمه فى ال vpn و ال advanced protocol inspection

انصحك بشده بشرح جيرمى فهو رائع ستجده فى رابط ال snaa
و لو اردت بعض الاطلاع السريع يمكنك ان تقرأ كتاب student guide بتاع ال snaf

و كما قال لك اخى ايمن اطلع على حلول شبكات اخرى
واخيرا اذا وجدت امامك امر لم تفهمه اخبرنى و ساحاول مساعدتك بقدر معرفتى




النقطة الثالثة لو في حال كانت شركة كبيرة فالأفصل ان يكون لديك جداران ناريان سوفت وير وهاردوير
نعم معظم الشركات و الموسسات الكبيرة لا تكتفى بخط دفاع واحد بل تطبق ما يسمى defence-in-depth و هو الاعتماد على اكثر من حل فى نفس الوقت

السلام عليكم ورحمة الله وبركاته

بسمع عن الشركة ديه عندها مفهوم جديد عن ال firewall
https://www.paloaltonetworks.com/

https://www.paloaltonetworks.com/solutions/url-filtering.html
https://www.paloaltonetworks.com/products/whats-new.html

اللهم اجزى كل من ساعدني خيرا

بارك الله فيك يااخى

الحقيقة انا وجت فايروول فى السوق ممتاز جدا من ناحية التعامل معه وإدارته وهو
https://www.cyberoam.com

حقيقة ممتاز ، ولى صديق فى شركة مجربه