1. 概述

內容過濾已經是目前各種防火墻所具備的基本功能，本文總結各種防火墻的內容過濾模式。
內容過濾主要是針對TCP、UDP協議的上層協議的內容信息來處理的。
內容過濾是針對明文進行的，或者是偽明文，如base64編碼、壓縮等，加密信息如SSL、SSH等是不可能進行內容過濾的。

2. HTTP協議（TCP80）

HTTP協議是應用最為廣泛的協議，相對來說針對HTTP的內容過濾模式也最多。

2.1 URL過濾

URL過濾是HTTP過濾的基本模式，URL過濾可包括URL白名單、黑名單、關鍵字等，還可以進一步與其他服務器配合進行URL過濾，如CheckPoint的UFP協議，WebSense提供URL的數據庫和分類。

2.2 HTTP數據類型過濾

HTTP數據類型可根據URL定義的文件類型；
上傳或下載的文件類型；
HTTP頭字段Content-Type定義的類型；
HTML語言定義的類型，如IMG、APPLET、SCRIPT等進行過濾。

2.3 HTTP頭(header)字段過濾

HTTP定義了很多頭字段用于描述HTTP信息，可以針對各種類型的頭字段進行過濾。

2.4 HTTP命令類型過濾

HTTP命令包括GET、PUT、POST等，通過命令過濾可限制用戶使用HTTP某些功能。

2.5 HTTP內容關鍵字過濾

對所有HTTP協議任何數據中的關鍵字進行過濾

3. FTP協議（TCP21）

3.1 上傳下載文件類型過濾

針對FTP的GET和PUT命令執行的文件類型進行過濾

3.2 FTP命令過濾

針對FTP的命令進行過濾，以阻止執行某些命令，FTP協議命令和FTP客戶端界面的命令是兩碼事，FTP命令集在RFC959、2228、2640中定義。

3.3 FTP命令通道內容關鍵字過濾

針對FTP命令通道內的任何數據中的關鍵字進行過濾。

3.4 FTP數據通道關鍵字過濾

針對FTP數據通道任何數據的關鍵字進行過濾。

4. SMTP協議（TCP25）

SMTP協議可過濾的內容也比較多

4.1 SMTP協議頭字段過濾

和HTTP一樣，SMTP也通過很多頭字段來描述要傳輸的內容，針對各種類型的頭字段進行過濾，可以包括過濾如Subject, To, From, Cc等的關鍵字信息。

4.2 郵件長度過濾

限制發送的郵件長度。

4.3 郵件內容關鍵字過濾

針對郵件數據中的關鍵字進行過濾，現在的SMTP傳輸雙字節語言和二進制數據都是編碼的，需要進行解碼后過濾。

4.4 郵件附件過濾

針對郵件附件的類型、內容關鍵字進行過濾。

5. IMAP(TCP143)/POP3(TCP110)過濾

雖然都屬于郵件，但POP3的過濾方式比SMTP要少，畢竟郵件已經到達目的郵箱中，不要只能自己刪除。

5.1 郵件內容關鍵字過濾

針對郵件數據中的關鍵字進行過濾，現在的SMTP傳輸雙字節語言和二進制數據都是編碼的，需要進行解碼后過濾。

5.2 附件文件類型過濾

針對郵件附件類型進行過濾，對于危險類型的附件進行警告并阻止其自動運行。

6. DNS協議（TCP/UDP53）

DNS過濾其實是最強的限制方式，使域名解析失敗，這樣不論是HTTP還是TELNET、FTP等，任何協議都無法使用。

6.1 域名過濾

根據域名信息的白名單、黑名單、關鍵字進行過濾

6.2 DNS地址NAT

是解決內網服務器和內部機器在同一網段時通過域名訪問服務器的問題，也屬于內容過濾處理范疇

7. TELNET過濾(TCP23)

TELNET一般只進行關鍵字過濾

8. 其他協議

其他類型協議的內容過濾相對比較少，基本就是對協議內容的關鍵字過濾。

9. 協議合法性檢測和閾下通道檢測

主要是檢查協議通道內是數據是否是符合RFC標準的數據，防止其他協議使用該端口進行通信。

10. 病毒過濾

網絡病毒可以通過任何一種網絡協議進行傳播，所以將其單獨列出。

有的防火墻自己帶了病毒庫，可以在轉發數據的同時進行搜索；一般是和病毒服務器進行互動，把數據傳給病毒服務器，由病毒服務器掃描后將結果返回。無論何種形式，病毒檢測都是最慢最費資源的處理過程，病毒掃描速度大致可以自己試，如果10M帶寬，每秒數據1.25兆字節，用單機殺毒工具掃一個1.25兆的文件看看要多少時間。不過通常病毒庫中只包括網絡病毒，不包括單機類病毒，這樣可以減少掃描時間。