Inhaltsbasierte Filterprogramme entscheiden nicht direkt, ob Pakete in einem geschützten Netzwerk zuzulassen, basierend auf der Überprüfung des Inhalts des Pakets allein. Das wäre für Hochgeschwindigkeitsnetzwerke unglaublich ineffizient und unpraktisch. Stattdessen inspizieren sie bestimmte Teile des * Headers * des Pakets * und verwenden diese Informationen, um vordefinierte Regeln anzuwenden. Der "Inhalt" -Teil wird häufig indirekt anhand dieser Header -Informationen und möglicherweise einer tiefen Paketinspektion (DPI) in ausgefeilteren Systemen bestimmt.
So funktioniert es:
1. Header -Inspektion: Der Hauptmechanismus besteht darin, den Paketkopf zu untersuchen. Dies beinhaltet Felder wie:
* Quell- und Ziel -IP -Adressen: Filterregeln können den Verkehr von oder auf bestimmte IP -Adressen, Adressenbereiche oder ganze Netzwerke blockieren (z. B. den gesamten Datenverkehr aus einem bekannten böswilligen IP -Bereich blockieren).
* Quell- und Zielports: Dies ist entscheidend für die Identifizierung des Anwendungsprotokolls (z. B. Port 80 für HTTP, Port 443 für HTTPS, Port 25 für SMTP). Regeln können bestimmte Ports oder Protokolle vollständig blockieren (z. B. blockieren alle Datenverkehr auf Port 25, um Spam zu verhindern).
* Protokolltyp: Dies zeigt das Netzwerkschichtprotokoll (z. B. TCP, UDP, ICMP). Regeln können basierend auf dem Protokolltyp filtern (z. B. blockieren ICMP -Ping -Überschwemmungen).
* Andere Headerfelder: Weniger häufig, aber möglich sind Filter, die auf Dingen wie TTL (Zeit zum Leben), Flaggen in TCP -Headern oder anderen weniger häufig untersuchten Feldern basieren.
2. Inspektion für die tiefe Paket (DPI): Für eine ausgefeiltere Inhaltsfilterung werden DPI -Techniken eingesetzt. Diese umfassen die Untersuchung der Nutzlast des Pakets (die tatsächlichen Daten) in begrenztem Umfang. Dies ist rechnerisch intensiv und in der Regel nicht für jedes Paket angewendet. Nur diejenigen, die in Schritt 1 analysieren, können DPI analysieren:
* URLs: Durch das Extrahieren von URLs aus HTTP -Anforderungen ermöglicht die Blockierung des Zugriffs auf bestimmte Websites oder Kategorien von Websites (z. B. den Zugriff auf Social -Media -Websites).
* Schlüsselwörter: Die Analyse der Paketnutzlast für bestimmte Schlüsselwörter oder Muster erfordert eine erhebliche Verarbeitungsleistung und kann auf bestimmte Anwendungen begrenzt sein).
* Dateitypen: Identifizierung der übertragenen Dateityp (z. B. blockieren ausführbare Dateien).
3. Regelbasierte Entscheidungsfindung: Basierend auf den aus den Schritten 1 und 2 gesammelten Informationen wendet das Filterprogramm vordefinierte Regeln an. Diese Regeln geben Maßnahmen an, die auf der Grundlage der Merkmale des Pakets ergriffen werden sollen. Diese Regeln könnten:
* erlauben: Erlauben Sie das Paket, an das geschützte Netzwerk zu gelangen.
* leugnen: Blockieren Sie das Paket und verhindern Sie, dass es in das Netzwerk eintritt.
* log: Notieren Sie die Paketinformationen in einer Protokolldatei zur Prüfung und Analyse.
Zusammenfassend: Bei der inhaltsbasierten Filterung geht es weniger um die direkte Analyse von "Inhalten" als auch bei der Verwendung leicht verfügbarer Headerinformationen und der selektiven Anwendung von DPI, um vorkonfigurierte Sicherheitsrichtlinien auf der Grundlage von Quelle/Ziel, Protokollen und möglicherweise spezifischen Inhaltselementen in ausgewählten Paketen durchzusetzen. Der Fokus liegt auf Effizienz und Geschwindigkeit, da die Untersuchung jedes Bytes jedes Pakets im Allgemeinen nicht zu tun ist.
