如果您是老板，您愿意让员工在上班时间经常浏览娱乐新闻吗？如果您是校长，您愿意让学生沉迷于网络，不断被不良信息毒害吗？不，当然不。互联网的不断普及和发展，其积极作用勿庸置疑，但随之而来的网络内容“垃圾”也已经开始侵入人们的生活。因此，人们基于保护自身的需要，对“绿色网络空间”的呼唤越来越强烈。我们能不能找到一种行之有效的垃圾内容过滤产品？Web内容过滤产品应运而生，引起人们关注。

这些内容过滤产品究竟在实际工作中的表现如何呢？为此，《计算机世界》评测实验室于近期进行了一次千兆位的Web内容过滤产品横评，希望能够给用户在选择和部署这些产品时提供一些提示与启发。在产品征集期间，我们曾分别向市场上主流的内容安全厂商发出邀请，并在《计算机世界》报和计世网上分别刊登了评测邀请函。最终，飞塔（FortiNet）、美讯智（Surfcontrol）、8e6科技和深圳任子行公司等四家厂商的优秀产品参加了本次测试。对此，我们对勇于参加本次测试的厂家表示感谢。

产品巡礼

这次我们征集到的四款Web内容过滤产品均为部署在网络边缘的设备，虽然各有特色，但根据工作模式大体可以分为两种：穿透式（Passthrough）和旁路式（Passby）。

飞塔送测的FortiGate 3600是一款功能集成度很高的产品，是典型的采用穿透式工作模式的产品，Web内容过滤模块嵌入防火墙芯片，并响应网络边缘接入基础平台的访问请求，根据规则做出允许或禁止的判断，然后由硬件平台执行过滤的工作。

而其他3家厂商的产品，虽说有的可以支持穿透模式，但设计思路和推荐工作模式还是以旁路式为主。这些产品是独立的，能够监听网络上所有信息，并有选择地对基于TCP 的连接（如HTTP/HTTPS/FTP等）进行阻断。旁路式过滤的原理是基于TCP的连接性：跟踪所有TCP连接，阻断时以服务器身份向客户端发送HTTP FIN PUSHACK，同时以客户端身份向服务器发送HTTP RST。

这两类产品各有特色，也各有缺陷。穿透式产品除了基于URL名单过滤之外，大都可以实现基于页面关键字的过滤效果，它们将用户要访问的页面数据下载到其缓存中，通过对数据包的直接分析达到基于关键字的过滤效果，但同时给用户带来的可能是网络处理瓶颈、潜在的故障点、用户等待时间变长等不利因素。相对而言，旁路式内容过滤产品大都可以快速部署，对网络运行不存在影响和风险，但又不支持基于关键字的分析过滤效果。

综合大比拼

目前，在众多过滤技术之中， URL名单过滤技术已被绝大部分内容安全厂商采用，而且这次参测的产品也均支持该技术。因此，在这次测试中，我们主要考察的是采用该技术的过滤效果。

为了全面测试这类产品，我们制定了详细的测试计划，涉及URL站点分类库测试（即屏蔽准确率测试）、网络处理性能测试、日志报表分析和管理控制等几个方面。在测试中，我们主要采用了思博伦通信公司的专业测试仪器Avalanche 2500、Reflector 2500以及Avalanche 7.0测试软件。此外，还采用了D-Link DES 3350SR和Quidway S5600交换机搭建测试环境。

URL站点库测试

URL站点库的数量和分类屏蔽效果，是评价一个Web内容过滤产品的重要指标。考虑到各家厂商对URL站点库的分类没有采用统一的标准，所以，为了公平起见，我们统一基于色情分类进行测试。

出于公平的原则，我们分别向参测的4家厂商征集色情类URL站点样本。但由于这部分资源涉及企业的机密信息，所以在征集样本的过程中遇到了一些困难，不过美讯智和任子行两家公司非常支持我们的工作，提供了丰富的列表资源，对此我们再次向他们表示感谢。经过筛选，我们采用了美讯智和任子行的各400条，总计800条有效的站点作为色情类URL站点测试样本。

图１ 穿越式URL列表库测试拓扑图

为了适应各家产品的最佳工作模式，我们分别搭建了穿越式和旁路式两种测试环境，见图1、图2。测试时，分别将被测产品URL列表库升级到最新，并启用色情相关的类别过滤功能。为了避免不必要的测试影响，我们对所有参测设备均测试了3遍，取最佳过滤结果记录。

图2 旁路式URL列表库测试拓扑图

在这项测试中，美讯智的SWF表现最好，屏蔽率达到了95％；飞塔的FortiGate 3600和8e6的R3000G也分别取得了73.38%、72.88%的成绩，考虑到测试样本中并没有包含它们的URL列表，能够在完全中立的情况下取得如此成绩，实属不易；任子行的任天行G3000表现稍差，成绩为67.80%。

网络处理性能测试

网络处理性能同样也是衡量一个网络安全产品的重要指标。在多大的网络压力下还能取得正常的过滤效果，是我们这次考查的重点。为了与URL站点库测试对应起来，我们同样采用类似的测试环境和策略，不同的是，我们用专业测试仪器Avalanche 2500、Reflector 2500分别模拟了网络用户和Web服务器。

图3 穿越式性能测试拓扑图

在网络处理性能测试中，我们采用了参测设备均能正常屏蔽的著名的色情网站：http://www.playboy.com作为Avalanche 2500模拟用户的登录站点，将Reflector 2500配置成为Web服务器，模拟www.playboy.com站点，并通过配置DNS将www.playboy.com映射为Reflector 2500模拟的Web服务器，测试拓扑见图3、图4。

