CN101981887B - 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 - Google Patents
用于配置和细粒度策略驱动web内容检测和重写的系统和方法 Download PDFInfo
- Publication number
- CN101981887B CN101981887B CN200980110432.5A CN200980110432A CN101981887B CN 101981887 B CN101981887 B CN 101981887B CN 200980110432 A CN200980110432 A CN 200980110432A CN 101981887 B CN101981887 B CN 101981887B
- Authority
- CN
- China
- Prior art keywords
- client computer
- server
- access
- equipment
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 70
- 230000004044 response Effects 0.000 claims abstract description 147
- 230000008569 process Effects 0.000 claims description 36
- 238000012544 monitoring process Methods 0.000 description 163
- 239000003795 chemical substances by application Substances 0.000 description 74
- 238000004891 communication Methods 0.000 description 37
- 238000004364 calculation method Methods 0.000 description 35
- 235000014510 cooky Nutrition 0.000 description 33
- 230000006870 function Effects 0.000 description 32
- 238000005259 measurement Methods 0.000 description 30
- 238000003860 storage Methods 0.000 description 22
- 230000005540 biological transmission Effects 0.000 description 19
- 230000006835 compression Effects 0.000 description 17
- 238000007906 compression Methods 0.000 description 17
- 238000007726 management method Methods 0.000 description 17
- 235000019580 granularity Nutrition 0.000 description 16
- 238000006243 chemical reaction Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 230000036541 health Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 7
- 230000001133 acceleration Effects 0.000 description 6
- 230000001276 controlling effect Effects 0.000 description 6
- 238000013519 translation Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000000840 anti-viral effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 241000277275 Oncorhynchus mykiss Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000501754 Astronotus ocellatus Species 0.000 description 1
- 101000881943 Homo sapiens Protein EURL homolog Proteins 0.000 description 1
- 102100037083 Protein EURL homolog Human genes 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- HFHZKZSRXITVMK-UHFFFAOYSA-N oxyphenbutazone Chemical compound O=C1C(CCCC)C(=O)N(C=2C=CC=CC=2)N1C1=CC=C(O)C=C1 HFHZKZSRXITVMK-UHFFFAOYSA-N 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000000859 sublimation Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/59—Providing operational support to end devices by off-loading in the network or by emulation, e.g. when they are unavailable
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供的解决方案可以使得企业为多个客户机提供服务,以基于关于客户机的信息来确定与客户机建立基于客户机的SSL?VPN会话还是建立免客户机的SSL?VPN会话。在客户机和服务器之间建立SSL?VPN会话的中间设备可以从客户机接收访问服务器的请求。中间设备可以基于该请求识别会话策略。会话策略可以指示和服务器建立基于客户机的SSL?VPN会话还是建立免客户机的SSL?VPN会话。中间设备可以响应于该策略确定在客户机和服务器之间建立免客户机或者基于客户机的SSL?VPN会话。
Description
相关申请
本申请要求2008年1月26日提交的美国临时申请61/023848的优先权,其内容通过引用全部包含于此。
技术领域
本发明总地涉及数据通信网络。更具体地,本发明涉及用于SSL VPN免客户机访问的策略控制、SSL VPN免客户机访问期间的URL的细粒度策略驱动重写,以及SSL VPN免客户机访问期间从服务器提供给客户机的不同内容类型的嵌入式URL的配置和策略驱动检测的系统和方法。
背景技术
公司或者企业可以通过网络来为多个不同客户机提供不同的服务。一些客户机可以满足企业的安全需求,而其他的客户机可以从并不安全的网络、服务或者位置来访问企业的资源。企业可以选择允许所有的客户机来访问资源,但也可以决定不允许一些或者全部客户机访问关于服务器资源的机密信息。在一个例子中,客户机可以请求访问企业的服务器所提供的资源。在另一个例子中,客户机可以请求访问企业的服务器经由免客户机安全套接字层虚拟专用网络(SSL VPN)会话所提供的资源。企业可以决定拒绝客户机访问客户机正访问的资源的实际的URL,而允许客户机访问所请求的资源。管理何时并且如何提供对多种和大量要求对资源的访问具有挑战性。
发明内容
本发明提供该问题和类似问题的解决方案,可以使企业来确定和客户机建立基于客户机的SSL VPN会话或者免客户机的SSL VPN会话。本发明提供的解决方案可以使得企业为多个客户机提供服务来基于关于客户机的信息确定与客户机建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话。在客户机和服务器之间建立SSL VPN会话的中间设备可以接收客户机访问服务器的请求。中间设备可以基于该请求识别会话策略。会话策略可以指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话。中间设备可以响应于该策略确定在客户机和服务器之间建立免客户机或者基于客户机的SSL VPN会话。
在一些方面,本发明涉及用于经由策略在客户机和服务器之间建立免客户机安全套接字层虚拟专用网络(SSL VPN)会话的方法。中间设备可以接收客户机访问服务器的请求。中间设备可以在任意数量的客户机和服务器之间建立SSL VPN会话。中间设备可以基于该请求来识别会话策略。该会话策略可以指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话。中间设备可以响应于该策略来确定在客户机和服务器之间建立免客户机的SSL VPN会话。
在一些实施例中,中间设备响应于该确定来和服务器建立免客户机的SSL VPN会话。在进一步的实施例中,中间设备接收客户机访问服务器上的应用的请求。会话策略可以基于该应用指示和服务器建立基于客户机还是免客户机的SSL VPN会话。在一些实施例中,中间设备响应于一个或者多个策略识别用于控制经由免客户机的SSL VPN会话的访问的访问配置文件,该访问配置文件指定对于该应用的一个或者多个重写策略。在进一步的实施例中,中间设备接收用户访问服务器的请求。在进一步实施例中,会话策略基于该用户指示和服务器建立基于客户机的还是免客户机的SSL VPN会话。在一些实施例中,中间设备识别用于建立免客户机的SSL VPN会话的访问配置文件并且该访问配置文件指定一个或者多个重写策略。在一些实施例中,中间设备响应于一个或者多个策略从多个访问配置文件中识别第一访问配置文件用于控制经由免客户机的SSL VPN会话的访问,该访问配置文件指定一个或者多个重写策略。在进一步的实施例中,中间设备响应于一个或者多个策略从多个访问配置文件中识别第一访问配置文件用于控制经由免客户机的SSL VPN会话的访问。在一些实施例中,第一访问配置文件基于以下一个或者多个来识别:请求的用户,请求识别的应用,关于客户机的信息和请求识别的服务器。
在一些方面,本发明涉及用于经由策略在客户机和服务器之间建立免客户机安全套接字层虚拟专用网络(SSL VPN)会话的方法。包引擎可以接收客户机访问服务器的请求。中间设备可以在客户机和服务器之间建立SSL VPN会话。策略引擎可以基于该请求识别会话策略,会话策略指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSLVPN会话。中间设备可以响应于该策略来确定在客户机和服务器之间建立免客户机的SSL VPN会话。
在一些实施例中,中间设备响应于该确定来和服务器建立免客户机的SSL VPN会话。在进一步的实施例中,中间设备包括用于接收客户机访问服务器上的应用的请求的包引擎,并且会话策略基于该应用指示和服务器建立基于客户机的还是免客户机的SSL VPN会话。在一些实施例中,中间设备还包括响应于一个或者多个策略识别用于控制经由免客户机的SSL VPN会话的访问的访问配置文件的策略引擎,该访问配置文件指定对于该应用的一个或者多个重写策略。在进一步的实施例中,中间设备还包括接收用户访问服务器的请求的包引擎,并且会话策略基于该用户指示和服务器建立基于客户机的还是免客户机的SSL VPN会话。中间设备的包引擎可以识别用于控制访问免客户机的SSL VPN会话的访问配置文件并且该访问配置文件指定一个或者多个重写策略。在一些实施例中,策略引擎响应于一个或者多个策略从多个访问配置文件中识别第一访问配置文件用于控制经由免客户机的SSL VPN会话的访问,该访问配置文件指定一个或者多个重写策略。在进一步的实施例中,策略引擎响应于一个或者多个策略从多个访问配置文件中识别第一访问配置文件用于控制经由免客户机的SSL VPN会话的访问。在一些实施例中,包括策略引擎基于以下一个或者多个来识别第一访问配置文件:请求的用户,请求识别的应用,关于客户机的信息和请求识别的服务器。
在一些方面,本发明涉及用于经由策略在客户机和服务器之间建立免客户机安全套接字层虚拟专用网络(SSL VPN)会话的中间设备。中间设备可以包括用于接收客户机访问服务器的请求的装置。中间设备可以在客户机和服务器之间建立SSL VPN会话。中间设备可以包括基于该请求识别会话策略的装置,该会话策略指示和服务器建立基于客户机的SSLVPN会话还是建立免客户机的SSL VPN会话。中间设备还可以包括响应于该策略来确定在客户机和服务器之间建立免客户机的SSL VPN会话的装置。
本发明还提供一种解决方案,可以使得客户机使用企业服务器提供的资源,但不可以访问服务器的URL。企业可以是使用和客户机请求相关的访问配置文件的重写策略来重写或者修改客户机的URL。来自客户机的所修改的URL用于访问服务器上的资源。在接收到来自服务器的响应时,企业可以使用重写策略来重写或者修改响应的URL以在将响应转发给客户机之前修改URL。
在一些方面,本发明涉及用于通过中间设备重写经由客户机和服务器之间的免客户机安全套接字层虚拟专用网络(SSL VPN)会话传送的内容的方法。中间设备可以识别用于客户机经由客户机和服务器之间建立免客户机的SSL VPN会话访问服务器的请求的访问配置文件。该访问配置文件可以包括用于重写统一资源定位符(URL)和一个或者多个正则表达式的第一重写策略来检测服务器提供的内容中的一个或者多个URL。中间设备可以响应于访问配置文件的一个或者多个正则表达式来检测服务器响应于该请求所提供的内容中的一个或者多个URL。中间设备可以响应于该检测根据第一重写策略指定的URL转换来重写一个或者多个检测的URL。
