内容过滤技术详解

【51CTO.com 独家翻译】要回答这个问题，让我带你回顾一下历史，赶快跟我来！就如我们今天知道的WWW来说吧，它已经发展到超出internet的范围了，与它最初的设想已经有很大不同了，是的，信息和文件交换仍然发生在它上面，但是已经有相当大的不同了！实际上WWW比电子邮件要更晚发展，自然地，安全问题和解决方案也在发展，它们是站在同一起跑线上的，我们已经开始用杀毒软件和垃圾邮件过滤器等来检查电子邮件的内容，为了管理有害的电子邮件带来的麻烦事情，我们逐渐将它们与电子邮件内容过滤建立其关联，最近类似的局面也出现了，当我们访问WWW时，我们要用web内容过滤来保护我们自己。

实际上内容发生在两个层面：网络和应用程序。路由器被放置在多个网络之间，防火墙被设置为确保连接象希望的那样发生，与应用程序层类似，代理服务器被创建用于不同应用程序和内容过滤以确保内容是可接受的，甚至在技术上宣称防火墙有两种类型 – 网络层和应用程序层，这应该是一个准确的说法。从安全远景来看这两种防火墙都是需要的并且它们各自完成不同的工作，我们将马上谈到它。

当用户和他们的应用程序访问WWW时，内容过滤帮助阻止滥用、错用和其他任何安全破坏，违反常理的是内容过滤本身是一个滥用的术语，引起大量的混淆，简单地说，它意味着定义“什么会被允许或者什么会被拒绝访问”。

传统的内容过滤允许你定义 – 这个“什么”，用一套web站点地址来定义。而现代内容过滤软件或一个应用层防火墙 – 如SafeAquid（http://www.safesquid.com/），允许你更全面地定义这个“什么”，当然就包括站点地址了，需要依据上下文来放松或应用规则。

因此“什么”的定义需要写入更多的术语中，不在仅仅是web站点地址了，这个“什么”能定义在内容的真实术语中，并且这个定义不一定非得限制web站点地址。

每个代理服务器基本上可以看做是一个应用层防火墙（ALF），在ALF中的各种过滤器是通过一个全局规则（允许或拒绝）来独立控制的，在ALF的配置中可以设置一些例外规则来满足商业部署的需要，每一个过滤器地址指出了内容的方向，这和网络层防火墙（NLF）的本质是非常相似的，简单地说，NLF不过是允许或拒绝在源或目标地址以及端口上的连接，不过经过改进的产品允许使用协议作为参数，此外还有其他元素如时间，通过分析恶意软件的内容（数据包），通过归档传输的数据包，杀毒软件或类似的其他技术可以得到更高的安全性。无论如何ALF的首要功能就是对内容的检查，一些NLF作为附加的特色也提供这些功能，因为从TCO的角度它让NLF更有用和有趣。

现代应用层防火墙有一套更广泛的独特的过滤器和方法让你全面取得资源的访问和内容控制权，通过使用许多过滤器来完成这个目标，每个服务都有其特殊用途，用这些过滤器加上不同参数对内容进行实时分析，然后采取合适的动作，而一些不需要被真实下载的内容可以采取任何动作。
目前几乎所有现代ALF最低限度地提供了对通过的内容进行病毒扫描，而且可以想杀毒网关那样良好地传递数据，但是一个典型的HTTP应用程序是由许多独立的或内联的元素组成的，一个特定的过滤器标识一个特定的元素，一些ALF如SafeSquid允许你设计规则来定义策略，那些常用的适用性好的元素被描述出来，然后它们成为过滤器的主体部分，这些过滤器可以是静态的也可以是动态的，这儿有一些非常重要的过滤器，它们都有特定的功能，注意这些功能与限制参数直接关联的。

*访问限制允许或决绝一个用户的访问，并创建一个配置文件。
基本限制参数：用户名，ip地址。

*提供额外的权限，类似：
◆对一个或更多过滤器进行全盘忽略
◆基于GUI访问浏览器
◆任何其他权限用户必须总是（唯一）享有

*URL过滤器允许或拒绝从一个特定的URL访问内容
基本限制参数：主机名，ip地址，文件名

*URL黑名单允许或拒绝从一个特定范畴的web站点列表访问内容
基本限制参数：范畴

*MIME过滤器允许或拒绝一个特定内容类型的访问
基本限制参数：MIME类型，文件扩展名

*Cookie过滤器允许或拒绝从一个特定的域交互Cookie
基本限制参数：Cookie的域属性，路径属性，过期时间（年，月，时，分），方向属性（入站，出站）

*关键字过滤器拒绝访问包括不接受的单词或短语的web站点
基本限制参数：单词和短语的样本

*文档重新替换或修改web页面不接受的部分
基本限制参数：将被替换的内容样本，替换内容的样本

*图像过滤器拒绝访问色情图片
基本限制参数：图像可能被当作色情图片的阀值概率

*DNS黑名单拒绝从不诚实的服务器访问内容
基本限制参数：ip地址（报告每一个不诚实的范畴）

【51CTO.COM 独家翻译，转载请注明出处及作者！】