SIPFilter过滤产品和其它过滤产品的区别

    我们从下面3个方面，详细比较SIPFilter过滤产品和其它过滤产品的区别。

• 过滤的细致程度和有效程度。过滤是否全面，是否存在大量遗漏，不能被过滤和记录。

• 过滤是否能够被客户端破解绕开。

• 过滤处理是否能够充分利用多芯片CPU和多内核CPU的处理能力，是否能够充分利用64位计算的强大处理能力和内存扩展能力，决定其产品是否具有长久的发展前途和生存周期。

• 过滤处理是否支持第三方过滤器组件定制开发。

一、SIPFilter过滤产品和其它包过滤型产品的区别

    SIPFilter过滤产品，是基于透明代理过滤，不是基于包过滤。

    基于透明代理过滤，可以对通信数据进行全面细致的分析和过滤，甚至直接删除网页中的不良信息，而不会影响客户机和网站之间正常的通信。

    包过滤的技术，过滤要粗糙许多。一般是只能过滤IP包头和TCP包头。高级一点的可以过滤网站黑名单，但实际是在DNS查询查询时进行过滤。但只在DNS查询时过滤，漏洞太大，有经验者可以绕过。比如，通过公网上的一台普通代理服务器访问非法网站，这种简单DNS过滤的产品，就无法拦截，即告无效。

    更高级一点的产品可以过滤URL。但这种产品，一般是直接过滤每个TCP包中的数据，缺乏连续数据缓存机制。当一个HTTP请求不是在一个TCP包中、而是多个TCP包中时，就无法有效过滤。尤其是对网站返回的网页内容，很难有效过滤，因为数据是分散在很多个返回的TCP包中。必须存在数据连续缓存机制，才能有效过滤通信内容。这种产品一般都只能过滤URL，但却无法过滤网站返回的内容。这种产品，当启用一个keep-live的TCP连接（或者通过公网上的一台普通代理服务器访问其它网站），在同一个TCP连接上连续传递数据进行通信，这种无连续数据缓存机制的简单包过滤产品，就无法持续有效过滤。

    现在市场上销售的绝大部分防火墙过滤产品，都属于DNS过滤或者简单URL过滤的其中一种，或者同时具备这2个方面的过滤功能。

    最高级的包过滤产品，存在连续数据缓存机制，实际已经是和透明代理过滤类似的技术。由于包过滤产品，都是在核心通信层进行过滤处理，加上连续数据缓存机制后，处理的复杂度就大大增加，产品的稳定性就大大降低。这种包过滤产品，技术已经和透明代理技术接近，还不如直接采用透明代理技术。

    此外，在核心层进行包过滤的产品，无法充分适应多核芯片时代的技术发展。包过滤型产品，过滤实际都是在操作系统核心层进行编程处理。但在操作系统核心层的应用开发编程，不能对线程进行有效管理，因为核心层的线程管理，完全是受操作系统核心自身控制，核心层的其它应用开发编程，无法充分控制操作系统核心层次的线程管理。在操作系统核心层，操作系统核心本身，不会随着CPU内核技术的增加，增加成倍的线程数量。应用层的应用程序，相反却可以方便地创建和管理大数量的线程数，来充分利用服务器的全部CPU资源。这在多芯片、多内核时代，尤其显示出两种产品实现技术的差异。

    透明代理技术，通过SOCKET的形式，通信核心层的通信数据，实际被转移到应用层上来，过滤处理在应用层上进行，所以，可以进行任何需要的全面细致的过滤处理。此外，可以充分利用多线程编程技术，完全适应多核、多芯片时代的技术发展。

    透明代理的过滤技术，可以支持第三方过滤器组件定制开发。如果系统本身的过滤功能不够，第三方公司可以自己按照实际需求，开发自己的过滤器组件，再加载组件到系统中来运行，达到定制过滤的功能。这样，实际是给产品带来无限可能的过滤扩展性。这一点，包过滤型的产品，就很难实现同样的功能。随着互联网应用的不断增加，各种各样的数据都需要过滤处理。如果产品的过滤处理不能随时按需定制扩展，那产品的局限性就会越来越突出。