在一些实施例中,中间设备可以识别包括多个正则表达式的访问配置文件。多个正则表达式的每个可以用于检测多个不同类型内容的一类内容中的一个或者多个URL。中间设备可以识别服务器所提供的内容中的一个或者多个类型的内容。在一些实施例中,中间设备识别包括用于检测包括Java脚本的内容中的URL的正则表达式的访问配置文件。在一些实施例中,中间设备识别包括用于检测包括可扩展标记语言(XML)的内容中的URL的正则表达式的访问配置文件。在一些实施例中,中间设备识别包括用于检测包括层叠样式表(CSS)的内容中的URL的正则表达式的访问配置文件。在一些实施例中,中间设备响应于访问配置文件所识别的第一正则表达式来检测响应的第一类型的内容中的一个或者多个统一资源定位符(URL)。在进一步的实施例中,中间设备响应于访问配置文件所识别的第二正则表达式来检测响应的第二类型内容中的一个或者多个URL。
中间设备可以根据和所识别的访问配置文件相关的第二重写策略指定的Java脚本转换来重写该内容的Java脚本的一部分。在一些实施例中,中间设备识别包括第二重写策略的访问配置文件来重写请求首部的首部。在进一步的实施例中,在向服务器发送请求之前,中间设备根据由重写策略指定的转换来重写请求的首部。中间设备可以识别包括第二重写策略的访问配置文件来重写响应的首部,并且在向客户机发送响应之前根据由第二重写策略指定的转换来重写响应的首部。中间设备可以基于确定经由该请求所请求的应用来从多个访问配置文件识别该访问配置文件。
在一些方面,本发明涉及用于重写在客户机和服务器之间经由免客户机安全套接字层虚拟专用网络(SSL VPN)会话传送的内容的中间设备或者系统。策略引擎可以识别用于客户机经由客户机和服务器之间建立的免客户机的SSL VPN会话来访问服务器的请求的访问配置文件。策略引擎可以是中间设备。访问配置文件可以包括用于重写统一资源定位符(URL)和一个或者多个正则表达式的第一重写策略以检测由服务器提供的内容中的一个或者多个URL。检测器可以响应于访问配置文件的一个或者多个正则表达式来检测服务器响应于该请求提供的内容中的一个或者多个URL。检测器可以是中间设备。重写器可以响应于检测器来根据第一重写策略指定的URL转换来重写一个或者多个检测的URL。重写器可以是中间设备。
在一些实施例中,策略引擎识别包括多个正则表达式的访问配置文件。多个正则表达式的每个可以用于检测多个不同类型内容的一类内容中的一个或者多个URL。检测器可以确定服务器所提供的内容中的一个或者多个类型的内容。在一些实施例中,策略引擎识别包括用于检测包括Java脚本的内容中的URL的正则表达式的访问配置文件。在一些实施例中,策略引擎识别包括用于检测包括可扩展标记语言(XML)的内容中的URL的正则表达式的访问配置文件。在一些实施例中,策略引擎识别包括用于检测包括层叠样式表(CSS)的内容中的URL的正则表达式的访问配置文件。在又一些实施例中,检测器响应于访问配置文件所识别的第一正则表达式来检测响应的第一类型的内容中的一个或者多个统一资源定位符(URL)并且响应于访问配置文件所识别的第二正则表达式来检测响应的第二类型内容中的一个或者多个URL。在一些实施例中,重写器可以根据和所识别的访问配置文件相关的第二重写策略指定的Java脚本转换来重写该内容的Java脚本的一部分。在一些实施例中,策略引擎识别包括第二重写策略的访问配置文件来重写请求首部的首部并且在向服务器发送请求之前根据由重写策略指定的转换来重写请求的首部。在一些实施例中,策略引擎识别包括第二重写策略的访问配置文件来重写响应的首部并且在向客户机发送响应之前重写器根据由第二重写策略指定的转换来重写响应的首部。
在许多方面,本发明涉及用于由中间设备重写在客户机和服务器之间经由免客户机安全套接字层虚拟专用网络(SSL VPN)会话传送的内容的方法。中间设备可以识别用于在客户机和服务器之间建立的免客户机的SSL VPN会话的访问配置文件。访问配置文件可以包括多个重写策略和多个正则表达式。多个重写策略的每一个可以指定对于内容类型的转换。多个正则表达式的每个可以指定正则表达式来识别多个不同类型内容的每一类内容中的统一资源定位符(URL)。中间设备可以响应于该请求来确定服务器提供的内容的类型。中间设备可以基于对于经由访问配置文件所确定的内容类型而指定的正则表达式来检测内容中的一个或者多个URL。中间设备可以基于内容类型和来自对于该类型内容的多个重写策略的重写策略来重写一部分该内容。
附图说明
参考结合附图的以下描述,本发明的前述和其他对象、方面、特征和优势将会变得更加明显更好理解,其中:
图1A、1B和1C是客户机经由一个或者多个设备来访问服务器的网络环境的实施例的框图;
图1D是将计算环境从服务器经由设备递送到客户机的环境的实施例的框图;
图1E和1F是计算装置的实施例的框图;
图2A是处理在客户机和服务器之间的通信的设备的实施例的框图;
图2B是用于优化、加速、负载平衡和路由在客户机和服务器之间的通信的设备的另一个实施例的框图;
图3A和图3B是经由设备访问服务器的免客户机虚拟专用网络的实施例的框图;
图4是客户机和服务器之间执行URL重写的设备的实施例的框图;
图5是设备在基于客户机请求执行URL重写的方法的实施例中所采用的步骤的流程图;
图6是从服务器通过设备传送到客户机的服务器响应和修改的服务器响应的实施例的框图;
图7是在服务器响应上执行URL重写的方法的实施例的步骤的流程图。
根据以下结合附图提出的详细描述,本发明的特征和优势将变得更加明显,其中相同的参考特征在全文中是指对应的元件。在附图中,相似的附图标记通常指示相同的、功能类似的和/或结构类似的元件。
具体实施方式
A.网络和计算环境
在讨论设备和/或客户机的系统和方法的实施例的细节之前,讨论可以部署这样的实施例的网络和计算环境是有帮助的。现在参考图1A,描述了网络环境的一个实施例。总的来说,网络环境包括经由一个或多个网络104和104′(通常被称为网络104)与一个或多个服务器106a-106n(通常也被称为服务器106或远程机器106)通信的一个或多个客户机102a-102n(通常也被称为本地机器102或客户机102)。在一些实施例中,客户机102经由设备200与服务器106通信。
虽然图1A示出客户机102和服务器106之间的网络104和网络104′,但客户机102和服务器106可以在同一个网络104上。网络104和104′可以是相同类型的网络或不同类型的网络。网络104和/或网络104′可以是像公司内联网的局域网(LAN)、城域网(MAN)或者诸如因特网或万维网的广域网(WAN)。在一个实施例中,网络104′可以是专用网而网络104可以是公用网。在一些实施例中,网络104可以是专用网而网络104′可以是公用网。在另一个实施例中,网络104和104′可以都是专用网。在一些实施例中,客户机102可以位于公司的分支机构,经由网络104上的WAN连接来与位于公司的数据中心的服务器106进行通信。
网络104和/或104′可以是任一类型和/或形式的网络,并且可以包括下列任意一种网络:点到点网络、广播网、广域网、局域网、电信网、数据通信网、计算机网络、ATM(异步传送模式)网络、SONET(同步光网络)网络、SDH(同步数字系列)网络、无线网络和有线网络。在一些实施例中,网络104可以包括诸如红外信道或卫星频带的无线链路。网络104和/或104′的拓扑结构可以是总线型、星型或环型网络拓扑结构。网络104和/或104′以及网络拓扑结构可以是能够支持此处描述的操作的本领域内普通技术人员所知的任一种这样的网络或网络拓扑结构。
如图1A所示,在网络104和104′之间示出也可以被称为接口单元200或网关200的设备200。在一些实施例中,设备200可以位于网络104上。例如,公司的分支机构可以在所述分支机构处部署设备200。在其它实施例中,设备200可以位于网络104′上。例如,设备200可以位于公司的数据中心。在又一个实施例中,多个设备200可以部署在网络104上。在一些实施例中,多个设备200可以部署在网络104′上。在一个实施例中,第一设备200与第二设备200′相通信。在其它的实施例中,设备200可以是在与客户机102相同或不同的网络104,104′上的任一客户机102或服务器106的一部分。一个或多个设备200可以位于在客户机102和服务器106之间的网络或网络通信路径中的任一点处。
在一些实施例中,设备200包括被称为Citrix NetScaler装置的由位于Ft.Lauderdale Florida的Citrix Systems公司制造的任一网络装置。在其它实施例中,设备200包括由位于Seattle,Washington的F5Networks公司制造的被称为WebAccelerator和BigIP的任意一个产品实施例。在另一个实施例中,设备205包括由位于Sunnyvale,California的Juniper Networks公司制造的DX加速装置平台和/或诸如SA700、SA2000、SA4000和SA6000装置的SSL VPN系列装置中的任意一个。在又一个实施例中,设备200包括由位于San Jose,California的CiscoSystems公司制造的任一应用加速和/或安全相关的设备和/或软件,例如Cisco ACE应用控制引擎模块业务(Application Control Engine Moduleservice)软件和网络模块以及Cisco AVS系列应用速度系统(Application Velocity System)。
在一个实施例中,该系统可以包括多个、逻辑分组的服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群组38。在这些实施例中的一些实施例中,服务器106可以是在地理上分散的。有时候,群组38可以被管理为单一的实体。在其它实施例中,服务器群组38包括多个服务器群组38。在一个实施例中,服务器群组代表一个或多个客户机102来执行一个或多个应用。
在每个群组38中的服务器106可以是不同种类的。一个或多个服务器106可以根据一种类型的操作系统平台(例如,由位于Redmond,Washington的微软公司出品的WINDOWS NT)来进行操作,而一个或多个其它的服务器106可以根据另一种类型的操作系统平台(例如,Unix或Linux)来进行操作。每个群组38中的服务器106不需要与同一群组38中的另一个服务器106物理上接近。因此,逻辑上被分组为群组38的服务器106的分组可以使用广域网(WAN)连接或中域网(medium-areanetwork,MAN)连接来互连。例如,群组38可以包括在物理上位于不同的洲或位于一个洲、国家、州、城市、校园或房间的不同区域的服务器106。如果使用局域网(LAN)连接或一些形式的直接连接来连接服务器106,则可以增加在群组38中的服务器106之间的数据传输速度。
服务器106可以被称为文件服务器、应用服务器、web服务器、代理服务器或网关服务器。在一些实施例中,服务器106可以有能力起到应用服务器或主应用服务器的作用。在一个实施例中,服务器106可以包括活动目录(Active Directory)。客户机102也可以被称为客户机节点或端点。在一些实施例中,客户机102有能力起到寻求访问服务器上的应用的客户机节点以及作为对于其它的客户机102a-102n提供对寄载的应用的访问的应用服务器的作用。
在一些实施例中,客户机102与服务器106进行通信。在一个实施例,客户机102直接与群组38中的服务器106的其中一个进行通信。在另一个实施例中,客户机102执行程序邻近应用以与群组38中的服务器106进行通信。在又一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户机102通过网络104与群组38中的服务器106进行通信。例如,通过网络104,客户机102可以请求执行由群组38中的服务器106a-106n寄载的多个应用,并接收应用执行的输出结果用于显示。在一些实施例中,只有主节点提供所要求的识别并提供与寄载被请求的应用的服务器106′相关的地址信息的功能。
在一个实施例中,服务器106提供web服务器的功能。在另一个实施例中,服务器106a从客户机102接收请求,将请求转发到第二服务器106b,并使用来自于服务器106b的对请求的响应来对客户机102的请求进行响应。在又一个实施例中,服务器106获得客户机102可用的应用的列举以及与寄载由所述应用的列举所标识的应用的服务器106相关的地址信息。在又一个实施例中,服务器106使用web接口将对请求的响应提供给客户机102。在一个实施例中,客户机102直接与服务器106进行通信以访问所标识的应用。在另一个实施例中,客户机102接收由执行服务器106上的标识的应用所生成的诸如显示数据的应用输出数据。
现在参考图1B,描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上,而第二设备200′部署在第二网络104′上。例如,公司可以在分支机构部署第一设备200,而在数据中心部署第二设备200′。在另一个实施例中,第一设备200和第二设备200′被部署在同一个网络104或网络104′上。例如,第一设备200可以部署用于第一服务器群组38,而第二设备200′可以部署用于第二服务器群组38′。在另一个实例中,第一设备200可以部署在第一分支机构,而第二设备200′被部署在第二分支机构′。在一些实施例中,第一设备200和第二设备200′彼此协同或联合工作,以加速客户机和服务器之间的网络业务量或应用和数据的递送。
现在参考图1C,描述了使用一个或多个其它类型的设备(例如在一个或多个WAN优化设备205,205′之间的设备),来部署设备200的网络环境的另一个实施例。例如,第一WAN优化设备205显示在网络104和104′之间,而第二WAN优化设备205′可以部署在设备200和一个或多个服务器106之间。通过示例,公司可以在分支机构部署第一WAN优化设备205,而在数据中心部署第二WAN优化设备205′。在一些实施例中,设备205可以位于网络104′上。在其它实施例中,设备205′可以位于网络104上。在一些实施例中,设备205′可以位于网络104′或网络104″上。在一个实施例中,设备205和205′在同一个网络上。在另一个实施例中,设备205和205′在不同的网络上。在另一个实例中,第一WAN优化设备205可以部署用于第一服务器群组38,而第二WAN优化设备205′可以部署用于第二服务器群组38′。
