SIPFilter产品过滤规则使用技巧

    为了适应各种过滤需求，达到全面过滤的目标，SIPFilter提供许多的过滤规则选项，供用户选择使用。这么多的过滤规则选项，怎么样进行设置，才能达到所需要的过滤管理目标？又怎么样进行合理的设置，既达到过滤，又不牺牲通信速度？

    这就存在很多规则的设置技巧。规则的设置技巧，将随着产品使用范围的逐渐扩大，随着用户使用反馈的逐渐积累，逐步在这里进行更多的技巧说明。

问题1
--------------------------------------------------------------------------------------------

    我设置了网站黑名单。但每天都有成千上万的虚拟网站域名出现，根本不可能每天都添加进来。我怎么知道用户每天浏览过的新网站，其内容属于哪些类别，是否需要禁止用户访问？

    这个问题，是过滤管理普遍面对的问题。尤其是现在blog的兴起，每天都出现无数的虚拟网站域名。而网站黑名单，是靠网站域名来管理的。这样，单纯网站黑名单的管理方式，就跟不上互联网的发展。必须进行内容过滤，必须进行内容分类采集，才能有效解决这个问题。

    SIPFilter提供了一种内容过滤功能，可以有效解决这个问题。SIPFilter提供了一种内容过滤方式：正文中包含就删除关键词，链接中包含则删除整个链接，但网页允许访问。启用这个过滤方式后，先对每一种类型的网页的常用词汇进行定义，设置到过滤关键词规则中。用户访问的网页，只要匹配到这些关键词汇，该网页的URL就被记录下来，匹配到的词汇也同时被记录下来。实际上这个功能，起到一个内容分类采集的作用。根据这些记录，就可以对新出现的非法网站，进行跟踪，不断添加到黑名单中。同时这些网页，也同时被SIPFilter改得面目全非，大大减小其危害效果。两个方面同时进行，就可以有效解决这个问题。

    例如，色情成人类的网站，其显示的内容，绝大部分都包含一些常用的色情词汇。把这些色情词汇添加到内容过滤关键词规则中。即使新出现此类型的网站，没有在黑名单中。用户浏览时，首先会匹配到设置的色情词汇，就被记录下来。同时SIPFilter也把网页中的这些色情词汇删除后，再传送到客户机。客户机无法浏览到原始的网页，只能浏览到已经删除掉这些色情词汇的网页。即使不能达到100%的屏蔽效果，也大大降低其观看效果。管理员再及时检查这些词汇采集记录，把这些新网站及时地添加到黑名单中。就可大大提高管理的有效性。比单纯黑名单的管理方法，具有显著的进步。

    如果不需要对网页内容进行删改，只需要记录网页内容包含的过滤关键词，SIPFilter也支持此功能。只需要把过滤触发措施设置成“只记录过滤日志，但允许访问”，再设置需要记录的内容过滤关键词。就可以达到此目的。

问题2
--------------------------------------------------------------------------------------------

    通信应用协议识别规则，我怎样进行合理有效的设置？

    通信应用协议识别的作用，有2个。一、识别出协议，禁止其通过。例如禁止QQ、MSN等IM类型的应用。二、识别出协议，需要对该协议的原始通信数据进行备份。这2种不同的作用，设置识别规则时，也有所不同。

    如果只是要识别出某种通信协议，禁止其使用。则要简单得多。一般只要能够把该协议的第1个通信包识别出来，加以禁止。后面的通信包，就不会继续传输。所以，只要设置第1个通信包的识别规则，就可以把该协议禁止掉。

    例如，QQ通信，QQ客户端程序发送的第1个通信包，就是寻找可用的服务器。这QQ发送的第1个通信包，是存在固定的格式的。只需要设置这第1个通信包的规则，就可以把QQ全部通信禁止掉。

    如果是第2个作用，需要记录通信数据。则要复杂得多。很多协议，整个通信过程中，存在多种格式的通信包。必须把所有这些格式的通信包的识别规则，都加以设置，才能记录下全部通信数据。否则就会漏过记录，只能记录一部分通信数据。

    这种情况下，不能设置一个通用的通信包识别规则，则只能对每一种格式的通信包，都设置不同的识别规则。但这些识别规则的协议名称不同，但可以编号，知道这些协议实际是属于同一个协议。

    例如。QQ通信，就存在多种格式的数据包。则分别设置QQ1、QQ2、QQ3，这样，才能把全部格式的QQ通信包，都识别出来，加以记录。

    我们将逐步把QQ、MSN等常见的应用协议的识别规则，公布在网站上，简化用户操作。

问题3
--------------------------------------------------------------------------------------------

    我怎么禁止用户使用BT、电炉、讯雷等下载工具和P2P工具的使用？

    这些下载工具的禁止使用，有2个途径。

    一是禁止访问特定类型的文件扩展名，例如“.bt”等文件扩展名不允许访问。但这种方式太粗糙，这些下载工具并非只支持单一固定的文件扩展名。使用第二种方式，则可以彻底杜绝这些下载。

    二是把这些工具软件发送的原始数据保留下来，分析其特征，添加到应用协议识别规则中。然后禁止这些协议的通信。如果有下载工具是采取HTTP协议进行通信，则其发送HTTP请求头部和HTTP响应头部中，都必然包含有特殊的字段或者MIME类型，只要把这些特殊的字段和MIME类型，添加到对应的过滤规则中，就可以禁止其通过。这些下载工具软件就无法正常使用。

    我们将逐步把常见的P2P下载工具软件的识别和过滤规则，公布在网站上，简化用户操作。