    透明代理技术的缺点是对CPU处理能力要求相对较高，对内存使用量很大。这个缺陷，在5年前，还是一个致命的缺陷，限制其实际使用。但随着多芯片、多内核技术的发展成熟，CPU资源问题，已得到根本解决。大量内存占用问题，随着64位计算技术的发展成熟，也已经得到完全解决。基于透明代理技术的通信过滤，完全符合信息处理技术发展方向，具有更为广阔的发展前途和持久的生命力。  

二、SIPFilter过滤产品和其它旁路过滤产品的区别

    旁路过滤，过滤处理也是包过滤，只不过是包过滤的一种特殊形式。

    粗看起来，旁路过滤比一般包过滤具有更大的优势，既不影响主干道上的通信速度，又不会有过滤服务器死机造成通信中断问题。但这是在牺牲过滤有效性的基础上换来的结果，尤其是在过滤规则较为复杂、过滤处理较为复杂时。过滤较为复杂时，处理的时间也必然增加，尤其是在CPU资源紧张时更是增加处理时间。

    旁路过滤必然存在的问题就是，正在处理上一个接收的数据包时，通信主干道上已经流过更多的数据包，这些数据包根本无法被旁路服务器网卡及时接收，因为此时旁路服务器正在处理过滤，没有CPU资源可用。这些数据包就被旁路服务器漏过，不会得到过滤处理，也不会被记录。尤其是在通信流量较大时，更是如此。

    旁路过滤产品，一般都只能粗略记录和过滤，无法持续有效地进行记录和过滤。有效过滤，也只是在通信流量较小时，才可以有效地进行。通信流量大时，旁路过滤的处理速度，根本跟不上通信干道上的通信速度，大量数据都会被漏过，大大降低其使用价值。

    旁路过滤，因为要跟上通信主干道上的通信流速，必须快速进行过滤处理。一旦过滤处理稍为复杂耗时，过滤速度就跟不上主干道上的通信速度，也就必然漏过大量数据，也大大降低其过滤有效性。所以，旁路过滤，实际使用过程中，无法进行全面细致的过滤和记录，只能粗略过滤和记录。

    关于旁路过滤产品，其过滤很粗略，这一点，绝不是单方面的夸大。只要把SIPFilter产品和其它旁路过滤产品在同一个环境中一起运行，再比较两者记录下来的访问日志，比较两者备份的原始通信数据，就可以很明显地得到实际证明。

    但如果通信流量较少，旁路过滤也能有效进行。这种情况，说明服务器的处理资源足够。那么透明代理过滤在这种情况，也必然能够快速处理，也必然对通信速度不会造成什么影响。即使在这种情况下，旁路过滤也并不优于透明代理过滤。

    旁路过滤，还有一个致命的缺陷。旁路过滤产品的实现技术原理是：旁路过滤产品发现用户通信非法时，就立即伪造两个复位中断包，立即发送给正在通信的网站服务器和客户机，使其正常通信中断。但这种方法存在着巨大的技术漏洞：只能对付TCP而不能对付UDP。目前，互联网上有许多针对这种旁路过滤产品的“TCP over UDP”破解工具，专门对付旁路过滤系统。在这些工具面前，旁路过滤系统在实际环境中将失去作用。

    SIPFilter产品，因为必须卡在通信主干道上，对通信速度会有影响，但可以提高服务器的硬件通信性能来得到解决。现在服务器通信硬件技术飞速发展，1G通信已经完全成为主流，3G、10G通信技术都已经即将投入商用，对通信速度的影响，已经完全得到解决。服务器的死机造成通信中断的问题，现在服务器的稳定性，已经完全满足1年365天不间断运行的严格要求，服务器宕机的几率，并不比防火墙、路由器和交换机设备出现故障的几率高。

    SIPFilter产品，始终不会降低过滤的有效性，不存在大量数据被遗漏、无法得到过滤的情况。SIPFilter产品，可以对用户的上网行为进行全面的控制，例如用户的通信带宽管理，旁路产品就无法实现。SIPFilter产品，可以对通信数据进行全面细致的分析和过滤，甚至直接删除网页中的不良信息，而不会影响客户机和网站之间正常的通信，旁路过滤产品，就无法做到。SIPFilter产品，可以起到防火墙的作用，隔离攻击，旁路过滤产品就无法做到。SIPFilter产品，可以实现准确的计费功能，旁路产品就无法做到。