在一个实施例中,设备205是用于加速、优化或者以其他方式改善诸如往和/或返于WAN连接的业务量的任一类型和形式的网络业务量的性能、操作或服务质量的装置。在一些实施例中,设备205是一个性能提高的代理。在其它实施例中,设备205是任一类型和形式的WAN优化或加速装置,有时也被称为WAN优化控制器。在一个实施例中,设备205是由位于Ft.Lauderdale Florida的Citrix Systems公司出品的被称为WANScaler的产品实施例中的任意一种。在其它实施例中,设备205包括由位于Seattle,Washington的F5 Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施例中的任意一种。在另一个实施例中,设备205包括由位于Sunnyvale,California的Juniper NetWorks公司出品的WX和WXC WAN加速装置平台中的任意一种。在一些实施例中,设备205包括由San Francisco,California的Riverbed Technology公司出品的虹鳟(steelhead)系列WAN优化设备中的任意一种。在其它实施例中,设备205包括由位于Roseland,NewJersey的Expand Networks公司出品的WAN相关装置中的任意一种。在一个实施例中,设备205包括由位于Cupertino,California的Packeteer公司出品的任意一种WAN相关设备,例如由Packeteer提供的PacketShaper、iShared和SkyX产品实施例。在又一个实施例中,设备205包括由位于San Jose,California的Cisco Systems公司出品的任一WAN相关设备和/或软件,例如Cisco广域网应用服务软件和网络模块以及广域网引擎设备。
在一个实施例中,设备205提供用于分支机构或远程办公室的应用和数据加速业务。在一个实施例中,设备205包括广域文件服务(WAFS)的优化。在另一个实施例中,设备205加速文件的递送,例如经由通用Internet文件系统(CIFS)协议。在其它实施例中,设备205在存储器和/或存储设备中提供高速缓存来加速应用和数据的递送。在一个实施例中,设备205提供在任一级别的网络堆栈或在任一的协议或网络层的网络业务量的压缩。在另一个实施例中,设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理,以加速WAN连接上的应用和数据的递送。例如,在一个实施例中,设备205提供传输控制协议(TCP)优化。在其它实施例中,设备205提供对于任一会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。
在另一个实施例中,设备205将任一类型和形式的数据或信息编码成网络分组的定制或标准的TCP和/或IP报头字段或可选字段,以将存在、功能或能力通告给另一个设备205′。在另一个实施例中,设备205′可以使用在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205′进行通信。例如,设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如WAN加速的功能时或者为了彼此联合工作而由设备205,205′所使用的一个或多个参数。
在一些实施例中,设备200保存在设备205和205′之间传达的TCP和/或IP报头和/或可选字段中编码的任一信息。例如,设备200可以终止经过设备200的传输层连接,例如经过设备205和205′的在客户机和服务器之间的一个传输层连接。在一个实施例中,设备200识别并保存在由第一设备205通过第一传输层连接发送的传输层分组中的任一编码信息,并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205′。
现在参考图1D,描述了用于递送和/或操作客户机102上的计算环境的网络环境。在一些实施例中,服务器106包括用于将计算环境或应用和/或数据文件递送给一个或多个客户机102的应用递送系统190。简单概述,客户机10经由网络104、104′和设备200与服务器106通信。例如,客户机102可以驻留在例如分支机构的公司的远程办公室,而服务器106可以驻留在公司的数据中心。客户机102包括客户机代理120和计算环境15。计算环境15可以执行或操作访问、处理或使用数据文件的应用。可以经由设备200和/或服务器106来递送计算环境15、应用和/或数据文件。
在一些实施例中,设备200加速将计算环境15或其任一部分递送给客户机102。在一个实施例中,设备200通过应用递送系统190来加速计算环境15的递送。例如,此处描述的实施例可以用来将可由应用处理的流应用和数据文件加速从中央的公司数据中心递送到远程用户的位置,例如公司的分支机构。在另一个实施例中,设备200加速在客户机102和服务器106之间的传输层业务量。设备200可以提供用于加速从服务器106到客户机102的任一传输层有效载荷的加速技术,例如:1)传输层连接池,2)传输层连接多路复用,3)传输控制协议缓冲,4)压缩和5)高速缓存。在一些实施例中,设备200提供响应于客户机102的请求的服务器106的负载平衡。在其它实施例中,设备200充当代理或访问服务器以提供对一个或多个服务器106的访问。在另一个实施例中,设备200提供从客户机102的第一网络104到服务器106的第二网络104′的安全虚拟专用网连接,例如SSL VPN连接。在又一些实施例中,设备200提供在客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。
在一些实施例中,应用递送管理系统190根据多个执行方法以及根据经由策略引擎195应用的任一验证和授权策略来提供将计算环境递送到远端或另外的用户的桌面的应用递送技术。使用这些技术,远程用户可以从任一网络连接装置100获取计算环境以及访问服务器存储的应用和数据文件。在一个实施例中,应用递送系统190可以驻留于服务器106或在服务器106上执行。在另一个实施例中,应用递送系统190可以驻留于多个服务器106a-106n上或在多个服务器106a-106n上执行。在一些实施例中,应用递送系统190可以在服务器群组38中执行。在一个实施例中,执行应用递送系统190的服务器106还可以存储或提供应用和数据文件。在另一个实施例中,第一组的一个或多个服务器106可以执行应用递送系统190,而不同的服务器106n可以存储或提供应用和数据文件。在一些实施例中,应用递送系统190、应用和数据文件中的每一个可以驻留或位于不同的服务器上。在又一个实施例中,应用递送系统190的任一部分可以驻留、执行或保存或被分配于设备200或多个设备。
客户机102可以包括用于执行使用或处理数据文件的应用的计算环境15。客户机102可以经由网络104、104′和设备200来从服务器106请求应用和数据文件。在一个实施例中,设备200可以将来自于客户机102的请求转发到服务器106。例如,客户机102可以不具有本地存储或可存取的应用和数据文件。响应于请求,应用递送系统190和/或服务器106可以递送应用和数据文件到客户机102。例如,在一个实施例中,服务器106可以以应用流的形式发送应用,以在客户机102上的计算环境15中进行操作。
在一些实施例中,应用递送系统190包括Citrix Systems公司的例如MetaFrame或Citrix表示(Presentation)服务器TM的Citrix访问套件TM的任一部分和/或由微软公司出品的任意一种微软
Windows终端服务。在一个实施例中,应用递送系统190可以通过远程显示协议或以其它方式通过基于远程或基于服务器的计算来递送一个或多个应用到客户机102或用户。在另一个实施例中,应用递送系统190可以通过应用的流式传输来递送一个或多个应用到客户机或用户。
在一个实施例中,应用递送系统190包括用于控制和管理应用执行方法的访问、选择以及应用的递送的策略引擎195。在一些实施例中,策略引擎195确定用户或客户机102可以访问的一个或多个应用。在另一个实施例中,策略引擎195确定应用应该如何被递送给用户或客户机102,例如执行方法。在一些实施例中,应用递送系统190提供从中选择应用执行方法的多个递送技术,例如基于服务器的计算、本地流式传输或递送应用给客户机120以用于本地执行。
在一个实施例中,客户机102请求执行应用而包括服务器106的应用递送系统190选择执行应用的方法。在一些实施例中,服务器106从客户机102接收证书。在另一个实施例中,服务器106从客户机102接收列举可用的应用的请求。在一个实施例中,响应于所述请求或收到的证书,应用递送系统190列举客户机102可用的多个应用。应用递送系统190接收请求以执行所列举的应用。应用递送系统190选择预定数目的方法中的一个来执行列举的应用,例如响应于策略引擎的策略。应用递送系统190可以选择一个执行应用的方法,使得客户机102可以接收通过在服务器106上执行应用而生成的应用输出数据。应用递送系统190可以选择执行应用的方法,使得本地机器10可以在检索包括应用的多个应用文件之后本地执行所述应用。在又一个实施例中,应用递送系统190可以选择执行应用的方法以经由网络104将应用流式传输到客户机102。
客户机102可以执行、操作或以其他方式提供应用,所述应用可以是任一类型和/或形式的软件、程序或可执行指令,例如任一类型和/或形式的web浏览器、基于web的客户机、客户机-服务器应用、瘦-客户机的计算客户机、ActiveX控件、或Java小程序、或可以在客户机102上执行的任一其它类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户机102在服务器106上执行的基于服务器或基于远程的应用。在一个实施例中,服务器106可以使用任一瘦-客户机或远程显示协议来显示输出到客户机102,所述远程显示协议例如由位于Ft.Lauderdale,Florida的Citrix Systems公司出品的独立计算架构(ICA)协议或由位于Redmond,Washington的微软公司出品的远程桌面协议(RDP)。应用可以使用任一类型的协议,并且它可以是例如HTTP客户机、FTP客户机、Oscar客户机或Telnet客户机。在其它实施例中,应用包括与VoIP通信相关的任一类型的软件,例如软IP电话。在进一步的实施例中,应用包括与实时数据通信相关的任一应用,例如用于流式传输视频和/或音频的应用。
在一些实施例中,服务器106或服务器群组38可以运行一个或多个应用,例如提供瘦-客户机计算的应用或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群组38作为应用而执行Citrix Systems公司的例如MetaFrame或Citrix表示服务器TM的Citrix访问套件TM的任一部分和/或由微软公司出品的任意一种微软
Windows终端服务。在一个实施例中,应用是由位于Fort Lauderdale,Florida的Citrix Systems公司开发的ICA客户机。在其它实施例中,应用包括由位于Redmond,Washington的微软公司开发的远程桌面(RDP)客户机。此外,服务器106可以运行应用,例如,所述服务器106可以是提供例如由位于Redmond,Washington的微软公司出品的微软Exchange的电子邮件服务的应用服务器、web或Internet服务器、或桌面共享服务器、或协作服务器。在一些实施例中,任意一种应用可以包括任一类型的寄载服务或产品,例如由Santa Barbara,California的Citrix Online部门提供的GoToMeetingTM、由位于Santa Clara,California的WebEx公司提供的WebExTM、或由位于Redmond,Washington的微软公司提供的微软OfficeLive Meeting。
仍然参考图1D,网络环境的一个实施例可以包括监控服务器106A。监控服务器106A可以包括任一类型和形式的性能监控业务198。性能监控业务198可以包括监控、测量和/或管理软件和/或硬件,包括数据收集、集合、分析、管理和报告。在一个实施例中,性能监控业务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任一软件、硬件或其组合。在一些实施例中,监控代理197包括诸如Visual Basic脚本或Java描述语言的任一类型和形式的脚本。在一个实施例中,监控代理197相对于装置的任一应用和/或用户透明地执行。在一些实施例中,监控代理197相对于应用或客户机不引人注目地被安装和操作。在又一个实施例中,监控代理197被安装和操作而不需要用于该应用或装置的任何设备(instrumentation)。
在一些实施例中,监控代理197以预定频率监控、测量和收集数据。在其它实施例中,监控代理197基于任一类型和形式的事件的检测来监控、测量和收集数据。例如,监控代理197可以在检测到对web页面的请求或收到HTTP响应时收集数据。在另一个实例中,监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任一所监控、测量或收集的数据给监控业务198。在一个实施例中,监控代理197根据调度或预定频率来发送信息给监控业务198。在另一个实施例中,监控代理197在检测到事件时发送信息给监控业务198。
