如何创建可扩展内容过滤策略

当今商业气候下，对于任何规模和性质的企业来说，保护网络远离不良信息以及防止敏感的业务情报通过网络外泄都是头等大事。如果某位员工在同事 的电脑上瞥到性感挑逗的照片，公司就可能被控纵容“敌视性工作环境”。某位员工无意中泄露了某个客户的个人信息，公司就会触犯个人隐私法。所以尽早制定内容过滤策略具有非常重要的意义，当然，选择一个能够与公司一起成长的解决方案就更有意义。

仅有消息包过滤还不够
你可能认为由于公司的网络安装有防火墙，因此已经拥有了足够的保护。毕竟，防火墙就是安装在互联网和内部网之间用于过滤进出网络内容的。但是，传统防火墙位于信息包级别，也就是说，防火墙只能够基于IP地址和端口对信息包进行过滤，OSI模式下，报头填加的信息处于网络和传输级别。

不过，目前最先进的防火墙已经超越了信息包过滤功能，增加了某种程度的应用级别过滤功能。通过ALF，防火墙能够分析更高级别的信息，可以识别指定服务所使用的协议，确认信息包中数据的有效性。内容过滤是某种形式的应用级别过滤，数据本身经过检查，并与文本字符串数据库进行比对得出结论，比如进行阻止。

有些ALF防火墙，如ISA Server 2004，具有初步的内容过滤功能。但是，高效的内容过滤策略一般需要比单独的ALF防火墙更成熟的过滤器。更强大的内容过滤程序不仅仅列出需要拦截的关键词，还能使用启发式或者其他方法对上下文进行分析来判断是否需要拦截内容。

中小企业内容过滤解决方案

最小型的企业可能根本就不具备业务级的防火墙，因为这种规格的防火墙价格不菲。比如，ISA Server 2004 标准版售价1499美元（按每个处理器报价）。Cisco、CheckPoint和其他一些厂家销售的具有ALF功能的防火墙要价更高。许多小型企业使用的是专为远距离办公或者SOHO一族设计的廉价防火墙，如SonicWall 和Watchguard，售价都不超过500美元。另外一些小企业甚至根本买不起防火墙。他们可能会在网络边界上使用开源Linux防火墙，或者使用XP/Server2003内置的Windows防火墙。

没有采购ALF防火墙的企业就需要使用第三方解决方案来进行内容过滤。如果您的预算吃紧，而且需要保护的计算机数量不大，您也可以尝试使用消费级的内容过滤程序。最基本的内容过滤软件其最初的想法是帮助父母控制孩子在网络上的活动，如NetNanny和CyberPatro。这些软件售价往往低于50美元。

消费级的解决方案缺陷

尽管低廉的价格极具诱惑性，但是如果采用这种方法也有某些缺陷。这类软件均为客户端软件。因此你需要在每台电脑上安装软件，随着系统的增加，就需要购买更多版本的内容过滤软件，使得公司规模扩大的同时会悄然增加某些成本。同时，由于缺乏集中控制及报告功能，当企业的网络规模更大、更复杂时，它就成为了一个更加重要的问题。最后，这些消费级的软件不能提供商业用内容过滤软件那么成熟的功能，因此有可能会发生有害内容侵入网络，甚至更有可能是软件过滤掉了过多的内容，使得员工无法使用互联网来完成工作。

小型企业解决方案

有些企业生产的消费级的解决方案也有企业版。但是最受欢迎的小企业解决方案是那些能够提供企业级版本的解决方案。如Websense公司生产的Web Security 软件，它是专为中小型企业设计，能够在Windows 2000 Server、Server 2003、 Red Hat Linux以及Sun Solaris等平台上运行。

SurfControl公司生产的，基于微软Windows平台上的网络和邮件过滤软件，通过配置也能保护任何规模的网络。

如果你有更多的预算，还可以选用带有内容过滤的防火墙功能的“安全设备”（有些还具有防病毒和其他一些安全应用）。这些目标针对小型企业的设备价格相对较低，如运行于微软ISA服务器2004上的Network Engines NS系列安全设备以及具有内容过滤功能的Websense Web安全软件。

还有一些设备可以从防火墙分开进行操作。例如：McAfee Secure Internet Gateway，能够为中小企业提供防间谍软件、防病毒、防垃圾邮件及防钓鱼程序，以及电子邮件和网络内容过滤等服务。