網(wǎng)絡(luò)過濾技術(shù)宣傳介紹
內(nèi)容過濾,,正在成為越來越熱門的話題,。據(jù)IDC的分析統(tǒng)計(jì)預(yù)測(cè),,作為安全領(lǐng)域的一個(gè)重要分支,,到2007年,,內(nèi)容安全市場(chǎng)的市值將達(dá)到65億美元,。
內(nèi)容過濾就是在網(wǎng)絡(luò)的不同地點(diǎn)部署訪問策略,,通過一定的技術(shù)手段,根據(jù)對(duì)內(nèi)容合法性的判斷來禁止用戶訪問不良內(nèi)容,。家長(zhǎng)不想讓孩子沉溺在網(wǎng)絡(luò)游戲當(dāng)中;老板不希望員工在上班時(shí)間瀏覽娛樂新聞;政府不允許任何人傳播瀏覽反動(dòng)和色情信息,,這些需求都在內(nèi)容過濾的范疇之內(nèi)。
個(gè)人電腦內(nèi)容過濾
每個(gè)人都或多或少有一些使用IE的經(jīng)驗(yàn),,但是有多少人注意和使用過IE的“內(nèi)容分級(jí)審查”功能呢?我們可以通過“工具Internet選項(xiàng)內(nèi)容分級(jí)審查允許”開啟這項(xiàng)功能,。
內(nèi)容分級(jí)審查是根據(jù)互聯(lián)網(wǎng)內(nèi)容分級(jí)聯(lián)盟(ICRA)提供的內(nèi)容分級(jí)標(biāo)準(zhǔn),來允許或禁止訪問某些不良的網(wǎng)站,。內(nèi)容分級(jí)審查功能本來可以讓家長(zhǎng)很好地控制孩子的上網(wǎng),,但是非常遺憾,并不是所有的網(wǎng)站都遵守ICRA規(guī)范,,也就是說這個(gè)分級(jí)標(biāo)準(zhǔn)并不是放之四海皆準(zhǔn)的,,它從一開始就成了IE的擺設(shè)。
除了IE自帶的內(nèi)容過濾功能,,市場(chǎng)上還有一些需要安裝在上網(wǎng)電腦終端的內(nèi)容過濾軟件,,常見的有SurfControl Cyber Patrol、國(guó)內(nèi)的藍(lán)眼睛,、過濾王等等,。這些軟件可以在一定程度上控制孩子訪問色情、游戲等不良網(wǎng)站,,比較適合家庭單機(jī)使用,。
企業(yè)網(wǎng)絡(luò)內(nèi)容過濾
在每一個(gè)互聯(lián)網(wǎng)訪問的網(wǎng)絡(luò)邊緣(企業(yè)/學(xué)校網(wǎng)絡(luò)邊緣、網(wǎng)吧網(wǎng)絡(luò)出口),,都可以部署內(nèi)容過濾工具,。這些工具一般是分析網(wǎng)絡(luò)數(shù)據(jù)流中包含的HTTP數(shù)據(jù)包,對(duì)數(shù)據(jù)包頭中的IP地址,、URL,、文件名、HTTP methods進(jìn)行訪問控制,。
在網(wǎng)絡(luò)邊緣的內(nèi)容過濾產(chǎn)品有兩種表現(xiàn)方式:旁路式(Passby)和穿透式(Passthrough),。旁路式內(nèi)容過濾產(chǎn)品是獨(dú)立的,,它監(jiān)聽網(wǎng)絡(luò)上所有信息,并有選擇的對(duì)基于TCP 的連接(如HTTP/HTTPS/FTP/TELNET/POP3/SMTP等)進(jìn)行阻斷,。旁路式過濾的原理基于TCP的連接性:跟蹤所有TCP連接,阻斷時(shí)以服務(wù)器身份向客戶端發(fā)送HTTP FIN PUSHACK,,同時(shí)以客戶端身份向服務(wù)器發(fā)送HTTP RST,。一般情況下,旁路式內(nèi)容過濾產(chǎn)品可以快速部署,,對(duì)網(wǎng)絡(luò)運(yùn)行不存在影響和風(fēng)險(xiǎn),。穿透式內(nèi)容過濾產(chǎn)品依賴于其他網(wǎng)絡(luò)邊緣處的基礎(chǔ)平臺(tái),如Microsoft ISA,、Cisco Cache Engine,、Blue Coat ProxySG、Netscreen Firewall等,。穿透式內(nèi)容過濾產(chǎn)品根據(jù)這些網(wǎng)絡(luò)邊緣接入基礎(chǔ)平臺(tái)的訪問請(qǐng)求,,作出允許或禁止的判斷,然后由這些平臺(tái)執(zhí)行過濾的動(dòng)作,。