在一些实施例中,监控业务198和/或监控代理197执行诸如客户机、服务器、服务器群组、设备200、设备205或网络连接的任一网络资源或网络基础结构元件的监控和性能测量。在一个实施例中,监控业务198和/或监控代理197执行诸如TCP或UDP连接的任一传输层连接的监控和性能测量。在另一个实施例中,监控业务198和/或监控代理197监控和测量网络等待时间。在又一个实施例中,监控业务198和/或监控代理197监控和测量带宽利用。
在其它实施例中,监控业务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中,监控业务198执行应用的监控和性能测量。在另一个实施例中,监控业务198和/或监控代理197执行到应用的任一会话或连接的监控和性能测量。在一个实施例中,监控业务198和/或监控代理197监控和测量浏览器的性能。在另一个实施例中,监控业务198和/或监控代理197监控和测量基于HTTP的事务的性能。在一些实施例中,监控业务198和/或监控代理197监控和测量IP上语音(VoIP)应用或会话的性能。在其它实施例中,监控业务198和/或监控代理197监控和测量诸如ICA客户机或RDP客户机的远程显示协议应用的性能。在又一个实施例中,监控业务198和/或监控代理197监控和测量任一类型和形式的流媒体的性能。在进一步的实施例中,监控业务198和/或监控代理197监控和测量寄载应用或软件即服务(Software-As-A-Service,SaaS)递送模型的性能。
在一些实施例中,监控业务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其它实施例中,监控业务198和/或监控代理197监控和测量应用层堆栈的任一部分,例如任一.NET或J2EE调用。在一个实施例中,监控业务198和/或监控代理197监控和测量数据库或SQL事务。在又一个实施例中,监控业务198和/或监控代理197监控和测量任一方法、函数或应用编程接口(API)调用。
在一个实施例中,监控业务198和/或监控代理197执行经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的递送的监控和性能测量。在一些实施例中,监控业务198和/或监控代理197监控和测量虚拟化应用的递送的性能。在其它实施例中,监控业务198和/或监控代理197监控和测量流式应用的递送的性能。在另一个实施例中,监控业务198和/或监控代理197监控和测量递送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在另一个实施例中,监控业务198和/或监控代理197监控和测量客户机/服务器应用的性能。
在一个实施例中,监控业务198和/或监控代理197被设计和构建为应用递送系统190提供应用性能管理。例如,监控业务198和/或监控代理197可以监控、测量和管理经由Citrix表示服务器递送应用的性能。在该实例中,监控业务198和/或监控代理197监控单独的ICA会话。监控业务198和/或监控代理197可以测量总的以及每次的会话系统资源使用,以及应用和连网性能。监控业务198和/或监控代理197可以对于给定用户和/或用户会话来标识有效服务器。在一些实施例中,监控业务198和/或监控代理197监控在应用递送系统190和应用和/或数据库服务器之间的后端连接。监控业务198和/或监控代理197可以测量每个用户会话或ICA会话的网络等待时间、延迟和容量。
在一些实施例中,监控业务198和/或监控代理197测量和监控对于应用递送系统190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其它实施例中,监控业务198和/或监控代理197测量和监控诸如总的CPU使用、每个用户会话和/或每个进程的应用递送系统190的CPU使用。在另一个实施例中,监控业务198和/或监控代理197测量和监控登录到诸如Citrix表示服务器的应用、服务器或应用递送系统所需的时间。在一个实施例中,监控业务198和/或监控代理197测量和监控用户登录应用、服务器或应用递送系统190的持续时间。在一些实施例中,监控业务198和/或监控代理197测量和监控应用、服务器或应用递送系统会话的有效和无效的会话计数。在又一个实施例中,监控业务198和/或监控代理197测量和监控用户会话等待时间。
在又一个进一步的实施例中,监控业务198和/或监控代理197测量和监控任一类型和形式的服务器规格(metrics)。在一个实施例中,监控业务198和/或监控代理197测量和监控与系统存储器、CPU使用和磁盘存储器有关的规格。在另一个实施例中,监控业务198和/或监控代理197测量和监控和页错误有关的规格,诸如每秒页错误。在其它实施例中,监控业务198和/或监控代理197测量和监控往返时间的规格。在又一个实施例中,监控业务198和/或监控代理197测量和监控与应用崩溃、错误和/或中止相关的规格。
在一些实施例中,监控业务198和监控代理198包括由位于Ft.Lauderdale,Florida的Citrix Systems公司出品的被称为EdgeSight的任意一种产品实施例。在另一个实施例中,性能监控业务198和/或监控代理198包括由位于Palo Alto,California的Symphoniq公司出品的被称为TrueView产品套件的产品实施例的任一部分。在一个实施例中,性能监控业务198和/或监控代理198包括由位于SanFrancisco,California的TeaLeaf技术公司出品的被称为TeaLeafCX产品套件的产品实施例的任一部分。在其它实施例中,性能监控业务198和/或监控代理198包括由位于Houston,Texas的BMC软件公司出品的诸如BMC性能管理器和巡逻产品(BMC Performance Manager and Patrolproducts)的商业业务管理产品的任一部分。
客户机102、服务器106和设备200可以被部署和/或执行在任一类型和形式的计算装置上,例如可以在任一类型和形式的网络上通信并执行此处描述的操作的计算机、网络装置或设备。图1E和1F描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图1E和1F所示,每个计算装置100包括中央处理单元101和主存储器单元122。如图1E所示,计算装置100可以包括可视显示装置124、键盘126和/或诸如鼠标的点击装置127。每个计算装置100也可以包括另外的可选元件,例如一个或多个输入/输出装置130a-130b(通常使用附图标记130来指示)以及与中央处理单元101通信的高速缓存140。
中央处理单元101是响应并处理取自主存储器单元122的指令的任一逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由位于Mountain View,California的Intel公司出品的产品;由位于Schaumburg,Illinois的Motorola公司出品的产品;由位于SantaClara,California的Transmeta公司出品的产品;由位于WhitePlains,New York的国际商业机器公司出品的RS/6000处理器;或者由位于Sunnyvale,California的Advanced Micro Devices公司出品的产品。计算装置100可以基于任一的这些处理器、或者可以如此处所描述地操作的任一其它处理器。
主存储器单元122可以是可以保存数据并允许由微处理器101直接访问的任一存储位置的一个或多个存储芯片,例如静态随机存取存储器(SRAM)、突发式SRAM或同步突发式SRAM(BSRAM)、动态随机存取存储器(DRAM)、快速页面模式DRAM(FPM DRAM)、增强型DRAM(EDRAM)、扩展数据输出RAM(EDO RAM)、扩展数据输出DRAM(EDO DRAM)、突发式扩展数据输出DRAM(BEDO DRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDEC SRAM、PC100 SDRAM、双数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、同步链接DRAM(SLDRAM)、直接Rambus DRAM(DRDRAM)、或铁电RAM(FRAM)。主存储器122可以基于任意一种上面描述的存储芯片、或者可以如此处所描述地操作的任一其它可用的存储芯片。在图1E中所示的实施例中,处理器101通过系统总线150(在下面进行更详细的描述)与主存储器122进行通信。图1E描述了在其中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实施例。例如,在图1F中,主存储器122可以是DRDRAM。
图1F描述了在其中主处理器101通过有时被称为背端总线的次级总线来直接与高速缓存140通信的实施例。在其它实施例中,主处理器101使用系统总线150与高速缓存140进行通信。高速缓存140典型地具有比主存储器122更快的响应时间,并且典型地通过SRAM、BSRAM或EDRAM来提供。在图1E中所示的实施例中,处理器101通过本地系统总线150与多个I/O装置130进行通信。多种总线可以用来将中央处理单元101连接到任意一种I/O装置130,所述总线包括VESA VL总线、ISA总线、EISA总线、微通道架构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于I/O装置是视频显示器124的实施例,处理器101可以使用高级图形端口(AGP)来与显示器124进行通信。图1F描述了在其中主处理器101通过HyperTransport、快速I/O或InfiniBand来直接与I/O装置130通信的计算机100的一个实施例。图1F还描述了混合本地总线和直接通信的一个实施例:处理器101使用本地互连总线与I/O装置130进行通信,同时直接与I/O装置130进行通信。
计算装置100可以支持任一适当的安装装置116,例如用于接收像3.5英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、多种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装像任一客户机代理120或其部分的软件和程序的任一其它装置。计算装置100还可以包括存储装置128,例如一个或多个硬盘驱动器或独立磁盘的冗余阵列,用于保存操作系统及其它相关软件,以及用于保存诸如与客户机代理120相关的任一程序的应用软件程序。可选地,任意一种安装装置116还可以被用作存储装置128。另外,操作系统和软件可以从可引导介质中运行,所述可引导介质例如像KNOPPIX
的可引导CD,作为来自于knoppix.net可用作GNU/Linux分发的GNU/Linux的可引导CD。
进一步地,计算装置100可以包括通过多种连接联接到局域网(LAN)、广域网(WAN)或因特网的网络接口118,所述多种连接包括但不限于标准电话线、LAN或WAN链路(例如,802.11、T1、T3、56kb、X.25)、宽带连接(例如,ISDN、帧中继、ATM)、无线连接或上述任一或所有连接的一些组合。网络接口118可以包括内置网络适配器、网络接口卡、PCMCIA网卡、插件总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适于将计算装置100连接到可以传达并执行此处所描述的操作的任一类型的网络的任一其它装置。各式各样的I/O装置130a-130n可以存在于计算装置100中。输入装置包括键盘、鼠标、轨道垫、轨道球、麦克风以及绘画板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和染料升华打印机。I/O装置130可以由如图1E所示的I/O控制器123控制。I/O控制器可以控制诸如键盘126和例如鼠标或光笔的点击装置127的一个或多个I/O装置。进一步地,I/O装置还可以为计算装置100提供存储装置128和/或安装介质116。还是在其它实施例中,计算装置100可以提供USB连接以接收诸如由位于LosAlamitos,California的Twintech Industry公司出品的USB闪存驱动器系列装置这样的便携USB存储装置。
在一些实施例中,计算装置100可以包括或连接到多个显示装置124a-124n,每个显示装置可以是相同或不同的类型和/或形式。因而,任意一种I/O装置130a-130n和/或I/O控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置100连接和使用多个显示装置124a-124n。例如,计算装置100可以包括任一类型和/或形式的视频适配器、视频卡、驱动程序和/或库,以联系、通信、连接或以其他方式使用显示装置124a-124n。在一个实施例中,视频适配器可以包括多个连接器以联接多个显示装置124a-124n。在其它实施例中,计算装置100可以包括多个视频适配器,每个视频适配器连接到一个或多个显示装置124a-124n。在一些实施例中,计算装置100的操作系统的任一部分可以被配置用于使用多个显示器124a-124n。在其它实施例中,一个或多个显示装置124a-124n可以由一个或多个诸如例如通过网络连接到计算装置100的计算装置100a和100b的其它的计算装置来提供。这些实施例可以包括被设计和构建为将另一个计算机的显示装置用作计算装置100的第二显示装置124a的任一类型的软件。本领域普通技术人员将认识和理解计算装置100可以被配置为具有多个显示装置124a-124n的多个方法和实施例。
