目前防火墻的各種內(nèi)容過濾模式

 1. 概述
內(nèi)容過濾已經(jīng)是目前各種防火墻所具備的基本功能，本文總結(jié)各種防火墻的內(nèi)容過濾模式。
內(nèi)容過濾主要是針對TCP、UDP協(xié)議的上層協(xié)議的內(nèi)容信息來處理的。
內(nèi)容過濾是針對明文進行的，或者是偽明文，如base64編碼、壓縮等，加密信息如SSL、SSH等是不可能進行內(nèi)容過濾的。

2. HTTP協(xié)議（TCP80）
HTTP協(xié)議是應(yīng)用最為廣泛的協(xié)議，相對來說針對HTTP的內(nèi)容過濾模式也最多。

2.1 URL過濾
URL過濾是HTTP過濾的基本模式，URL過濾可包括URL白名單、黑名單、關(guān)鍵字等，還可以進一步與其他服務(wù)器配合進行URL過濾，如CheckPoint的UFP協(xié)議，WebSense提供URL的數(shù)據(jù)庫和分類。

2.2 HTTP數(shù)據(jù)類型過濾
HTTP數(shù)據(jù)類型可根據(jù)URL定義的文件類型；
上傳或下載的文件類型；
HTTP頭字段Content-Type定義的類型；
HTML語言定義的類型，如IMG、APPLET、SCRIPT等進行過濾。

2.3 HTTP頭(header)字段過濾
HTTP定義了很多頭字段用于描述HTTP信息，可以針對各種類型的頭字段進行過濾。

2.4 HTTP命令類型過濾
HTTP命令包括GET、PUT、POST等，通過命令過濾可限制用戶使用HTTP某些功能。

2.5 HTTP內(nèi)容關(guān)鍵字過濾
對所有HTTP協(xié)議任何數(shù)據(jù)中的關(guān)鍵字進行過濾

3. FTP協(xié)議（TCP21）

3.1 上傳下載文件類型過濾
針對FTP的GET和PUT命令執(zhí)行的文件類型進行過濾

3.2 FTP命令過濾
針對FTP的命令進行過濾，以阻止執(zhí)行某些命令，F(xiàn)TP協(xié)議命令和FTP客戶端界面的命令是兩碼事，F(xiàn)TP命令集在RFC959、2228、2640中定義。

3.3 FTP命令通道內(nèi)容關(guān)鍵字過濾
針對FTP命令通道內(nèi)的任何數(shù)據(jù)中的關(guān)鍵字進行過濾。

3.4 FTP數(shù)據(jù)通道關(guān)鍵字過濾
針對FTP數(shù)據(jù)通道任何數(shù)據(jù)的關(guān)鍵字進行過濾。

4. SMTP協(xié)議（TCP25）
SMTP協(xié)議可過濾的內(nèi)容也比較多

4.1 SMTP協(xié)議頭字段過濾
和HTTP一樣，SMTP也通過很多頭字段來描述要傳輸?shù)膬?nèi)容，針對各種類型的頭字段進行過濾，可以包括過濾如Subject, To, From, Cc等的關(guān)鍵字信息。

4.2 郵件長度過濾
限制發(fā)送的郵件長度。

4.3 郵件內(nèi)容關(guān)鍵字過濾
針對郵件數(shù)據(jù)中的關(guān)鍵字進行過濾，現(xiàn)在的SMTP傳輸雙字節(jié)語言和二進制數(shù)據(jù)都是編碼的，需要進行解碼后過濾。

4.4 郵件附件過濾
針對郵件附件的類型、內(nèi)容關(guān)鍵字進行過濾。

5. IMAP(TCP143)/POP3(TCP110)過濾
雖然都屬于郵件，但POP3的過濾方式比SMTP要少，畢竟郵件已經(jīng)到達目的郵箱中，不要只能自己刪除。

5.1 郵件內(nèi)容關(guān)鍵字過濾
針對郵件數(shù)據(jù)中的關(guān)鍵字進行過濾，現(xiàn)在的SMTP傳輸雙字節(jié)語言和二進制數(shù)據(jù)都是編碼的，需要進行解碼后過濾。

5.2 附件文件類型過濾
針對郵件附件類型進行過濾，對于危險類型的附件進行警告并阻止其自動運行。

6. DNS協(xié)議（TCP/UDP53）
DNS過濾其實是最強的限制方式，使域名解析失敗，這樣不論是HTTP還是TELNET、FTP等，任何協(xié)議都無法使用。

6.1 域名過濾
根據(jù)域名信息的白名單、黑名單、關(guān)鍵字進行過濾

6.2 DNS地址NAT
是解決內(nèi)網(wǎng)服務(wù)器和內(nèi)部機器在同一網(wǎng)段時通過域名訪問服務(wù)器的問題，也屬于內(nèi)容過濾處理范疇

7. TELNET過濾(TCP23)
TELNET一般只進行關(guān)鍵字過濾

8. 其他協(xié)議
其他類型協(xié)議的內(nèi)容過濾相對比較少，基本就是對協(xié)議內(nèi)容的關(guān)鍵字過濾。

9. 協(xié)議合法性檢測和閾下通道檢測
主要是檢查協(xié)議通道內(nèi)是數(shù)據(jù)是否是符合RFC標準的數(shù)據(jù)，防止其他協(xié)議使用該端口進行通信。

10. 病毒過濾
網(wǎng)絡(luò)病毒可以通過任何一種網(wǎng)絡(luò)協(xié)議進行傳播，所以將其單獨列出。

有的防火墻自己帶了病毒庫，可以在轉(zhuǎn)發(fā)數(shù)據(jù)的同時進行搜索；一般是和病毒服務(wù)器進行互動，把數(shù)據(jù)傳給病毒服務(wù)器，由病毒服務(wù)器掃描后將結(jié)果返回。無論何種形式，病毒檢測都是最慢最費資源的處理過程，病毒掃描速度大致可以自己試，如果10M帶寬，每秒數(shù)據(jù)1.25兆字節(jié)，用單機殺毒工具掃一個1.25兆的文件看看要多少時間。不過通常病毒庫中只包括網(wǎng)絡(luò)病毒，不包括單機類病毒，這樣可以減少掃描時間。

11. 總結(jié)

內(nèi)容過濾實質(zhì)還是關(guān)鍵字過濾，就看是檢測哪種類型的關(guān)鍵字了，內(nèi)容過濾的速度取決于關(guān)鍵字模式的查找速度。內(nèi)容過濾的關(guān)鍵就在于發(fā)現(xiàn)異常模式而切斷連接，至于連接的切斷模式也有各種方式，最好是能讓用戶知道是為什么被切斷的。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]