SIP无缝透明上网过滤解决方案

一、无缝透明上网过滤概念

  无缝透明上网过滤，有两个方面的含义：无缝透明地在现有网络环境中实现上网过滤；无缝透明地在标准网络结构中实现上网过滤。

   1、无缝透明地在现有网络环境中实现上网过滤，就是在不改变现有系统网络中的硬件配置和软件配置的条件下，实现上网过滤管理。这个含义符合大部分客户的现实需求。因为大部分客户，已经构建好通信网络，而且构建网络时，并没有考虑上网过滤的需求。上网过滤管理的需求，是后来才逐渐发展需要。所以，怎样在不改变现有硬件环境和配置、现有软件环境和配置的条件，实现上网过滤管理的需求，正成为很多客户的一个迫切需要解决的难题。

   2、无缝透明地在标准网络结构中实现上网过滤，就是在建设新的网络时，完全不用事先考虑上网过滤的特殊需求，不用专门为上网过滤进行特殊的网络设计，完全按照业界标准设计和搭建网络。需要进行上网过滤管理时，却可随时在不改变网络设计和配置的条件下，进行上网过滤管理。怎样在标准的网络结构下，实现上网技术的需求，也是客户的一个迫切需要解决的难题。

    正是基于市场客户的具体需求，深圳市飞沃软件有限公司提出无缝透明上网过滤概念，开发能够满足无缝透明上网过滤需求的产品，就是极具技术创新性的SIPFilter过滤管理系统软件产品。公司同时基于该产品，提供无缝透明上网过滤需求的系统解决方案。

二、SIPFilter过滤产品介绍

    SIPFilter过滤系统是一款纯软件通信产品，全部功能都是为上网过滤管理需求而设计。产品是一个通用的上网过滤平台，适应学校、企业、政府部门等多种上网过滤和管理的需求，可灵活定制上层的各种过滤管理应用功能。通信数据的过滤处理，产品还支持第三方过滤器组件的二次开发，随时实现按需定制过滤。

    SIPFilter过滤软件基于透明代理技术，实现网络通信数据的过滤处理。产品具有非常广泛的适应性，适应各种网络结构下的上网过滤需求。无论客户是通过网关服务器共享上网，还是通过硬件路由器上网，还是其它设备上网；无论客户的上网出口是何种方式，电话拨号、ADSL拨号、DDN、ISDN、专线静态IP、光纤接入等；无论是单上网出口，还是多上网出口负载均衡（或故障接管）；当需要上网过滤和管理时，SIPFilter过滤产品都完全支持。而且SIPFilter过滤产品还提供客户机流量带宽管理等附加功能，提供更为全面的上网管理。

    正因为SIPFilter过滤产品具有的广泛适应性和灵活性，所以具有解决无缝透明上网过滤管理的能力。使用SIPFilter过滤产品，就可解决无缝透明上网过滤和管理的需求难题，就可提供无缝透明上网过滤管理的解决方案。该方案最大的特点就是标准、简单、方便、灵活。

    SIPFilter过滤产品的详细说明和技术资料，请参阅其产品资料，并可免费下载试用。

三、两种典型网络结构的无缝透明上网过滤解决方案

    两种典型情况：网关服务器共享上网、硬件路由器上网，其上网过滤管理解决方案，详细说明如下。

1、网关服务器共享上网

    如图一，很多客户，都是通过一台服务器当作内部网络共享上网的网关服务器，上网接口是ADSL拨号（或者ADSL固定IP，或者ADSL非拨号动态IP），或者光纤拨号（或者光纤固定IP，或者光纤非拨号动态IP）。网关服务器具有双网卡，一块网卡接ISP提供的网线接口，另一块网卡接内部网络的交换机。

图一、网关服务器共享上网拓扑结构示意图

    在这种结构下，需要添加上网过滤和管理的功能，使用SIPFilter过滤产品，则可以非常简单地得到实现。只需要在现有的网关服务器上安装SIPFilter过滤软件及其过滤管理系统，即可达到上网管理和过滤的目标。网关服务器只要使用的是WIN2000、WINXP、WIN2003操作系统，不需要重装服务器，只需要安装SIPFilter过滤系统，即可过滤。网关服务器上配置无需作什么其它改动，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网过滤管理的应用需求即被无缝透明地得到实现。如图二。