在进一步的实施例中,I/O装置130可以是在系统总线150和外部通信总线之间的网桥170,所述外部通信总线例如USB总线、Apple Desktop总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire 800总线、以太网总线、AppleTalk总线、吉比特以太网总线、异步传送模式总线、HIPPI总线、超HIPPI总线、SerialPlus总线、SCI/LAMP总线、FibreChannel总线或串行附加小型计算机系统接口总线。
图1E和1F中描述类型的计算装置100典型地在控制任务的调度和对系统资源的访问的操作系统的控制下操作。计算装置100可以运行任一操作系统,例如任意一种版本的微软
Windows操作系统、不同版本的Unix和Linux操作系统、用于Macintosh计算机的任一版本的Mac OS
任一的嵌入式操作系统、任一的实时操作系统、任一的开放源操作系统、任一的专用操作系统、用于移动计算装置的任一操作系统、或者可以运行在计算装置上并执行此处所描述的操作的任一其它操作系统。典型的操作系统其中包括:WINDOWS 3.x、WINDOWS 95、WINDOWS 98、WINDOWS 2000、WINDOWS NT 3.51、WINDOWS NT 4.0、WINDOWS CE和WINDOWS XP,所有这些均由位于Redmond,Washington的微软公司出品;由位于Cupertino,California的苹果计算机出品的MacOS;由位于Armonk,NewYork的国际商业机器公司出品的OS/2;以及由位于Salt Lake City,Utah的Caldera公司发布的可免费使用的Linux操作系统或者任一类型和/或形式的Unix操作系统,以及其它。
在其它实施例中,计算装置100可以具有和所述装置一致的不同的处理器、操作系统和输入装置。例如,在一个实施例中,计算机100是由Palm公司出品的Treo180、270、1060、600或650智能电话。在该实施例中,Treo智能电话在PalmOS操作系统的控制下操作,并包括指示笔输入装置以及五向导航装置。此外,计算装置100可以是任一工作站、台式计算机、膝上型或笔记本计算机、服务器、便携计算机、移动电话、任一其它计算机、或者可以通信并具有执行此处所描述的操作的足够的处理器能力和存储容量的其它形式的计算或电信装置。
B.设备架构
图2A举例说明了设备200的一个示例实施例,其还可以称为中间设备200、代理或者网络浏览器(Netscaler)。提供图2A中的设备200的架构仅仅是为了说明,并不是意于进行限制。如图2所示,设备200包括硬件层206和被分为用户空间202和内核空间204的软件层。
硬件层206提供在其上执行内核空间204和用户空间202中的程序和服务的硬件元件。硬件层206还提供允许内核空间204和用户空间202中的程序和服务关于设备200的向内和向外传递数据的结构和元件。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元262、用于保存软件和数据的存储器264、用于在网络上发送和接收数据的网络端口266以及用于执行与在网络上发送和接收的数据的安全套接字层处理相关的功能的加密处理器260。在一些实施例中,中央处理单元262可以在单个的处理器中执行加密处理器260的功能。另外,硬件层206可以包括用于每个处理单元262和加密处理器260的多个处理器。处理器262可以包括如上所述的与图1E和1F有关的任一处理器101。在一些实施例中,中央处理单元262可以在单个的处理器中执行加密处理器260的功能。另外,硬件层206可以包括用于每个处理单元262和加密处理器260的多个处理器。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262′。在其它实施例中,处理器262或262′包括多核处理器。
虽然通常所示设备200的硬件层206具有加密处理器260,但处理器260可以是用于执行与诸如安全套接字层(SSL)或传输层安全(TLS)协议的任一加密协议相关的功能的处理器。在一些实施例中,处理器260可以是通用处理器(GPP),并且在进一步的实施例中,可以具有用于执行任一安全相关协议的处理的可执行指令。
虽然在图2中用某些元件来说明设备200的硬件层206,但设备200的硬件部分或部件可以包括计算装置的任一类型和形式的元件、硬件或软件,诸如此处结合图1E和1F来举例说明和讨论的计算装置100。在一些实施例中,设备200可以包括服务器、网关、路由器、交换机、网桥或其它类型的计算或网络装置,并具有与此相关的任一硬件和/或软件元件。
设备200的操作系统将可用的系统存储器分配、管理或者以其他方式分离成内核空间204和用户空间204。在示例的软件架构200中,操作系统可以是任一类型和/或形式的Unix操作系统,尽管本发明并未这样限制。因而,设备200可以运行任一操作系统,例如任意一种版本的微软
Windows操作系统、不同版本的Unix和Linux操作系统、用于Macintosh计算机的任一版本的Mac OS
、任一的嵌入式操作系统、任一的网络操作系统、任一的实时操作系统、任一的开放源操作系统、任一的专用操作系统、用于移动计算装置或网络装置的任一操作系统、或者可以运行在设备200上并执行此处所描述的操作的任一其它操作系统。
内核空间204被保留用于运行内核230,所述内核230包括任一设备驱动程序、内核扩展或其它内核相关软件。如本领域技术人员所知,内核230是操作系统的核心,并提供对应用104的资源和硬件相关的元件的访问、控制和管理。根据设备200的实施例,内核空间204还包括和有时还被称为集成高速缓存的高速缓存管理器232一起工作的多个网络服务或进程,此处进一步详细描述其有益之处。另外,内核230的实施例将依赖于由装置200所安装、配置或者以其他方式使用的操作系统的实施例。
在一个实施例中,装置200包括诸如基于TCP/IP的堆栈的一个网络堆栈267,用于与客户机102和/或服务器106进行通信。在一个实施例中,网络堆栈267用于与诸如网络108的第一网络以及第二网络110进行通信。在一些实施例中,装置200终止诸如客户机102的TCP连接的第一传输层连接,并建立由客户机102使用的到服务器106的第二传输层连接,例如,第二传输层连接在设备200和服务器106处终止。第一和第二传输层连接可以经由单个的网络堆栈267建立。在其它实施例中,装置200可以包括例如267和267′的多个网络堆栈,并且第一传输层连接可以在一个网络堆栈267处建立或终止,而第二传输层连接在第二网络堆栈267′上建立或终止。例如,一个网络堆栈可以用于在第一网络上接收和发送网络分组,而另一个网络堆栈用于在第二网络上接收和发送网络分组。在一个实施例中,网络堆栈267包括用于由设备200发送的一个或多个网络分组排队的缓冲器243。
如图2所示,内核空间204包括高速缓存管理器232、高速层2-7集成分组引擎240、加密引擎234、策略引擎236和多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中单独以及组合地运行这些部件或进程232、240、234、236和238改进每一个这些部件的性能。内核操作意味着这些部件或进程232、240、234、236和238运行在装置200的操作系统的核心地址空间中。例如,在内核模式中运行加密引擎234通过将加密与解密操作移到内核来改善加密性能,从而减少在内核模式中的存储空间或内核线程与用户模式中的存储空间或线程之间的转换的次数。例如,可以不需要将内核模式中获得的数据传递或复制到运行在用户模式中的进程或线程,例如从内核级的数据结构到用户级的数据结构。在另一个方面,还减少了在内核模式与用户模式之间的上下文转换的次数。另外,在内核空间204中可以更有效地执行在任意一个部件或进程232、240、235、236和238之间通信和通信的同步。
在一些实施例中,部件232、240、234、236和238的任一部分可以运行或操作在内核空间204中,而这些部件232、240、234、236和238的其它部分可以运行或操作在用户空间202中。在一个实施例中,设备200使用提供对一个或多个网络分组的任一部分的访问的内核级数据结构,例如,网络分组包括来自于客户机102的请求或来自于服务器106的响应。在一些实施例中,可以由分组引擎240经由到网络堆栈267的传输层驱动程序接口或过滤器来获得内核级数据结构。内核级数据结构可以包括可经由与网络堆栈267相关的内核空间204存取的任一接口和/或数据、由网络堆栈267接收或传送的网络业务量或分组。在其它实施例中,可以由部件或进程232、240、234、236和238中的任意一个来使用内核级数据结构,以执行部件或进程的期望的操作。在一个实施例中,部件232、240、234、236和238在使用内核级数据结构时运行于内核模式204中,而在另一个实施例中,部件232、240、234、236和238在使用内核级数据结构时运行于用户模式中。在一些实施例中,可以将内核级数据结构复制或传递到第二内核级数据结构或任一期望的用户级数据结构。
高速缓存管理器232可以包括软件、硬件或软件和硬件的任一组合,以提供对诸如由发信服务器106提供的对象或动态生成的对象的任一类型和形式的内容的高速缓存访问、控制和管理。由高速缓存管理器232处理和保存的数据、对象或内容可以包括诸如标记语言的或者通过任一协议传达的任一格式的数据。在一些实施例中,高速缓存管理器232复制存储在别处的原始数据或者以前计算、生成或发送的数据,其中原始数据也许需要相对于读取高速缓存元件来说更长的访问时间以取出、计算或者以其他方式获取。一旦数据被保存在高速缓存元件中,未来的使用可以通过访问高速缓存的拷贝而不是重新取回或再计算原始数据来进行,从而减少访问时间。在一些实施例中,高速缓存元件可以包括装置200的存储器264中的数据对象。在其它实施例中,高速缓存元件可以包括具有比存储器264更快的访问时间的存储器。在另一个实施例中,高速缓存元件可以包括诸如硬盘的一部分的装置200的任一类型和形式的存储元件。在一些实施例中,处理单元262可以提供由高速缓存管理器232使用的高速缓存。然而在进一步的实施例中,高速缓存管理器232可以使用存储器、存储装置或处理单元的任一部分和组合,以用于高速缓存数据、对象及其它内容。
进一步地,高速缓存管理器232包括任一逻辑、功能、规则或操作,以执行此处所描述的设备200的技术的任一实施例。例如,高速缓存管理器232包括根据失效时间周期的期满或一旦从客户机102或服务器106接收到失效命令来使对象无效的逻辑或功能。在一些实施例中,高速缓存管理器232可以作为在内核空间204中执行的程序、服务、进程或任务来操作,而在其它实施例中是在用户空间202中操作。在一个实施例中,高速缓存管理器232的第一部分在用户空间202中执行,而第二部分在内核空间204中执行。在一些实施例中,高速缓存管理器232可以包括任一类型的通用处理器(GPP)或者诸如现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)或应用专用集成电路(ASIC)的任一其它类型的集成电路。
例如,策略引擎236可以包括智能统计引擎或者其它的可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户标识、指定、限定或配置高速缓存策略。在一些实施例中,策略引擎236还可以访问存储器以支持诸如查找表或哈希表的数据结构来启用用户选择的高速缓存策略决策。在其它实施例中,策略引擎236可以包括任一逻辑、规则、功能或操作,以便确定和提供除了由设备200执行的安全、网络业务量、网络访问、压缩或任一其它功能或操作的访问、控制和管理之外的由设备200高速缓存的对象、数据或内容的访问、控制和管理。此处进一步描述特定高速缓存策略的进一步的实例。
加密引擎234包括用于操控诸如SSL或TLS的任一安全相关协议的处理的任一逻辑、商业规则、功能或操作,或者另外的任一相关功能。例如,加密引擎234加密并解密经由设备200传递的网络分组或者其中的任一部分。加密引擎234还可以为客户机102a-102n、服务器106a-106n或设备200设置或建立SSL或TLS连接。因而,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来在客户机102a-102n和服务器106a-106n之间提供虚拟专用网。在一些实施例中,加密引擎234与加密处理器260进行通信。在其它实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。
多协议压缩引擎238包括用于压缩诸如由装置200的网络堆栈267使用的任意一种协议的一个或多个协议的网络分组的任一逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向地在客户机102a-102n和服务器106a-106n之间压缩任一的基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传送协议(FTP)、超文本传送协议(HTTP)、通用Internet文件系统(CIFS)协议(文件传送)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议和IP上语音(VoIP)协议。在其它实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中提供诸如可扩展标记语言(XML)的任一标记语言的压缩。在一个实施例中,多协议压缩引擎238提供诸如为设备200设计用于设备200通信的的任一协议的任一高性能协议的压缩。在另一个实施例中,多协议压缩引擎238使用修改的传输控制协议来压缩任一通信的任一有效载荷或任一通信,所述修改的传输控制协议诸如事务TCP(T/TCP)、具有选择确认的TCP(TCP-SACK)、具有大窗口的TCP(TCP-LW)、诸如TCP-Vegas协议的拥塞预测协议以及TCP欺骗协议。
