3.2.1.Kiến trúc tổng quan
Về cơ bản giải pháp lọc nội dung cho một mạng LAN của một đơn vị (trƣờng học, doanh nghiệp, điểm truy cập Internet công cộng,…) tƣơng tự nhƣ hệ thống lọc nội dung tại ISP nhƣng có quy mô nhỏ hơn [ 3, 14, 15, 16, 17 ].
Một hệ thống lọc nội dung bao gồm các thành phần:
o Bộ quyết định. o Lọc cụ thể, lọc loại trừ. o Proxy cache. o Lọc nội dung. INTERNET ` LAN ` ` Gateway Filter
Hình 3.3. Gateway Filter lọc cho một mạng LAN
3.2.2.Giải thuật và cơ chế hoạt động
Giải thuật lọc nội dung (text/html) cho cổng Internet của một mạng LAN (hiện đang đƣợc công ty Điện toán và Truyền số liệu áp dụng triển khai trên 20.000 đại lý Internet công cộng):
Module WebFilter sẽ lắng nghe kết nối tại port 8080, nếu nhận đƣợc kết nối và request HTTP từ client thì nó sẽ kiểm tra xem có phải kết nối này tới Proxy (ngƣời dùng tự thiết lập thông số Proxy bằng tay, hoặc Firewall tự động chuyển kết nối port 80 sang port 8080) nếu sai thì hủy kết nối, nếu đúng kiểm tra URL. Chi tiết giải thuật đƣợc mô tả trong hình. Các bƣớc chính thực hiện của giải thuật gồm:
o WebFilter thực hiện kiểm tra xác định nhận dạng của ngƣời dùng bằng cách thử: xác thực header proxy, NTLM, nhận dạng server.
o Kiểm tra URL có chứa nội dung hợp lệ hay không?
o Bộ lọc tạm thời có cho qua hay không?
o IP của client, username, domain request hoặc URL có nằm trong danh sách đƣợc phép hay không?
o Có cần quét nội dung trang web tƣơng ứng với URL không?
o Có phải trang web là ngoại lệ hoặc trong chế độ cookie bypass và request không phải là banned hoặc trong chế độ quét nội dung không? Nếu đúng thì chuyển yêu cầu header của client tới proxy, nếu sai thì kiểm tra tiếp: cho phép banner hoặc HTTPS request và không trong chế độ bypass/exception? Nếu đúng thì kiểm tra xem request có phải banned không và kiểm tra HTTPS. Nếu sai thì chuyển yêu cầu header của client tới proxy, nhận các header trả lại từ proxy (chuyển sang sơ đồ giải thuật tiếp theo).
Hình 3.5.Sơ đồ giải thuật lọc cho mạng LAN 2
o Có trong chế độ bypass?
o Có trong chế độ exception?
o Kiểm tra MIME type trả lại.
o Kiểm tra phần mở rộng trả lại. o Kiểm tra Proxy header
Hình 3.6.Sơ đồ giải thuật lọc cho mạng LAN 3
o Kiểm tra: cache URL là enabled và không trong chế độ scanning; hoặc cache URL đƣợc quét là enabled. Nếu đúng, kiểm tra xem URL có nằm trong clean cache không? Nếu URL nằm trong clean cache thì chuyển sang sơ đồ giải thuật tiếp theo.
o Tải body từ Proxy
o Có trong chế độ scanning? Nếu có: thực hiện quét nội dung.
o Có trong chế độ bypass hoặc exception? Nếu không: thực hiện lọc nội dung nếu kiểu MIME là plaintext.
Hình 3.7.Sơ đồ giải thuật lọc cho mạng LAN 4
o Tải phần còn lại của body từ proxy (nếu có).
o Nếu URL không có trong cache, header phù hợp, và nội dung dạng text hoặc caching URL đã đƣợc search, thì thêm URL vào cache.
o Forward header từ Proxy tới client.
o Kiểm tra xem phần body đã đƣợc tải xuống và lƣu trữ hay chƣa. Nếu rồi thì gửi cho client phần nội dung bypass. Nếu chƣa thì forward body từ proxy tới client