图二、网关服务器共享上网过滤拓扑结构示意图

    在这种方式下，添加SIPFilter过滤软件后，客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。网关服务器上的SIPFilter过滤软件，自动对每台客户机进行过滤。

2、硬件路由器上网

    如图三，现在也有很多客户是通过一台硬件路由器上网。路由器一端接内部网络的交换机，另一端接ISP提供的网线接口。上网出口方式多种多样，只要路由器支持，就都可使用。

图三、路由器上网拓扑结构示意图

    在这种结构下，怎样来添加上网过滤和管理的应用功能呢？在SIPFilter的解决方案中，使用SIPFilter的桥接过滤方式来达到过滤和管理的功能。

    如图四，该方案就是在交换机和路由器之间，插入一台计算机。该计算机具有双网卡，一块网卡连接路由器，另一块网卡连接交换机。安装SIPFilter产品后，启用产品本身的网桥功能。该计算机成为一个网桥设备，透明地把交换机和路由器两端的通信连接起来。内部网络、内部电脑和路由器的配置都不用作任何改变，好象不存在这台网桥一样。网桥在网络中完全是透明的，因为网桥属于数据链路层设备，对上层TCP/IP通信透明。

图四、网桥上网过滤拓扑结构示意图

   路由器配置无需作任何改变，上网客户机上也无需安装任何特殊软件，配置也无需作任何改动。上网过滤管理的应用需求即被无缝透明地得到实现。

    在这种方式下，添加网桥计算机和SIPFilter过滤软件后，客户机上网，无需作任何改动，只要原来能上网，现在也能顺利上网。网桥过滤机上的SIPFilter过滤软件，自动对每台客户机进行过滤。

    该方式非常灵活方便。需要过滤时，把过滤机到总交换机和路由器中间。不需要过滤时，或者过滤机出现故障，可以撤下过滤机，让总交换机和路由器直接连接，内部客户机无需做任何设置，仍然可以继续上网，不会受到任何影响。这也是无缝透明性的另一个体现。

四、SIPFilter过滤产品提供的过滤管理功能

    SIPFilter过滤产品具有如下强大的过滤管理功能，可以对用户上网行为，进行全面的过滤管理和记录。

• 支持TCP通信和UDP通信，两种数据的透明代理过滤。

• 支持网桥透明过滤。服务器配置成网桥，直接连到网络中，不改变现有网络任何设置，透明过滤。

• 可以设置某些客户机不进行透明代理，直接走IP路由通信，适应特殊通信的需要。

• 可以设置某些网站不进行透明代理，直接走IP路由通信，适应特殊通信的需要。

• 某个用户可以单独停止过滤，满足特殊情况的需要。

• 某个网站可以单独停止过滤，满足特殊情况的需要。

• 合理的过滤规则管理方法。缺省网站过滤规则、全局规则、用户组规则、用户规则，可以分4级设置不同的过滤规则，灵活方便地适应复杂过滤规则管理的需要。既解决巨大数量网站的规则管理问题，又适应少数特殊网站特殊设置例外规则的需要。

• 合理的过滤规则管理方法，使SIPFilter支持上百万、上千万数量级的网站黑名单过滤，并且不显著降低过滤速度。

• 支持网站黑名单（禁止访问）、白名单（只允许访问），并且支持网站域名、网站IP地址、网站URL，三种设置方式。支持网站分类管理。

• 支持端口过滤。禁止访问哪些网站端口，或者只允许访问哪些网站端口。端口过滤支持FTP动态端口，但必须使用被动FTP模式。

• 支持IP地址段过滤。禁止访问哪些IP地址段的网站，或者只允许访问哪些IP地址段的网站。

• 支持文件扩展名过滤。禁止访问哪些扩展文件名的URL，或者只允许访问哪些文件扩展名的URL。此功能可以禁止下载、BT、电炉等。

• 支持内容MIME类型过滤。禁止访问哪些MIME类型的资源，或者只允许访问哪些MIME类型的资源。此功能可以禁止下载、BT、电炉等。

• 支持通信协议过滤。禁止哪些应用通信协议，或者只允许哪些应用通信协议。此功能可以禁止QQ、MSN、SMTP、POP3，等等通信。支持设置不同协议的识别规则，以管理各种不同的应用协议，适应灵活扩展需要，适应网络应用的不断发展。

