平衡过滤效果与网络效率

基于各种危害，网络不得不使用部分能力扮演清洁工的角色。自然也牺牲了我们为之追求的效率，这其中如何平衡，是个网络公司安全企业系统集成商、安全服务商以及用户都应考虑的问题。

这几年网络的发展，无论在基础设施建设还是信息内容提供上都是突飞猛进，在提高企业信息化程度的同时，一些新问题的出现也值得关注：

效率问题，网络的发展可以改变工作的方式，提高工作效率，但是缺乏管理控制的网络只会分散员工的注意力，甚至会影响到正常工作；安全问题，安全和应用永远是一对矛盾的兄弟，应用的普及扩大了安全威胁的存在范围，大大加深了防护的难度；政治问题，网络是无边界的，而使用网络的人是有国籍的，在这个无边的虚拟世界中，如何保护独立国家的政治、经济、文化的安全和纯洁性是新科学带来的新问题。在这种背景下，网络内容安全技术引起了广泛关注。

网络信息的过滤机制包括两方面：网站内容的分级制度和网络信息的过滤制度。在网站内容的等级制定工作中，不同的环境具有不同的要求，ICRA（互联网内容等级协会）对统一化标准做了一些工作，其目的是公开且客观地根据内容为电子媒体加上标签（Label），具体过程是：由Web作者提出申请，说明网页内容， ICRA自动生成Content Label，让作者加到网页上；使用者将浏览器设定“主观偏好”，并根据网页内含的“客观咨询”决定对一个网页是否进行存取。ICRA对网络内容进行分类。通过ICRA，用户可以灵活地根据自己的具体需要定制允许和拦截内容列表，而且根据不同用户制定不同控制级别的访问策略。

网络内容信息过滤有两种方式：根据地址过滤 (URL)和根据动态内容过滤。前者的基本原理是：控制员工访问网站的URL，内容过滤商在提供内容过滤产品时，同时内含一个资料库，而且这个资料库就和防毒软件的病毒库一样，需要实时更新的，一个内容过滤产品的好坏与资料库的种类、数量、更新速率都有着很大的联系；而后者是根据网页的文字内容进行过滤，或者根据网页隐含的标签（Label）进行过滤，ICRA就是采用的这种过滤方式。网络信息的过滤机制，在过滤机制中针对个人和小型单位与大型网络分别有不同的处理手段。

用户规模不同过滤方法不同

对于个人用户和小型网络，实现内容过滤主要是与浏览器结合，做得好一些的与系统也能结合得更紧密，其中一些功能面向用户屏蔽。采用这种方式比较多的是一些网吧管理软件，这类软件的优点是控制强度大，缺点是容易使用户对此有逆反心理，而且其软件是和系统结合，如果软件在系统方面的控制力度不强，则通过更换浏览器的方式，就可以绕过过滤的策略限制。

在大型网络中实现内容的过滤都是采用与网络拓扑相结合的方法。在网络边界出口处设置过滤机制，使得内容过滤策略纳入到网络安全的整体策略当中，并实现统一规划，统一管理。其硬件设备一般使用支持WCCP V1/V2或者使用四层交换设备，它在网络中的部署中有以下几种方式：Web Caching Device/Proxy Server + Filter Database、Firewall + Filter Database以及WCCP（Web Cache Communication Protocol）。WCCP即Web缓存通信协议，它支持路由器透明的重定向内容请求，并支持多个Cache代理向一个或多个路由器提供内容。

传统的防火墙是在受保护网络和外部网络之间建立的屏障，它对于隐藏在网页和E-mail通信中的病毒和蠕虫却无能为力。新的网络安全威胁迫使防火墙技术发展进入了新的一代——内容扫描防火墙。

内容扫描防火墙是通过筛分携带内容协议的信息，来保护网络免受计算机病毒和蠕虫的侵入。内容协议包括网页通信（HTTP）和E-mail通信（SNMP、POP3和IMAP）两种。

内容扫描防火墙从收到的网络通信中区分出内容协议，再重定向到TCP/IP栈中，并进行内容扫描；而所有其他通信都直接送往状态检测引擎，进行与标准的状态检测防火墙同样的处理。这样分类处理能使得病毒检测基本上不影响防火墙的性能。

高性能的硬件TCP/IP栈控制着所有内容协议的处理。在收到第一条内容流时， TCP/IP栈就与客户端和服务器建立连接，来传输分组，并将接收的分组转化为内容流。随后，服务区分器将内容流按不同的服务类型区分开，并将每个流发送给命令剖析器。命令剖析器从HTTP流中分离出上载或下载的文件，从E-mail流中分离出附件，再转移给病毒扫描引擎分析是否包含病毒或蠕虫，同时将其他内容传给内容过滤引擎，并根据内容过滤的设置来选择阻断或允许该流通过。

防火墙在网络中的负荷非常大，随着应用的不断扩展，防火墙越来越成为网络中的瓶颈，而内容过滤对协议分析要求的完整性和准确度都很高，而且内容过滤数据库是个成长型的数据库，基本都在几十万条以上，这对防火墙来说都是一个不小的负担，所以，通过提供开放式端口协议，内容请求由防火墙转发，策略检查可以通过专门的软件设备来完成。在这些专门提供内容过滤的厂商中，Websense是一款应用比较广泛的产品。

Websense不但可以做为独立的服务器进行内容过滤，它还具有广泛的相容性，可以与公司现有的代理服务器、防火墙、Cache引擎以及其他网络设备高度整合，如Cisco、Check Point、Netscreen、Inktomi、CacheFlow等，而且这个名单还在不断扩大之中。

Websense采用了通过过滤技术（Pass Through Filtering Technology）保证了其产品的准确性、可靠性和可扩充性，它还通过与Websense Master Database同时运行进行网站内容筛选。Websense Master Database包括27万个网站，共有超过75个的类别，包括MP3，赌博、购物和成人内容。Websense 运用AI技术及人工不断更新其过滤数据库，每天晚上自动将更新站点下载至资料库，保证数据的实时性。

良好的可管理性也是Websense的一大特点，它不但易于配置和管理，更具有灵活的策略管理。Websense支持远程管理，可以在Windows98/NT/2000、SUN Solaris或Red Hat Linux的任何一台客户机上进行配置管理，支持重要事件的电子邮件通知。对于网络的控制，可以实施基于地址和基于时间的配置管理，选择阻断、允许或延迟用户、工作组在一天中的不同时段拥有不同的使用权。