因而,多协议压缩引擎238为经由桌面客户机以及甚至移动客户机访问应用的用户加速性能,所述桌面客户机例如微软Outlook以及诸如由诸如Oracle、SAP和Siebel的通用的企业应用所启动的任一客户机的非web瘦客户机,所述移动客户机例如掌上电脑。在一些实施例中,通过执行于内核模式204中以及与访问网络堆栈267的分组处理引擎240结合在一起,多协议压缩引擎238可以压缩诸如任一应用层协议的由TCP/IP协议所携带的任意一种协议。
通常也被称为分组处理引擎或分组引擎的高速层2-7集成分组引擎240负责管理由设备200经由网络端口266接收和发送的分组的内核级处理。高速层2-7集成分组引擎240可以包括用于在例如接收网络分组或发送网络分组的处理期间排队一个或多个网络分组的缓冲器。另外,高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以经由网络端口266发送和接收网络分组。高速层2-7集成分组引擎240和加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238一起工作。更具体地,加密引擎234被配置为执行分组的SSL处理,策略引擎236被配置为执行诸如请求级内容交换和请求级高速缓存重定向的与业务量管理相关的功能,而多协议压缩逻辑238被配置为执行与数据的压缩和解压缩相关的功能。
高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例中,分组处理定时器242提供一个或多个时间间隔以触发输入(即,接收)或输出(即,发送)网络分组的处理。在一些实施例中,高速层2-7集成分组引擎240响应于定时器242来处理网络分组。分组处理定时器242提供任一类型和形式的信号给分组引擎240,以通知、触发或传达时间相关的事件、间隔或发生。在许多实施例中,分组处理定时器242以例如像100毫秒、50毫秒或25毫秒这样的毫秒级来进行操作。例如,在一些实施例中,分组处理定时器242提供时间间隔或者以其他方式使高速层2-7集成分组引擎240以10毫秒的时间间隔来处理网络分组,而在其它实施例中按5毫秒的时间间隔,以及甚至在更进一步的实施例中短到3、2或1毫秒的时间间隔。在操作期间,高速层2-7集成分组引擎240可以与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩引擎238交互、集成或通信。因而,可以响应于分组处理定时器242和/或分组引擎240来执行加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238的任一逻辑、功能或操作。因此,可以以例如小于或等于10毫秒的时间间隔的通过分组处理定时器242提供的时间间隔的粒度来执行加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238的任一逻辑、功能或操作。例如,在一个实施例中,高速缓存管理器232可以响应于高速层2-7集成分组引擎240和/或分组处理定时器242来执行任一高速缓存对象的失效。在另一个实施例中,可以将高速缓存对象的满期或失效时间设置为与分组处理定时器242的时间间隔相同的粒度级,例如每10毫秒。
与内核空间204不同,用户空间202是由用户模式应用或者以其他方式运行于用户模式的程序所使用的存储器区域或部分操作系统。用户模式应用可以不直接访问内核空间204而使用服务调用以访问内核服务。如图2所示,设备200的用户空间202包括图形用户界面(GUI)210、命令行接口(CLI)212、命令解释程序(shell)服务214、健康监测程序216和守护服务218。GUI 210和CLI 212提供一个装置,通过所述装置,系统管理员或其它用户可以与设备200的操作相互作用并控制设备200的操作,例如通过设备200的操作系统,并且两者之一是用户空间202或内核空间204。GUI 210可以是任一类型和形式的图形用户界面,并且可以通过文本、图形或者以其他方式通过像浏览器的任一类型的程序或应用来呈现。CLI 212可以是任一类型和形式的命令行或基于文本的接口,例如由操作系统提供的命令行。例如,CLI 212可以包括命令解释程序,所述命令解释程序是允许用户与操作系统相互作用的工具。在一些实施例中,CLI 212可以通过bash、csh、tcsh或ksh型命令解释程序来提供。命令解释程序服务214包括程序、服务、任务、进程或可执行指令以支持用户通过GUI 210和/或CLI 212与设备200或操作系统相互作用。
健康监测程序216被用于监控、检查、报告和确保网络系统在正常工作以及用户通过网络接收所请求的内容。健康监测程序216包括一个或多个程序、服务、任务、进程或可执行指令以提供用于监测设备200的任一活动的逻辑、规则、功能或操作。在一些实施例中,健康监测程序216拦截并检查经由设备200传递的任一网络业务量。在其它实施例中,健康监测程序216通过任一合适的方法和/或机制与一个或多个下列单元连接:加密引擎234、高速缓存管理器232、策略引擎236、多协议压缩逻辑238、分组引擎240、守护服务218和命令解释程序服务214。因而,健康监测程序216可以调用任一应用编程接口(API)以确定设备200的任一部分的状态、状况或健康。例如,健康监测程序216可以周期性地查验或发送一个情况查询以检测程序、进程、服务或任务是否有效以及当前正在运行。在另一个实例中,健康监测程序216可以检查由任一程序、进程、服务或任务提供的任一状态、错误或历史记录,以确定设备200的任一部分的任一情况、状态或错误。
守护服务218是连续或在后台运行并处理由设备200接收到的周期性服务请求的程序。在一些实施例中,守护服务可以将请求转发给其它程序或进程,例如酌情转发给另一个守护服务218。如本领域技术人员所知,守护服务218可以无人监护地运行以执行诸如网路控制的连续的或周期性的全系统的功能或者执行任一期望的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其它实施例中,一个或多个守护服务218运行在内核空间中。
现在参考图2B,描述了设备200的另一个实施例。总的来说,设备200提供下列服务、功能或操作中的一个或多个:用于一个或多个客户机102以及一个或多个服务器106之间的通信的SSL VPN连通性280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。每个服务器106可以提供一个或多个网络相关的服务270a-270n(称为服务270)。例如,服务器106可以提供HTTP服务270。设备200包括一个或多个虚拟服务器或虚拟网际协议服务器,其被称为vServer、VIP服务器或仅仅称为VIP 275a-275n(此处也被称为vServer 275)。vServer 275根据设备200的配置和操作来接收、拦截或者以其他方式处理客户机102和服务器106之间的通信。
vServer 275可以包括软件、硬件或软件和硬件的任一组合。vServer275可以包括在设备200中的用户模式202、内核模式204中或其任一组合中操作的任一类型和形式的程序、服务、任务、进程或可执行指令。vServer 275包括任一逻辑、功能、规则或操作以执行此处所描述的技术的任一实施例,例如SSL VPN 280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中,vServer 275建立到服务器106的服务270的连接。服务275可以包括可以连接和通信到设备200、客户机102或vServer 275的任一程序、应用、进程、任务或可执行指令组。例如,服务275可以包括web服务器、HTTP服务器、ftp、电子邮件或数据库服务器。在一些实施例中,服务270是用于监听、接收和/或发送用于诸如电子邮件、数据库或企业应用的应用的通信的守护进程或网络驱动程序。在一些实施例中,服务270可以在一个特定IP地址或IP地址和端口上进行通信。
在一些实施例中,vServer 275将策略引擎236的一个或多个策略应用到客户机102和服务器106之间的网络通信。在一个实施例中,策略与VServer 275有关。在另一个实施例中,策略基于一个用户或一组用户。在又一个实施例中,策略是全局的并且应用到一个或多个vServers275a-275n以及经由设备200通信的任一用户或用户组。在一些实施例中,策略引擎的策略有条件,在所述条件时根据诸如网际协议地址、端口、协议类型、报头或分组中的字段的通信的任一内容或者诸如用户、用户组、vServer 275、传输层连接和/或客户机102或服务器106的标识或属性的通信上下文来应用策略。
在其它实施例中,设备200与策略引擎236通信或连接以确定对远程用户或远程客户机102访问服务器106的计算环境15、应用和/或数据文件的验证和/或授权。在另一个实施例中,设备200与策略引擎236通信或连接以确定对远程用户或远程客户机102的验证和/或授权,以使应用递送系统190递送计算环境15、应用和/或数据文件的一个或多个。在又一个实施例中,设备200根据策略引擎236对远程用户或远程客户机103的验证和/或授权来建立VPN或SSL VPN连接。在一个实施例中,设备102根据策略引擎236的策略来控制网络业务量和通信会话的流量。例如,设备200可以根据策略引擎236来控制对计算环境15、应用或数据文件的访问。
在一些实施例中,vServer 275建立诸如经由客户机代理120与客户机102的TCP或UDP连接的传输层连接。在一个实施例中,vServer 275监听并接收来自于客户机102的通信。在其它实施例中,vServer 275与客户服务器106建立诸如TCP或UDP连接的传输层连接。在一个实施例中,vServer 275建立到运行在服务器106上的服务器270的网际协议地址和端口的传输层连接。在另一个实施例中,vServer 275将到客户机102的第一传输层连接与到服务器106的第二传输层连接关联起来。在一些实施例中,vServer 275建立到服务器106的传输层连接池并多路复用经由所述池化的传输层连接的客户机请求。
在一些实施例中,设备200提供在客户机102和服务器106之间的SSL VPN连接280。例如,第一网络104上的客户机102请求建立到第二网络104′上的服务器106的连接。在一些实施例中,第二网络104′是不可从第一网络104路由的。在其它实施例中,客户机102在公用网104上,而服务器106在诸如公司网的专用网104′上。在一个实施例中,客户机代理120拦截第一网络104上的客户机102的通信,加密所述通信,并经由第一传输层连接发送所述通信到设备200。设备200将第一网络104上的第一传输层连接关联到第二网络104’上的到服务器106的第二传输层连接。设备200从客户机代理102接收被拦截的通信,解密所述通信,并经由第二传输层连接发送所述通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。因而,设备200提供在两个网络104和104′之间用于客户机102的端到端安全传输层连接。
虚拟专用网络(VPN)可以是使用诸如因特网的公用电信基础架构来为远程客户机、服务器或者其它通信装置提供诸如从公用网络到专用网络的访问或者连接的任一网络。虚拟专用网络(VPN)是使用诸如因特网的公用电信基础架构来为远程用户提供对企业或者专用网络的访问的方法。在一些实施例中,该访问经由加密或者隧穿是安全的。在一些实施例中,此处描述的中间设备提供从客户机的第一网络到服务器的第二网络的安全虚拟专用网络连接。
安全套接字层(SSL)VPN可以使用SSL或者TLS或者任一其它类型和形式的安全协议来建立具有安全级的连接。在一些实施例中,SSL VPN可以使用任意类型和形式的加密用于建立或者维持安全访问。SSL VPN可以经由诸如使用HTTPS(安全超文本传输协议)的浏览器来建立和/或访问。SSL VPN可以通过支持SSL的浏览器或者应用来建立或者提供。
可以通过使用基于客户机或者免客户机的方法来建立或者提供SSLVPN连接或者会话。基于客户机的SSL VPN可以使用任一类型和形式客户机代理或者客户机102上任一软件相关的代理,来建立SSL VPN连接或者会话。例如,可以经由下载到客户机的SSL VPN客户机代理来提供基于客户机的SSL VPN,诸如从设备下载的。客户机代理可以被设计并且配置为在客户机和设备或者服务器之间建立和提供SSL VPN功能性、连接和访问。
免客户机SSL VPN可以是不使用下载并安装到客户机102的SSL VPN客户机代理、软件或者程序来建立SSL VPN连接或者会话的任一SSL VPN。在一些实施例中,免客户机SSL VPN可以是不需要客户机102来安装或者执行被设计和构成为提供SSL VPN功能性的预定软件或者可执行文件以建立和另一个网络装置的SSL VPN连接的任一SSL VPN。在一些实施例中,经由不下载或者不需要使用VPN或者SSL VPN客户机代理的SSL使能的浏览器来建立免客户机SSL VPN。免客户机SSL VPN连接或者会话可以使用标准浏览器或者应用的协议和通信,诸如SSL使能的浏览器。免客户机SSL VPN连接或者会话可以通过此处描述的在第一网络和第二网络之间翻译、重写或者转换请求和响应的内容的中间设备或者应用来提供。
在一个实施例中,设备200在虚拟专用网104上寄载客户机102的内联网网际协议或内联网IP 282地址。客户机102具有诸如第一网络104上的网际协议(IP)地址和/或主机名称的本地网络标识符。当经由设备200连接到第二网络104′时,设备200在第二网络104′上为客户机102建立、分配或者以其他方式提供内联网IP,其是诸如IP地址和/或主机名称的网络标识符。使用客户机建立的内联网IP 282,设备200在第二或专用网104′上监听并接收指向客户机102的任一通信。在一个实施例中,设备200在第二专用网104上充当或代表客户机102。例如,在另一个实施例中,vServer 275监听并响应到客户机102的内联网IP 282的通信。在一些实施例中,如果第二网络104′上的计算装置100发送请求,则设备200处理所述请求,就像它是客户机102一样。例如,设备200可以响应到客户机的内联网IP 282的查验。在另一个实例中,设备可以与第二网络104上的请求与客户机的内联网IP 282连接的计算装置100建立诸如TCP或UDP连接的连接。
