在UTM网关中,内容过滤具有非常好的应用前景,由于UTM融合了多种控制功能,使内容过滤的应用范围得到进一步扩展,这种扩展将体现在用户利用UTM,完成与各种手段相结合的内容监管要求。
内容过滤技术很多来自于专门的网关中,而伴随UTM安全网关的兴起,加上内容过滤技术很难独立发挥更完善的内容监管作用,这些内容过滤技术将逐步被纳入到UTM中。所以,内容过滤与UTM网关中其他访问控制技术的合并使用,形成一套更加全面策略体系,更加接近人的监管思想的完整表达,对于很多企业来说,这一点是非常重要的。
然而,UTM网关主要内容过滤在应用层产生大量的计算需求。这必然严重影响到UTM网关的性能。另外,内容过滤配置复杂性和管理灵活性的实现难度也大大增加,会增加额外的管理负担。
出于这些考虑,一些UTM网关会放弃提供内容过滤的做法,当然也有一些厂商在寻求突破。其实,UTM网关提供内容过滤主要是在保障性能的前提下,要充分发挥统一管理的优势,因此在UTM网关上实现内容过滤要能够与其他策略融合。
内容过滤技术一般包括URL过滤、关键词匹配、图像过滤、模版过滤和智能过滤技术等。目前,内容过滤技术处于初级阶段,图像过滤、模版过滤等还处于理论研究阶段,许多技术瓶颈尚未解决,实际应用并不多见,智能过滤同样只限于研究领域应用,没有大量应用。相比之下,URL过滤、关键词匹配、应用过滤成熟。因此,与主流的内容过滤产品类似,UTM的内容过滤通常先考虑采用URL过滤、关键词匹配、应用过滤等技术。
目前在UTM网关中,能够应用的内容过滤关键技术有如下四类:URL/Web过滤、关键字过滤、基于内容权重过滤和文件及应用过滤。
实际上Web过滤是指上网监控功能,具备内容过滤的UTM网关通过多重过滤与保护,通过对内容和网址进行监控,对内容不良的网站实行过滤,从而实现对网络内部人员上网进行监控URL的屏蔽列表如图1所示。
图1 URL屏蔽列表
UTM中的URL过滤和关键词匹配性能差别比较大,因为URL列表在排序后,可以使用二分法,而关键词匹配只能用有关字符串匹配算法,这两者的速度相差大约有四五个数量级。
所以具备内容过滤特性的UTM网关要充分利用URL过滤速度快的特点,将已知的有害页面和网站收集到URL屏蔽列表,将已知有益的页面和网站收集到URL免屏蔽列表保存,将这些URL排序、检查时用二分法快速匹配,决定是否拒绝或通过,URL的免屏蔽列表如图2所示。
图2 URL免屏蔽列表
当然这些分类是在充分调研、分析、比较基础上进行的,因为它耗费了UTM内容过滤整体设计和实现的绝大部分资源。
一个测试结果如下:URL库的规模为10万条时,每秒钟可以过滤超过40万个URL,URL库的规模为100万时,每秒钟可以过滤15万个URL.用户实际使用时也得到了同样的结论:启用基于URL的内容过滤时,感觉不到对UTM网关运行速度的影响。
【编辑推荐】