那么,,內(nèi)容過濾產(chǎn)品如何作出允許或禁止的判斷呢?不同的廠商有著不同的解決方案。從理論上來講,,最理想的產(chǎn)品能夠?qū)崟r(shí)對(duì)網(wǎng)頁內(nèi)容進(jìn)行分析,,然后判斷是否允許用戶訪問。例如,,用戶訪問一個(gè)色情網(wǎng)站,,內(nèi)容過濾產(chǎn)品分析這個(gè)網(wǎng)站中頁面的內(nèi)容,發(fā)現(xiàn)其中包含了大量的色情詞匯和圖片信息,,從而判斷這是一個(gè)不良網(wǎng)站,,需要進(jìn)行過濾。這是一個(gè)理想的狀態(tài),。但是,,在具體的生產(chǎn)應(yīng)用環(huán)境當(dāng)中,實(shí)時(shí)分析網(wǎng)頁內(nèi)容并進(jìn)行過濾是不現(xiàn)實(shí)的,,這個(gè)問題主要體現(xiàn)在:對(duì)網(wǎng)頁內(nèi)容實(shí)時(shí)分析給用戶瀏覽體驗(yàn)帶來的延時(shí)是不可以接受的,。對(duì)文字內(nèi)容進(jìn)行比較分析需要大量的計(jì)算資源,更不用說圖片信息,。試想一下每一個(gè)用戶每點(diǎn)擊一個(gè)鏈接都要等待數(shù)十秒鐘,,這還是比較好的情況。一般的企業(yè)網(wǎng)絡(luò)內(nèi)每秒鐘都會(huì)有數(shù)個(gè)到數(shù)十個(gè)HTTP連接建立,,這對(duì)實(shí)時(shí)的內(nèi)容分析來說是不可完成的任務(wù),。
所以,,絕大部分廠商采取了一個(gè)折衷的辦法。他們事先對(duì)訪問量較大,、名氣較大的網(wǎng)站和網(wǎng)頁的內(nèi)容做分類的工作,,然后把URL、IP地址和內(nèi)容分類對(duì)應(yīng)起來,,例如www.playboy.com屬于成人網(wǎng)站,,news.google.com屬于新聞網(wǎng)站,www.google.com屬于搜索引擎,,sports.sina.com.cn屬于體育網(wǎng)站,。當(dāng)用戶訪問這些網(wǎng)站上的頁面時(shí),內(nèi)容過濾產(chǎn)品就可以根據(jù)事先的分類進(jìn)行過濾,,達(dá)到按內(nèi)容過濾的目的,。
因此,內(nèi)容分類數(shù)據(jù)庫的數(shù)量和質(zhì)量是評(píng)價(jià)一個(gè)內(nèi)容過濾產(chǎn)品的重要指標(biāo),。我們要問的是這個(gè)數(shù)據(jù)庫包含了多少網(wǎng)址,,如何維護(hù)更新,如何保證質(zhì)量?有些廠商組建了專門的內(nèi)容分析部門,,他們專職監(jiān)控每天新出現(xiàn)的網(wǎng)站,,然后將這些網(wǎng)站分類更新到數(shù)據(jù)庫當(dāng)中。還有些廠商使用人工智能技術(shù),,自動(dòng)進(jìn)行分析,。內(nèi)容安全產(chǎn)品的市場(chǎng)爆炸證明,這種辦法是可行的,,也是經(jīng)濟(jì)的,。
互聯(lián)網(wǎng)骨干內(nèi)容過濾