• 支持HTTP请求头部字段过滤。禁止含有设定字段的HTTP请求数据包通过。

• 支持HTTP响应头部字段过滤。禁止含有设定字段的HTTP响应数据包通过。

• 支持HTTP通信数据的内容过滤。对通信网页内容进行关键词过滤，含有不良非法信息的网页，禁止浏览，也禁止在网上发表含有不良非法信息的内容。

• 内容过滤更支持一种独具特色的过滤方式，多关键词并发过滤。同时满足并发的多个关键词，才算满足条件；只包含其中的一个或几个，不是全部包含，不算满足条件。使内容过滤更加准确。

• 支持三种不同的过滤措施，满足实际不同需要。（1）、记录过滤日志，禁止访问。这是常规意义上的过滤概念。（2）、只记录过滤日志，但允许访问。一种高级的过滤技术。只把用户的触发过滤规则的日志记录下来，以备事后查看，但是并不实时干预用户的上网行为。（3）、不记录过滤日志，且禁止访问。第一种过滤措施的补充，避免过滤日志数据量过大。

• 支持创新性的三种内容过滤方式，使内容过滤更准确，措施更合适，避免一刀切。（1）、只要包含关键词就禁止访问网页。这是常规意义上的内容过滤行为。（2）、正文中包含就禁止访问网页，只在链接中包含则允许访问网页。该方式适应门户网站链接不良信息网站，但网页本身可以浏览。（3）、正文中包含就删除关键词，链接中包含则删除整个链接，但网页允许访问。该方式更为友好，直接把不良词语删除，但网页还是可以浏览。

• 过滤规则中，网站域名、URL等，都既支持完全匹配，又支持模糊匹配。

• 日志的选择性记录。访问日志和过滤日志，为了避免带来太多数量的日志，可以设置哪些文件扩展名的资源，不记录日志。例如网页中包含的大量gif、jpg、png等小图片的访问，对日志记录就无太大意义，可以不用记录这些文件的访问日志。

• 访问日志和过滤日志，可以选择保存到数据库中，也可以选择保存在文件中。如果保存到数据中，支持定期删除过期日志数据。如果保存到文件中，支持日志文件的自动备份和重新创建，避免日志文件过大。

• 可以监控每个上网连接会话的并发TCP连接数量。每个用户，可以设置不同的允许最大并发TCP连接并发数。

• 支持用户上网通信原始数据的备份保存。可以把用户的原始通信数据，原样备份保存到文件中，并可以按保存规则，解析数据，还原原始通信过程。

• 原始通信数据的保存，支持按多种方式保存，灵活适应实际需要。（1）、全部保存。（2）、只保存发送的HTTP数据，例如POST的数据。（3）、只保存指定协议的全部数据。例如只保存outlook收发邮件的原始通信数据。（4）、只保存指定协议的全部数据和发送的HTTP数据。第2种和第3种数据都保存。

• 原始数据保存文件，可以设置最大长度。超过最大长度，自动备份，并重新创建备份文件，重新开始备份，避免文件过大。

• 完善的日志记录功能。访问日志，记录用户ID、客户机IP、访问时间、站点和URL、端口、协议类型、方法（GET、POST等）、传输方向（发送、接收）。过滤日志，除记录下访问日志具有的所有数据外，还记录触发的是哪一类规则、触发的是哪一条规则，让管理员对过滤情况清楚把握，对用户的上网情况清楚了解。

• 灵活方便的日志查询功能。

• 支持通信数据过滤的第三方扩展。用户可以根据自己实际情况的需要，开发自己的过滤器组件，对
  客户机通信数据进行自己需要的过滤和记录处理。

附录：SIPFilter过滤产品的详细情况，请浏览其产品网站：www.feware.com。

作者版权所有：深圳市飞沃软件有限公司，电话：0755-25849097

欢迎转载，转载请标明原作者！