清洁网络需要做好内容过滤

清洁网络需要做好内容过滤

作者：张勇　来源：赛迪网－中国电脑教育报

当前，内容过滤正在成为越来越热门的话题。据IDC的分析统计预测，作为安全领域的一个重要分支，今年，内容安全市场的市值将达到６５亿美元。内容过滤仿佛成了万能良药，能够解决互联网带来的一切的内容相关问题。市场上的防火墙、路由器、交换机、邮件网关、代理服务器等网络产品几乎都已经加入了内容过滤的功能。每个厂商都提供不同的产品，而且有着迥然不同的技术观点和宣传方式。另外，电信运营商也在进行着内容过滤，这是和每一个网民都息息相关的。那么，我们不仅要问，到底什么才是内容过滤，如何才能够有效的进行内容过滤，内容安全的明天又是什么样子呢？本文从技术的角度对内容过滤进行分析，以飨读者。

企业网络内容过滤

在每一个互联网访问的网络边缘（企业/学校网络边缘、网吧网络出口），都可以部署内容过滤工具。这些工具一般是分析网络数据流中包含的HTTP数据包，对数据包头中的IP地址、URL、文件名、HTTP methods进行访问控制。

在网络边缘的内容过滤产品有两种表现方式，旁路式（Passby）和穿透式（Passthrough）。旁路式内容过滤产品是独立的，它监听网络上所有信息，并有选择的对基于TCP的连接进行阻断。穿透式内容过滤产品依赖于其他网络边缘处的基础平台。穿透式内容过滤产品根据网络边缘接入基础平台的访问请求，作出允许或禁止的判断，然后由这些平台执行过滤的动作。



旁路式



穿透式

那么，内容过滤产品如何作出允许或禁止的判断呢？不同的厂商有着不同的解决方案。从理论上来讲，最理想的产品能够实时对网页内容进行分析，然后判断是否允许用户访问。例如，用户访问一个色情网站，内容过滤产品分析这个网站中页面的内容，发现其中包含了大量的色情词汇和图片信息，从而判断这是一个不良网站需要进行过滤。这是一个理想的状态。但是，在具体的生产应用环境当中，实时分析网页内容并进行过滤是不现实的，这个问题主要体现在对网页内容实时分析给用户浏览体验带来的延时是不可以接受的。对文字内容进行比较分析需要大量的计算资源，更不用说图片信息。试想一下每一个用户每点击一个链接都要等待数十秒钟，这还是比较好的情况。一般的企业网络内每秒钟都会有数个到数十个HTTP连接建立，这对实时的内容分析来说是不可完成的任务。

所以，绝大部分的厂商采取了一个折中的办法，他们事先对访问量较大、名气较大的网站和网页的内容做分类的工作，然后把URL、IP地址和内容分类对应起来。当用户访问这些网站上的页面时，内容过滤产品就可以根据事先的分类进行过滤，达到按内容过滤的目的。

互联网骨干网络过滤

内容过滤除了在个人电脑和企业网络中的应用，在互联网骨干上也可以实现相同的功能。互联网骨干的主要任务是在保证可连通性的同时，尽可能快速的提供数据交换通道，这就要求网络结构和配置尽可能简单。属于网络高层应用的内容过滤本来不应该在互联网骨干上部署实施。但是，出于国家安全的需要，对一些网站还是需要进行屏蔽。电信运营商在互联网骨干上使用的内容过滤技术主要是DNS过滤和IP地址过滤：互联网骨干DNS服务器拒绝解析指定URL列表；通过ACL拒绝到指定IP地址的连接。这些手段轻微的影响互联网性能，但是技术和现实中也是可以实现和接受的。

另外，现在中国有些地区的宽带运营商还提供“绿色上网”服务，为申请此项服务的用户提供内容过滤的功能，以保护青少年和儿童。这些“绿色上网”服务的原理同以上的内容过滤原理是一样的，不同之处在于每个用户的可定制化功能。还有些运营商采取了“投诉”的方式来维护更新不良内容网址，通过奖励上网费用和时间的方式来鼓励宽带用户投诉不良网站。这也是一个很好的思路和现实的做法。

技术难点和技术趋势

从以上过滤手段来看，它们都受制于内容分类的效率和准确性。如何提高内容分类的效率和准确性，是各个厂商钻研的难题。

实际上，每个月都有新注册的超过100万个网站出现在互联网上，也就是说互联网是变化的，这种变化是永不停息的。我们不可能把所有的网站和网页都进行归类并放在数据库当中，这样的话，这个数据库的规模将会远远超过实际应用中硬件平台性能所能承受的最大限制。最好的办法还是挑选一部分网站放在数据库当中，这些网站至少具有两个特征：访问量比较大；包含不良内容。对于那些访问量不大，或者内容“不咸不淡”的网站，大可以忽略不计。

