内容过滤,正在成为越来越热门的话题。据IDC的分析统计预测,作为安全领域的一个重要分支,到2007年,内容安全市场的市值将达到65亿美元。
内容过滤就是在网络的不同地点部署访问策略,通过一定的技术手段,根据对内容合法性的判断来禁止用户访问不良内容。家长不想让孩子沉溺在网络游戏当中;老板不希望员工在上班时间浏览娱乐新闻;政府不允许任何人传播浏览反动和色情信息,这些需求都在内容过滤的范畴之内。
个人电脑内容过滤
每个人都或多或少有一些使用IE的经验,但是有多少人注意和使用过IE的“内容分级审查”功能呢?我们可以通过“工具\Internet选项\内容\分级审查\允许”开启这项功能。
内容分级审查是根据互联网内容分级联盟(ICRA)提供的内容分级标准,来允许或禁止访问某些不良的网站。内容分级审查功能本来可以让家长很好地控制孩子的上网,但是非常遗憾,并不是所有的网站都遵守ICRA规范,也就是说这个分级标准并不是放之四海皆准的,它从一开始就成了IE的摆设。
除了IE自带的内容过滤功能,市场上还有一些需要安装在上网电脑终端的内容过滤软件,常见的有SurfControl Cyber Patrol、国内的蓝眼睛、过滤王等等。这些软件可以在一定程度上控制孩子访问色情、游戏等不良网站,比较适合家庭单机使用。
企业网络内容过滤
在每一个互联网访问的网络边缘(企业/学校网络边缘、网吧网络出口),都可以部署内容过滤工具。这些工具一般是分析网络数据流中包含的HTTP数据包,对数据包头中的IP地址、URL、文件名、HTTP methods进行访问控制。
在网络边缘的内容过滤产品有两种表现方式:旁路式(Passby)和穿透式(Passthrough)。旁路式内容过滤产品是独立的,它监听网络上所有信息,并有选择的对基于TCP 的连接(如HTTP/HTTPS/FTP/TELNET/POP3/SMTP等)进行阻断。旁路式过滤的原理基于TCP的连接性:跟踪所有TCP连接,阻断时以服务器身份向客户端发送HTTP FIN PUSHACK,同时以客户端身份向服务器发送HTTP RST。一般情况下,旁路式内容过滤产品可以快速部署,对网络运行不存在影响和风险。穿透式内容过滤产品依赖于其他网络边缘处的基础平台,如Microsoft ISA、Cisco Cache Engine、Blue Coat ProxySG、Netscreen Firewall等。穿透式内容过滤产品根据这些网络边缘接入基础平台的访问请求,作出允许或禁止的判断,然后由这些平台执行过滤的动作。
那么,内容过滤产品如何作出允许或禁止的判断呢?不同的厂商有着不同的解决方案。从理论上来讲,最理想的产品能够实时对网页内容进行分析,然后判断是否允许用户访问。例如,用户访问一个色情网站,内容过滤产品分析这个网站中页面的内容,发现其中包含了大量的色情词汇和图片信息,从而判断这是一个不良网站,需要进行过滤。这是一个理想的状态。但是,在具体的生产应用环境当中,实时分析网页内容并进行过滤是不现实的,这个问题主要体现在:对网页内容实时分析给用户浏览体验带来的延时是不可以接受的。对文字内容进行比较分析需要大量的计算资源,更不用说图片信息。试想一下每一个用户每点击一个链接都要等待数十秒钟,这还是比较好的情况。一般的企业网络内每秒钟都会有数个到数十个HTTP连接建立,这对实时的内容分析来说是不可完成的任务。