在一些实施例中,设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术288:1)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议缓冲;以及6)高速缓存。在一个实施例中,设备200通过打开与每个服务器106的一个或多个传输层连接并维持这些连接以允许客户机经由因特网的重复数据访问来减轻服务器106的由反复打开和关闭到客户机102的传输层连接所造成的大量处理负载。这个技术在这里被称为“连接池”。
在一些实施例中,为了经由池化的传输层连接来无缝接合从客户机102到服务器106的通信,设备200通过在传输层协议级修改序号和确认号来转换或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议相互作用。例如,在到来分组(即,自客户机102接收的分组)的情况中,所述分组的源网络地址被改变为设备200的输出端口的网络地址,而目的网络地址被改变为目的服务器的网络地址。在发出分组(即,自服务器106接收的一个分组)的情况中,源网络地址被从服务器106的网络地址改变为设备200的输出端口的网络地址,而目的地址被从设备200的网络地址改变为请求的客户机102的网络地址。所述分组的序号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序号和确认。在一些实施例中,传输层协议的分组校验和被重新计算以解释这些转换。
在另一个实施例中,设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能284。在一些实施例中,设备200根据层4或应用层请求数据来分配业务量并将客户机请求指向服务器106。在一个实施例中,虽然网络分组的网络层或层2标识了目的服务器106,但设备200通过作为传输层分组的有效载荷而携带的应用信息和数据来确定服务器106以分配网络分组。在一个实施例中,设备200的健康监测程序216监控服务器的健康以确定为其分配客户机的请求的服务器106。在一些实施例中,如果设备200探测到服务器106不可用或具有超过预定阈值的负载,则设备200可以将客户机请求指向或分配到另一个服务器106。
在一些实施例中,设备200充当域名服务(DNS)解析器或者以其他方式提供对来自于客户机102的DNS请求的解析。在一些实施例中,设备拦截由客户机102发送的DNS请求。在一个实施例中,设备200响应具有设备200的IP地址或由设备200寄载的IP地址的客户机的DNS请求。在该实施例中,客户机102把给域名的网络通信发送到设备200。在另一个实施例中,设备200响应具有第二设备200′的IP地址或由第二设备200′寄载的IP地址的客户机的DNS请求。在一些实施例中,设备200响应具有由设备200确定的服务器106的IP地址的客户机的DNS请求。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供应用防火墙功能290。在一个实施例中,策略引擎236提供用于检测和阻塞非法请求的规则。在一些实施例中,应用防火墙290防止拒绝服务(DoS)攻击。在其它实施例中,设备检查被拦截的请求的内容以识别和阻塞基于应用的攻击。在一些实施例中,规则/策略引擎236包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略,例如下列的一个或多个:1)缓冲器溢出,2)CGI-BIN参数操纵,3)格式/隐藏字段操纵,4)强制浏览,5)cookie或会话中毒,6)破译的访问控制表(ACLs)或弱的口令,7)跨站点的脚本(XSS),8)命令注入,9)SQL注入,10)错误触发敏感信息泄漏,11)加密技术的不安全使用,12)服务器误配置,13)后门和调试选择,14)web站点毁损,15)平台或操作系统的脆弱点,以及16)零天攻击。在一个实施例中,对下列情况的一种或多种,应用防火墙290以检查或分析网络通信的形式来提供HTML格式字段的保护:1)返回所需的字段,2)不允许附加字段,3)只读和隐藏字段强制(enforcement),4)下拉列表和单选按钮字段的一致,以及5)格式字段最大长度强制。在一些实施例中,应用防火墙290确保cookies不被修改。在其它实施例中,应用防火墙290通过强制实施合法URL来防止强制浏览。
还是在其它实施例中,应用防火墙290保护在网络通信中包含的任一机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别网络分组的任一字段中的任一机密信息。在一些实施例中,应用防火墙290在网络通信中识别信用卡号、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。在一个实施例中,根据这些出现,应用防火墙290可以对网络通信采取策略行动,例如阻止网络通信的发送。在另一个实施例中,应用防火墙290可以重写、移除或者以其他方式掩盖这样识别出的出现或机密信息。
仍然参考图2B,设备200可以包括如上面结合图1D所讨论的性能监控代理197。在一个实施例中,设备200从如图1D中所描述的监控业务198或监控服务器106中接收监控代理197。在一些实施例中,设备200在诸如磁盘的存储装置中保存监控代理197,以用于递送给与设备200通信的任一客户机或服务器。例如,在一个实施例中,设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其它实施例中,设备200在建立与客户机102的传输层连接时发送监控代理197。在另一个实施例中,设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中,设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中,设备200发送监控代理197到第二设备200′或设备205。
在其它实施例中,设备200执行监控代理197。在一个实施例中,监控代理197测量和监控在设备200上执行的任一应用、程序、进程、服务、任务或线程的性能。例如,监控代理197可以监控和测量vServers275A-275N的性能与操作。在另一个实施例中,监控代理197测量和监控设备200的任一传输层连接的性能。在一些实施例中,监控代理197测量和监控通过设备200的任一用户会话的性能。在一个实施例中,监控代理197测量和监控通过设备200的诸如SSL VPN会话的任一虚拟专用网连接和/或会话的性能。在进一步的实施例中,监控代理197测量和监控设备200的存储器、CPU和磁盘使用以及性能。在又一个实施例中,监控代理197测量和监控诸如SSL卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任一加速技术288的性能。在一些实施例中,监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换284的性能。在其它实施例中,监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。
C.免客户机虚拟专用网络环境
现在参考图3A,描述了用于经由设备200或代理访问服务器的免客户机虚拟专用网络(VPN)环境的实施例。总的来说,客户机102操作在计算装置100上并且执行通过用户操作的浏览器。客户机102可以在第一网络104上,诸如公用网络。客户机102上的用户可以经由浏览器来请求对于第二网络104’上的资源的访问,诸如企业的专用网络。设备200为用户提供对于所请求资源的免客户机VPN访问。客户机可以不安装、执行或者以其他方式执行被构建和/或设计来为网络104’提供VPN连接性(称为基于客户机的VPN)的代理、部件、程序、驱动器或者应用。而是,设备或者代理可以重写来自服务器的响应和来自客户机的请求以提供VPN功能,而不需要使用对在客户机上操作的的VPN代理。例如,设备可以重写客户机和服务器之间的统一资源定位符(URL),诸如通过服务器对任一内容服务器中的URL或者客户机传送的请求中的URL进行重写。设备200可以以对于客户机和服务器的任一者或者两者透明并且无缝的方式重写服务器和客户机之间的URL。由此,客户机、浏览器或者服务器和服务器应用不需要知晓或者了解免客户机SSL VPN访问方案。
设备200可以经由之前描述的SSL VPN280模块来提供用于访问资源的功能。在一个实施例中,设备200通过在用于和设备200通信的客户机102上提供、安装或者执行SSL VPN代理来提供基于客户机的对网络的访问。在一些实施例中,设备200提供对资源(诸如http/https/文件共享)的免客户机SSL VPN访问,而不需要下载SSL VPN客户机或者代理到客户机102。例如,用户可以期望从诸如处于机房的外部机器来访问公司内的资源,在该外部机器上用户并没有特权来安装客户机或者不期望经历客户机安装过程。当装置(例如市场上的新的PDA)不支持SSL VPN客户机而装置运行的是SSL使能的浏览器,则免客户机SSL VPN特征也是有用的。在其他实施例中,设备200基于策略和任一策略规则、动作和/或条件来在对资源的基于客户机和免客户机SSL VPN访问之间选择用户。
客户机可以包括任一类型和形式的用户代理,可以是浏览器、编辑器、网络爬虫程序(web穿越自动机)或者任一其它终端用户工具或者程序。客户机102可以包括任一类型和形式的浏览器。在一个实施例中,浏览器是Washingtong Redmond的微软公司制备的任一版本的InternetExplorer(IE)。在另一个实施例中,浏览器是网景通信公司制备的任一版本的网景浏览器。在其他实施例中,浏览器是称之为Firefox并且由California的Mozilla Foundation提供的并且在www.mozilla.com可以找到的任一版本的开放源浏览器。在又一个实施例中,浏览器是NorwayOs1o的Opera Software ASA制备的称之为Opera的任一版本的浏览器。在一些实施例中,客户机102执行或者包括任一类型或者形式的应用或者程序,用于显示web页面、web内容、HTML、XML、CSS(层叠式样式表)、Java脚本或者HTTP内容。
在图3A描述的实施例的操作中,用户登入设备200提供的SSL VPN站点,诸如通过设备200寄载的域名和IP地址。例如,用户经由客户机102的浏览器可以选择或者输入URL到SSL VPN站点。设备200可以验证用户并且还可以进一步确定用户访问设备200或者SSL VPN站点的授权。在成功验证之后,设备为客户机提供入口页面来经由浏览器显示给用户。入口页面可以包括导航盒(navigation box),诸如一组一个或者多个用户接口元件用于用户来选择操作或者运行应用。入口页面可以包括到用户可访问的其它页面或者URL的链接。入口页面上的URL或者链接可以索引或者识别设备200提供的SSL VPN站点的主机名称或者IP地址。
用户经由入口页面可以例如通过点击有效超链接或者URL来选择一个或者多个URL。随之,浏览器或者客户机将请求传送给设备200寄载的域。例如,如图3A中描述的,用户可以经由设备请求服务器106的应用:“https://sslvpn.x.com/cvpn/http/server.x.com/app.cgi”。在一些实施例,用户发送另一个请求,诸如“https://proxy.x.com/cvpn/http/server.x.com/app.cgi”。设备200从客户机102接收请求并且重写该请求以发送给服务器。例如,如图3A中描述的,设备可以移除或者删除设备所寄载的域名诸如“sslvpn.x.com”或者“proxy.x.com”并且将请求的剩余部分转发给服务器106。
响应于该请求,服务器将内容发送给客户机。响应的内容或者体可以包括到服务器的其他页面或者到网络104’上的其他服务器的嵌入式链接或者URL,诸如到“http://server.x.com/app.cgi”的嵌入式链接。设备重写该首部和体来修改任一URL,以索引到SSL VPN站点的域名或者IP地址,使得经由客户机浏览器的任一其它URL或者链接选择将请求发送给设备200。设备发送修改后的内容给客户机102。设备200诸如经由AppFw 290(有时称之为AppSecure模块290)可以设计并且构建为基于策略引擎的策略来重写请求和响应的URL。该页面和在此SSL VPN会话期间从服务器随后接收的其他页面中的链接(URL)由设备通过指向SSL VPN站点(VPNVIP 275)的链接和初始请求URL(绝对或者相对)编码在该请求URL中的方式来进行修改。
现在参考图3B,描述用于提供VPN访问以及cookie管理的VPN环境的另一个实施例。总的来说,设备200可以包括用于处理如此处描述的基于免客户机和/或客户机的任一SSL VPN功能性的VPN模块280。设备和/或VPN模块280可以具有AAA模块来执行任一类型和形式的验证、授权和审核(AAA)和/或跟综和管理VPN会话信息。AAA模块还可以执行任一类型或者形式的VPN会话查询来确定用于任一客户机请求的VPN会话。VPN模块还可以执行URL译码并且将URL转换为服务器格式,诸如用来提交给专用网络上的服务器。VPN模块280还包括经由VPN处理器函数、逻辑或者运算的DNS查询功能性和授权。
设备可以包括用于保存、跟踪和管理客户机和服务器之间的cookie的cookie代理或者cookie管理器。Cookie可以包括用于增加或者插入cookie以及移除cookie的cookie存储装置,称之为cookie存储器(jar)。Cookie管理器或者代理可以包括在cookie存储器中通过请求和/或响应的URL、域名或者其他信息来保存和查询cookie信息的功能、逻辑或者运算。在一些实施例中,设备200代表不支持cookie、停用的cookie的客户机或者对于期望或优选不发送cookie给客户机的情况中管理cookie。