內(nèi)容過濾除了在個(gè)人電腦和企業(yè)網(wǎng)絡(luò)中的應(yīng)用,在互聯(lián)網(wǎng)骨干上也可以實(shí)現(xiàn)相同的功能,?;ヂ?lián)網(wǎng)骨干的主要任務(wù)是在保證可連通性的同時(shí),盡可能快速地提供數(shù)據(jù)交換通道,,這就要求網(wǎng)絡(luò)結(jié)構(gòu)和配置盡可能簡(jiǎn)單,。屬于網(wǎng)絡(luò)高層應(yīng)用的內(nèi)容過濾本來不應(yīng)該在互聯(lián)網(wǎng)骨干上部署實(shí)施。但是,,出于國(guó)家安全的需要,,對(duì)一些網(wǎng)站還是需要進(jìn)行屏蔽。電信運(yùn)營(yíng)商在互聯(lián)網(wǎng)骨干上使用的內(nèi)容過濾技術(shù)主要是DNS過濾和IP地址過濾:互聯(lián)網(wǎng)骨干DNS服務(wù)器拒絕解析指定URL列表;通過ACL拒絕到指定IP地址的連接,。這些手段輕微地影響互聯(lián)網(wǎng)性能,,但是技術(shù)和現(xiàn)實(shí)中也是可以實(shí)現(xiàn)和接受的。
另外,,現(xiàn)在國(guó)內(nèi)有些地區(qū)的寬帶運(yùn)營(yíng)商還提供“綠色上網(wǎng)”服務(wù),,為申請(qǐng)此項(xiàng)服務(wù)的用戶提供內(nèi)容過濾的功能,,以保護(hù)青少年和兒童。這些“綠色上網(wǎng)”服務(wù)的原理同以上的內(nèi)容過濾原理是一樣的,,不同之處在于每個(gè)用戶的可定制化功能,。還有些運(yùn)營(yíng)商采取了“投訴”的方式來維護(hù)更新不良內(nèi)容網(wǎng)址,通過獎(jiǎng)勵(lì)上網(wǎng)費(fèi)用和時(shí)間的方式來鼓勵(lì)寬帶用戶投訴不良網(wǎng)站,。這也是一個(gè)很好的思路和現(xiàn)實(shí)的做法,。
技術(shù)難點(diǎn)和趨勢(shì)
從這三種過濾手段來看,它們都受制于內(nèi)容分類的效率和準(zhǔn)確性,。如何提高內(nèi)容分類的效率和準(zhǔn)確性,,是各個(gè)廠商鉆研的難題,。
實(shí)際上,,每個(gè)月都有超過100萬個(gè)新注冊(cè)的網(wǎng)站出現(xiàn)在互聯(lián)網(wǎng)上,也就是說互聯(lián)網(wǎng)是變化的,,這種變化是永不停息的,。我們不可能把所有的網(wǎng)站和網(wǎng)頁都進(jìn)行歸類并放在數(shù)據(jù)庫當(dāng)中,這樣的話,,這個(gè)數(shù)據(jù)庫的規(guī)模將會(huì)遠(yuǎn)遠(yuǎn)超過實(shí)際應(yīng)用中硬件平臺(tái)性能所能承受的最大限制,。最好的辦法還是挑選一部分網(wǎng)站放在數(shù)據(jù)庫當(dāng)中,這些網(wǎng)站至少具有兩個(gè)特征:1,、訪問量比較大;2,、包含不良內(nèi)容。對(duì)于那些訪問量不大,,或者內(nèi)容“不咸不淡”的網(wǎng)站,,大可以忽略不計(jì)。
每個(gè)企業(yè)或者每個(gè)人的瀏覽習(xí)慣都是不一樣的,,也可能有些人特別喜歡瀏覽一些冷門的網(wǎng)站,,這就涉及一個(gè)個(gè)性化的問題。為了對(duì)這些訪問進(jìn)行控制和過濾,,內(nèi)容過濾產(chǎn)品本身還要具有一定的智能,,能夠自動(dòng)分析歸類這些網(wǎng)站的內(nèi)容,并對(duì)用戶的訪問進(jìn)行過濾,。這樣的分析結(jié)果應(yīng)該保留在訪問者的本地內(nèi)容過濾設(shè)備上,,而不是上傳同步到所有的用戶。這樣的話,,所有用戶就有一個(gè)集中的公共數(shù)據(jù)庫,,包含了絕大部分熱門網(wǎng)站;每個(gè)用戶還有一個(gè)分散的私人數(shù)據(jù)庫,包含了自己的瀏覽分析歸類數(shù)據(jù),。(本文作者為美訊智軟件科技有限公司產(chǎn)品經(jīng)理)