在变化之外，每个企业或者每个人的浏览习惯都是不一样的，也可能有些人特别喜欢浏览一些冷门的网站，这就涉及一个个性化的问题。为了对这些访问进行控制和过滤，内容过滤产品本身还要具有一定的智能，能够自动分析归类这些网站的内容，并对用户的访问进行过滤。这样的分析结果应该保留在访问者的本地内容过滤设备上，而不是上传同步到所有的用户。这样的话，所有用户就有一个集中的公共数据库，包含了绝大部分热门网站；每个用户还有一个分散的私人数据库，包含了自己的浏览分析归类数据。

网络管理更轻松：域控制器的备份和恢复

网络管理员的重要任务是什么呢?保持网络畅通、防止病毒、优化网络都只算是一般性的工作。其实网络管理员的重要任务是保证网络中所有数据的安全，当数据出现问题后可以用最快的方式来恢复。

　　对于现在的企业网络，管理员都会在网络中启动配置域控制器，域控制器的好处是可以帮助网络管理员轻松地管理网络中的电脑和用户，防止用户进行非法操作。当一台域控制器崩溃后，如果说网络中的电脑和用户不多，那么还可以通过重新配置的方法来处理，如果网络中有上百台电脑怎么办，你难道可以记得原来的所有配置吗?那么唯一的方法是在对域控制器进行每次配置后，都做一次备份。下面就告诉大家如何进行域控制器的备份和恢复。

　　正确备份

　　要对域控制器备份我们可以购买专门软件，但是这些软件相当昂贵，老总通常是不愿意花这些钱的。那么只有用Windows自带的备份工具来处理。这里以Windows 2003进行讲解，在Windows 2000中的操作方法相同。

　　1.点击“开始/程序/附件/系统工具/备份”，将启动备份窗口。

　　2.在窗口中点击“高级模式”，随后再点击“备份向导(高级)”，这样就打开了高级模式备份窗口(图1)。和此窗口同时显示的还有一个向导提示窗口，在这个窗口中直接点“取消”，这样可以进入备份域控制器，以便进行更灵活的操作。



图1　高级模式备份窗口

　　3.通常来说域控制器的备份应该是包含活动目录和系统所在的分区，但是如果你的系统不是安装在C盘，那么除了备份系统分区外，还必须对C盘进行备份，因为当系统安装在其他盘中时，在C盘中会有引导程序。要进行备份只要选中相关的磁盘和System State即系统状态即可。

　　然后在左下角的“备份媒体或文件名”里选择备份的路径，选择好后点击“开始备份”即可。随后会出现如图2所示窗口。



图2　开始备份

　　4.如果希望系统可以在指定的时间进行自动备份，可以在图2中点击“计划”，将此备份设置进行保存，然后输入管理员密码后点“确定”，就会出现一个“计划的作业选项”窗口，在此窗口中输入作业的名字，也就是计划的名字，然后点“属性”，在属性窗口中就可以设置自动备份的时间了，当设置好后可以点击“确定”进行保存。当然这不是必须的，只是为了减少管理员的工作而制定的一种备份方案。

　　5.返回图2中点击“高级”，在高级窗口中的“备份类型”中选择正常，如果在前面设置了计划那么也该选择“正常”，如果使用其他方式备份会增加恢复操作的麻烦，最后选择“备份后验证数据”和“自动备份带有系统状态的系统保护文件”然后点击“确定”。

　　6.完成上面的操作后就可以点击图2中的“开始备份”按钮，当备份完成后你会发现文件相当的大，所以要提醒大家注意的是在前面设置备份文件保存位置的时候一定要选择一个磁盘空间大的磁盘。

　　轻松恢复

　　当服务器出现问题或重新安装系统后，就可以通过下面的方法进行恢复，但是重新安装后请不要将服务器提升为域控制器。

　　1.在开机的时候按F8，并选择第七项“目录服务还原模式(只用于Windows域控制器)”(图3)。



目录服务还原模式

　　2.在Windows的登录窗口输入本地管理员的密码。然后点击“开始/程序/附件/系统工具/备份”，将启动备份窗口，在备份窗口中点击“高级模式”，随后再点“还原向导(高级)”。此时会和还原窗口同时出现一个向导窗口，这次我们就不要关闭它，而是点“下一步”。

　　3.接着输入备份时文件的保存地址，直到完成，随后系统会开始恢复了，恢复完成后需要重新启动一次电脑。

　　通过上面的讲解，大家是不是认为很简单，其实数据的备份与恢复，在所有的企业级的软件上都没什么太难的，只是需要大家做一些简单的配置而已。