图4 旁路式性能测试拓扑图

结合旁路设备的工作原理，我们主要选择参测设备对用户URL请求处理速率和平均响应时间进行测试。URL请求处理速率是指，当众多用户访问违规站点时，被测设备能够全部正常做出阻断响应的最大处理速率。这次参测的产品标称支持的用户数大都和它的数据库承受能力有关，而具体网络处理能力还是和我们测试的URL请求处理速率相关。举个例子，假设一个3000人的公司，平均每秒有10人发出违规的URL请求，如果Web过滤设备不能达到相应的速度，就不能完全支持3000人的公司正常使用。平均响应时间是指从用户发出违规的URL连接请求，到收到阻断页面的平均等待时间。我们测试中记录的数据是被测设备在上述最大处理速率下的结果。

在这项测试中，任天行G3000表现最好，URL处理速率高达5000个连接/秒，平均响应时间为49.26ms；8e6的R3000G可能是由于硬件配置低的原因，表现较差，URL处理速率为11个连接/秒，但是它的平均响应时间仅为0.33ms。

报表分析及易用性

日志分析和报表也是Web内容过滤产品的重点。作为企业的主管、学校的校长或管理员，您不只是将设备的配置策略好放在网上就行了，还需要对这些上网记录加以记录分析，做出相应调整，以便进一步完善过滤效果。因此，良好的日志记录和报表分析变得非常重要。此次参测的产品都包含这部分功能，而且有的做得很好。例如，8e6科技还提供了专门的跟踪记录报表系统ER 3，实现了海量数据的专业分析能力。

易用性也是我们需要考核的重要指标之一。测试中，我们本着以人为本的原则，主要针对安装部署、管理、策略编辑、中文语言支持、售后服务等几个方面进行了综合评价。在安装部署方面，这几款产品做得都不错，工作环境简单，将对用户现有网络的影响降到了最低。在管理、策略编辑上，美讯智的SWF和8e6的S3000G做得很人性化，管理员可以基于用户组进行策略的定制，并且可以通过时间或访问流量进行人性化的控制。在本地化方面，这次参测的产品大都支持中文，只有8e6的S3000G由于刚进入中国市场，目前还没有中文语言支持。URL站点数据库更新方面，所有产品都提供定时更新，有的甚至达到了全球24小时更新，使用户获得了更加可靠的保障。

此外，评价一款Web内容过滤产品，我们还要综合考虑很多其他因素。第一，对于大型用户而言，Web内容过滤产品是否支持远程管理、监控、预警及策略的统一发放也很重要。第二，系统结构是否合理、安全性是否达到用户要求。最后，用户还应注意价格，我们这次所述的价格指的是产品的公开报价，而且和产品硬件配置和支持的人数成正比关系，这些因素用户需要综合考虑。

测试中，各家厂商的技术工程师对我们的测试给予了很大支持、配合，并提出很多优秀建议，在此我们向他们表示感谢。

相关链接一

Web内容过滤技术是什么？

Web内容过滤技术是指在网络的不同位置部署访问策略，通过一定的技术手段，根据对内容合法性的判断来禁止用户访问不良内容。这样既阻止了不良信息对人们的侵害，适应社会对意识形态方面的要求，又通过规范用户的上网行为，提高了企业的工作效率，合理利用网络资源，减少病毒、间谍软件、黑客软件对网络的侵害。

一般来说，内容过滤技术包括名单过滤技术、关键词过滤技术、图像过滤技术、模板过滤技术和智能过滤技术等。需要说明的是，现在内容过滤技术还处于初级阶段，实用的技术相对比较单一，主要表现在名单过滤和关键词过滤技术基本成熟，而图像过滤与模板过滤技术还处于起步阶段，面临着图片的智能识别和过滤对机器或网络性能存在负面影响的障碍。因此，现阶段的Web内容过滤产品主要是对URL网址过滤和网页关键字等固定内容过滤，还无法做到智能的判断。

相关链接二

如何有效地提高URL列表库的效率？

每个月都有超过100万个新注册的网站出现在互联网上，也就是说互联网是变化的，这种变化是永不停息的。我们不可能把所有的网站和网页都进行归类并放在数据库当中，这样的话，这个数据库的规模将会远远超过实际应用中硬件平台性能所能承受的极限。最好的办法还是挑选一部分网站放在数据库当中，这些网站至少具有两个特征：1、访问量比较大；2、包含不良内容。对于那些访问量不大，或者内容打擦边球的网站，大可以忽略不计。

此外，每个企业或者每个人的浏览习惯都是不一样的，也可能有些人特别喜欢浏览一些冷门的网站，这就涉及个性化的问题。为了对这些访问进行控制和过滤，内容过滤产品本身还要具有一定的智能，能够自动分析归类这些网站的内容，并对用户的访问进行过滤。这样的分析结果应该保留在访问者的本地内容过滤设备上，而不是同步到所有的用户。这样的话，所有用户就有一个集中的公共数据库，包含了绝大部分热门网站；每个用户还有一个分散的私人数据库，包含了自己的浏览分析归类数据。

表（图）

测试花絮

“晕！为什么我访问这个站点明明已被设备记录且归类为色情站点，但没有阻断我的连接？”

解释：一些串行工作的产品，会将常用的连接放到缓存里面，一旦出现陌生的网址，需要进入URL站点数据库进行匹配，需要一定的时间，在这期间连接被漏过了。

建议：一旦启用设备，减少不必要的重启次数。

（计算机世界报 2005年10月10日 第38、39期 D6、D7、D8）