Innehållsbaserade filtreringsprogram bestämmer inte direkt om de ska tillåta paket i ett skyddat nätverk baserat på att inspektera paketets innehåll ensam. Det skulle vara oerhört ineffektivt och opraktiskt för höghastighetsnätverk. Istället arbetar de genom att inspektera specifika delar av paketets * rubrik * och använda den informationen för att tillämpa fördefinierade regler. "Innehållsdelen" bestäms ofta indirekt baserat på denna rubrikinformation och potentiellt viss djup paketinspektion (DPI) i mer sofistikerade system.
Så här fungerar det:
1. Huvudinspektion: Den primära mekanismen undersöker pakethuvudet. Detta inkluderar fält som:
* Käll- och destinationens IP -adresser: Filtreringsregler kan blockera trafik från eller till specifika IP -adresser, adresser eller hela nätverk (t.ex. blockering av all trafik från ett känt skadligt IP -intervall).
* Källa och destinationsportar: Detta är avgörande för att identifiera applikationsprotokollet (t.ex. port 80 för HTTP, port 443 för HTTPS, port 25 för SMTP). Regler kan blockera specifika portar eller protokoll helt (t.ex. blockera all trafik på port 25 för att förhindra skräppost).
* Protokolltyp: Detta indikerar nätverkslagerprotokollet (t.ex. TCP, UDP, ICMP). Regler kan filtrera baserat på protokolltypen (t.ex. blockering av ICMP -ping -översvämningar).
* andra rubrikfält: Mindre vanliga men möjliga är filter baserade på saker som TTL (tid att leva), flaggor i TCP -rubriker eller andra mindre undersökta fält.
2. djup paketinspektion (DPI): För mer sofistikerad innehållsfiltrering används DPI -tekniker. Dessa innebär att undersöka paketets nyttolast (den faktiska data) i begränsad utsträckning. Detta är beräkningsintensivt och som vanligtvis inte tillämpas på varje paket, endast de som matchar specifika kriterier som identifierats i steg 1. DPI kan analysera:
* urls: Extrahering av URL:er från HTTP -förfrågningar gör det möjligt att blockera åtkomst till specifika webbplatser eller kategorier av webbplatser (t.ex. blockering av åtkomst till sociala mediasidor).
* Nyckelord: Analysera paketet nyttolast för specifika nyckelord eller mönster (kräver betydande bearbetningskraft och kan vara begränsad till specifika applikationer).
* filtyper: Identifiera vilken typ av fil som överförs (t.ex. blockering av körbara filer).
3. Regelbaserat beslutsfattande: Baserat på den information som samlas in från steg 1 och 2 tillämpar filtreringsprogrammet fördefinierade regler. Dessa regler specificerar åtgärder som ska vidtas baserat på paketets egenskaper. Dessa regler kan:
* tillåt: Låt paketet passera till det skyddade nätverket.
* förnekar: Blockera paketet och förhindra att det kommer in i nätverket.
* log: Spela in paketinformationen i en loggfil för revision och analys.
Sammanfattningsvis: Innehållsbaserad filtrering handlar mindre om att direkt analysera "innehåll" och mer om att använda lätt tillgänglig rubrikinformation och selektivt tillämpa DPI för att upprätthålla förkonfigurerade säkerhetspolicyer baserade på källa/destination, protokoll och eventuellt specifika innehållselement inom valda paket. Fokus ligger på effektivitet och hastighet, eftersom undersökning av varje byte i varje paket i allmänhet är omöjligt.
