扫一扫
关注微信公众号

分析:哪种内容过滤方式更适用于 UTM
2006-07-12   赛迪网

随着UTM越来越普及,安全设备需要有单一的管理界面、更加容易的管理和升级、以及更便宜的价格。UTM可以提供更加全面的防护,把反垃圾邮件、反病毒、反间谍软件以及全面的内容安全及防火墙集成起来。

网络钓鱼、身份盗窃、IM病毒等的出现,使得在UTM解决方案中包含Web内容过滤非常必要。

那么UTM厂商应该怎样选择正确的内容过滤工具和过滤方法呢?下面我们看一下UTM厂商可以选用的两种主要的身份识别和内容过滤方法。我们将从效率、易用性和对新的突发威胁的响应三方面来评估这两种方法的优劣。

URL数据库

这种方法通过把请求的URL和一个有大约1千万注册网站的数据库作比较,让过滤器决定阻止或放行该站点。

但是,这样做起来很慢,并且对新内容的分类会影响容量,因为数据库都需要载入到缓存中来保证尽可能快的查找速度。从本质上来讲,所有数据库都总是过时的,因为每天出现的新站点数以百万计,数据库的更新赶不上这个速度。

动态规则

另一种方法是动态的过滤方法,进入内部网的时候执行随机的内容分析。系统根据页面上发现的内容分析Web信息并对之分类,然后决定阻止通过还是仅仅在某一特定的类别下做记录。

具体是这样工作的。像PureSight 动态内容识别(Active Content Recognition, ACR)这样的方法实时对网站上的内容进行分类,对访问的每个独立网站细分HTML代码。每一个页面都被细分到上百个参数,包括单独的词汇、背景色调、文字颜色、链接、通栏广告、图片以及嵌在网站上的HTML标签。

把这些参数填到一系列的算法中,就可以对网站的类别进行评估。根据策略决定要不要显示该页面。

动态过滤延时长、降低浏览响应时间,但最新的内容分析引擎只带来非常小的可以忽略不计的延迟,并且比URL数据库方法对网络性能带来的影响要小很多。此外,这种方法还可以识别一个网站上哪些页面是适合用户的,哪些是应该被阻止的,而不是像数据库过滤器那样阻止整个站点。

为你的UTM解决方案带来真正的价值

理论上讲,为你的UTM解决方案带来最大价值的内容过滤方法应该兼具以上两种方法的优点。多层的方法把静态过滤和动态响应结合起来,提供精确性和可升级能力,因为web越来越庞大和复杂。

多层的方法通过人工智能和ACR技术提供优良的性能,厂商可以提供实时的过滤,并保证100%的URL都得到过滤。

主要的商业站点的已知URL一般和赌博及成人内容有联系,可以通过数据库查找自动阻止;而其它的URL就可以动态过滤,在访问的时候进行分析。从而得到最大的安全性。

未识别URL:怎样处理?

用静态数据库方法,未分类的URL,也就是那些系统的数据库中未识别出来的URL也需要处理。各单位可按需定制,看要全部通过未识别的站点,还是全部阻止。因为不受控制的访问有很大的安全隐患,而过度的阻止又可能带来灾难,因为可能会让用户失去宝贵的商业机会、不能访问到有价值的信息和研究材料。

数据库支持的动态分析方法可以最大限度地满足需求。UTM厂商越来越喜欢这种多层的方法,它可以在用户访问每一个站点时都进行独立的分析。

一个典型的例子就是处于领导地位的反病毒厂商F-Secure,他们发现,使用动态过滤和动态内容识别相结合的方法,可以让自己的安全打包方案在保证安全性和给用户灵活高效的访问方式之间取得很好的平衡。

家庭优先:用Internet Security 2005切断成人内容

作为英特网安全领域领先的软件厂商,F-Secure希望在其Internet Security suite 2005中为家庭用户实现包括web内容过滤的增值服务。

F-Secure公司架构及技术主管Santeri Kangas说,我们的目标是提供最好的两者兼顾的控制方案。F-Secure构建了一个URL的测试标杆,来评测大量的过滤方案。从精确性、英特网过滤速度、足迹尺寸、产品更新大小及费用等方面进行评测。

评测的结果显示,PureSight Active Content Recognition 技术所提供的多层的方案和动态过滤在过滤成人内容时最为精确,同时可以保持快的英特网访问速度,在功能和灵活性之间取得了很好的平衡。

热词搜索:

上一篇:托管式:中小企业未来安全盔甲?
下一篇:为何当我每次启动电脑时都出现提示?

分享到: 收藏