设备还可以包括AppFW 280,其在Citrix System公司制备的设备的情况下称为AppSecure。AppSecure 280模块可以包括用于执行任一类型和形式的内容重写,诸如URL重写的逻辑、功能或运算。在一些实施例中,AppSecure 280模块执行到客户机和服务器之间的请求和/或响应的任一类型和形式的内容注入。在一些实施例中,AppSecure模块280将脚本插入到对客户机的响应中,诸如Java脚本,来执行任一类型和形式的期望的功能性。
用于免客户机SSL VPN访问的设备200的任一部件可以响应于配置或者通过配置驱动,诸如经由策略引擎的任意一个或者多个策略。策略可以指导和确定通过VPN模块执行的URL编码和译码的类型和形式。在一些实施例中,策略可以指导和确定cookie代理如何并且何时管理和代理cookie。在其他实施例中,策略可以指导并且确定AppSecure模块如何并且何时执行URL重写和/或内容注入。策略可以指导用户访问专用网络和专用网络上的应用的方式。策略可根据访问方案配置,该访问方案可以包括基于用户、客户机的类型和形式、网络的类型和形式、访问资源的类型、所使用应用的类型、暂时信息以及可以通过设备经由传输到的网络业务量来确定的任一信息的任一组合的访问。
参考图3B,讨论经由设备200用于免客户机SSL VPN访问的包流。响应于成功的登入请求,VPN设备可以发送入口页面给登入请求的发送者。入口页面可以具有结合图3A描述的“vpn编码格式”的一个或者多个链接。入口页面流经以下描述的响应码路径。当用户点击入口页面中的任一URL时,包流可以以多种方式并且使用多个步骤来执行。在一些实施例中,对于步骤Q1的请求路径,设备200可以接收URL请求并且查询AAA模块中的VPN会话。在步骤Q2,设备可以将VPN编码的URL译码为期望的URL用于服务器或者网络104’。设备还可以将请求的首部(诸如首部值)修改为服务器格式或者意于通过服务器106传输和使用的格式,诸如HTTP服务器。设备可以重新解析首部,使得设备的任一其它模块以服务器格式查看该请求。在步骤Q3,在请求路径中,设备经由cookie管理器或者代理可以基于URL的域和路径来查看用于该请求的cookie。在一些情况中,如果该请求包括cookie,则该设备可以从cookie存储器插入cookie。在步骤Q4,设备可以经由设备的DNS查询功能/模块来将以URL中的服务器的域名解析为服务器的IP地址。设备可以基于AAA模块中的DNS查询来建立服务器信息。此外,可以评估授权策略来确定该请求是否可以传送给服务器。在步骤Q5,设备可以将请求发送给服务器。在一些实施例中,只有在授权成功的情况下,设备才将该请求发送给服务器。
在从服务器经由设备到客户机的响应路径中,在步骤S1,设备可以接收来自服务器的响应。VPN模块280可以处理该响应。VPN模块可以将该响应首部传递到cookie代理模块并且将响应体传递到AppSecure模块。在步骤S2,cookie代理可以从响应的首部移除未被配置或者以其它方式识别为客户机所消耗cookie的cookie并且将它们保存在当前会话所使用的cookie存储器中。在步骤S3,AppSecure模块可以根据重写策略来重写“vpn编码形式”的任一URL。AppSecure模块还可以将任一脚本插入响应体中,诸如要在客户机侧执行的Java脚本代码。在步骤S4,设备可以发送修改后的响应给客户机。在许多实施例中,任一个Q或者S步骤以任一顺序或者以与此处所描述的任一其它步骤或者实施例的任一组合进行。
D、用于配置和细粒度策略驱动WEB内容检测和重写的系统和方法
现在参考图4,描述用于配置和策略驱动web内容检测和重写的系统的视图。总的来说,该系统包括和设备200通信的客户机102。在一个实施例中,设备200包括策略引擎236、SSL VPN模块280、URL重写器430和数据库440。在另一个实施例中,策略引擎还包括免客户机策略405,基于客户机策略410和一个或者多个访问配置文件415A-415N(总的称为访问配置文件415)。设备200和服务器106相通信。在一个实施例中,一个或者多个应用420a-420n(总的称为应用420)在一个或者多个服务器106上执行。客户机102传送URL请求401,该请求在设备200处被拦截。设备200修改该请求401并且将修改的请求401’转发给服务器106。
在一个实施例中,由客户机102传送的请求401包括设备提供的SSLVPN站点的URL链路。在另一个实施例中,请求401是对于SSL VPN的外部站点的URL请求。在另一个实施例中,请求401包括要求访问SSL VPN的验证数据。在又一个实施例中,响应于用户在成功验证到SSL VPN之后访问在客户机处接收的入口页面上的链路来传送该请求401。在一些实施例中,请求401包括用于以下一个或者多个的URL:web页面、静态图像、动态图像、音频文件和视频文件。在一些实施例中,请求401包括访问保存在安全网络上的一个或者多个服务器106上的资源、应用或者服务的URL。该请求可以包括用于访问资源、应用或者服务的URL,该URL与正被访问的服务器106所识别或者接受的URL不同但相关联。在一些实施例中,来自客户机102的请求在转发给服务器106前被重写、修改或者转换。
在一些实施例中,包括在请求401中的URL的一般形式可以是:<方案名称>:<分级部分>[?<查询>][#<片段>];方案名称通常识别和URL相关联的协议。方案名称可以包括但不限于以下内容:http(超文本传输协议)、https(安全http)、aaa(直径协议)、aaas(安全aaa)、dns(域名系统)、imap(因特网消息访问协议)、ftp(文件传输协议)、ldap(轻量级目录访问协议)、news(新闻组协议)、telnet(电信网络协议)、nntp(网络新闻传输协议)、和pop(邮局协议)。URL可以包括和任意类型和形式的URL的一部分或者URL相关的文本,诸如“http://www.xyz.com/xyz/xyzpage.htm”或者“ftp://ftp.xyz.com/xyz/xyztext.txt”,“ldap://[1985:db8::7}/f=GB?objectClass?one”。
分级部分本质上期望持有分级的标识信息。在一个实施例中,分级部分开始为双正斜线(“//”),之后是权限部分。在一些实施例中,分级部分包括定位网络上资源的路径信息。在另一个实施例中,权限部分包括主机名称。在又一个实施例中,权限部分包括以“@”结束的可选用户信息部分(例如用户名:密码@)。在一个实施例中,查询部分包括实际上不分级的信息。在另一个实施例中,片段部分包括允许次级资源的间接识别的附加识别信息。
设备200可以拦截URL请求401并且将该请求传递给SSL VPN模块280。在一个实施例中,和策略引擎236通信的SSL VPN模块280确定是否重写URL。在一些实施例中,URL重写策略可以配置为提供期望的粒度。在具有较细水平粒度的其中一个实施例中,SSL VPN模块280响应于策略引擎236提供的策略来决定请求访问SSL VPN的客户机102是允许免客户机访问还是允许基于客户机的访问。在一些实施例中,SSL VPN模块基于策略405或者410的一个或者多个条件来决定免客户机访问或者基于客户机访问。在其中一个这样的实施例中,客户机102可以是不允许用户下载SSL VPN客户机的机器。在另一个这样的实施例中,客户机102是不支持SSL VPN客户机但可以运行SSL使能的浏览器的装置。在另一个这样的实施例中,SSL VPN模块280可以执行端点扫描来基于以下的一个或者多个来确定客户机102不支持基于客户机的策略410:不兼容的操作系统、防火墙和反病毒软件。
在一些实施例中,设备200基于该请求401的任意部分来识别策略。请求401可以包括指示或者协助指示设备200将识别或者选择的策略的部分。在一些实施例中,设备200基于网络包的首部来识别策略。在其他实施例中,设备200基于网络包的载荷部分识别策略。在其他实施例中,设备200基于另一个策略来识别策略。在一个实施例中,设备200可以基于所识别的策略来充当透明代理。在一些实施例中,设备200在策略间切换以根据网络的安全条件授权免客户机或者基于客户机的访问。通过示例,在一个实施例中,设备200可以识别策略以在没有检测到反病毒软件或者防火墙存在时授权免客户机访问,而一旦检测到反病毒软件或者防火墙可运行时就切换到基于客户机的模式。
设备200可基于来自请求的任意细节、信息或者指示来识别策略。在一些实施例中,设备200基于已经发送请求的客户机102上的用户来识别策略。例如,用户可以被指定为使用免客户机的SSL VPN会话而不是基于客户机的SSL VPN会话,或者与之相反。在进一步的实施例中,设备200基于客户机102已经从服务器106请求的应用、资源或者服务来识别策略。例如,客户机仅使用基于客户机或者免客户机的SSL VPN会话来访问一些应用。在进一步的实施例中,设备200基于关于客户机102的信息来识别策略。关于客户机的信息可以包括客户机和服务器106或者相关服务器交互的历史、客户机访问服务器106上特定资源的许可、客户机访问服务器106上特定资源的验证或者与客户机和服务器交互相关的任意其它信息。在一些实施例中,设备200基于客户机102正访问的服务器106来识别策略。例如,一些服务器可以使用或者提供基于客户机的SSL VPN会话,而其他服务器可以使用或者提供免客户机的SSL VPN会话。在一些实施例中,策略的识别是基于和请求401相关的网络包的任意部分。在一些实施例中,设备200基于一个或者多个正则表达式或者RegEx来识别策略。在进一步的实施例中,客户机的请求和任意数量个RegEx相匹配或者比较,该任意数量个RegEx可以包括用于识别策略或者识别特定URL或者请求的一部分的任意数量个字符、串、一部分文本或者一部分URL。基于客户机的部分请求和RegEx的匹配或者比较结果,设备200可以识别策略。
在一个实施例中,免客户机策略405可以配置为提供期望水平的粒度。在一个实施例中,免客户机策略405可以基于用户配置文件来配置。在另一个实施例中,策略405可以基于用户或者用户组来配置。在一些实施例中,策略可以基于网络类型、IP地址或者请求类型中的一个或者多个来配置。在一些实施例中,策略405可以基于客户机所请求或者访问的应用、资源或者服务来配置。在进一步的实施例中,策略405基于其它策略来配置。在其他实施例中,多个策略可以逻辑组合在一起。
在一个实施例中,通过诸如也称为AppSecure的AppFW 290的应用编程接口(API)来进行配置。在其他实施例中,命令行接口(CLI)的命令用来配置SSL VPN的免客户机策略405。在其中一个这样的实施例中,诸如以下的CLI命令用来全局配置免客户机的SSL VPN:
set vpn parameter-ClientLess VpnMode on
在另一个这样的实施例中,免客户机的SSL VPN经由会话动作提供更细的粒度。在一个实施例中,以下CLI命令可以用来在会话动作中启用免客户机的SSL VPN:
add vpn session action<actionname>-ClientLess VpnMode on
在一些实施例中,免客户机的SSL VPN策略405配置为指定URL编码机制。在其中一个这样的实施例中,免客户机策略405配置为在全局级别使用以下CLI命令来指定URL编码机制:
set vpn param-ClientLessModeUrlEncoding(opaque|transparent|encrypt)
在一个实施例中,“不透明(opaque)”模式涉及URL的主机名称部分的编码,使得用户不能在清晰文本中看到主机名称。在另一个实施例中,“透明(transpant)”模式涉及不进行编码,使得用户可以查看正在访问哪个主机。在又一个实施例中,在“透明”模式中,用户可以查看URL的主机名称和路径信息。在又一个实施例中,“加密(encrypt)”模式涉及对URL的一个或者多个部分进行加密。在一个实施例中,主机名称和路径信息在“加密”模式中加密。在另一个实施例中,使用对称加密机制的会话密钥来进行加密。在其它实施例中,使用本领域内的普通技术人员清楚的多个加密机制来进行加密。
在一些实施例中,URL编码机制专用于会话策略。在其中一个这样的实施例中,URL编码机制可以配置专用于用户。在另一个这样的实施例中,URL编码机制可以配置为专用于一个组。在另一个这些实施例中,URL编码机制可以配置专用于虚拟服务器(vServer)。在一个实施例中,URL可以配置为专用于会话策略,作为会话策略的动作中的参数。这可以使用诸如以下的CLI命令来实现:
add vpn session action<action name>-ClientLessModeUrlEncoding(opaque|transparent|encrypt)
在一些实施例中,在具有免客户机策略405的免客户机的SSL VPN中使用一个或者多个访问配置文件415来提供更细的粒度。在一个实施例中,访问配置文件415包括用于指示重写器430的关于重写策略的重写标签。重写策略可以包括用来重写或者修改服务器106或者客户机102内容或者传输中的经过设备200的每个URL的指令。例如,用于特定URL的重写策略可以提供用来重写、覆写、修改或者增加来自客户机102或者服务器106的内容的URL的任意部分的指令。在一些实施例中,重写策略可以提供用来从客户机102或者服务器106的内容排除或者去除URL的任意部分的指令。在另一个实施例中,访问配置文件415包括用于检测URL的模式类(称为patclass)。在又一个实施例中,patclass包括或者含有正则表达式(RegEx)。正则表达式可以包括字符、数字和符号的任意组合,用来检测经过设备200的一个或者多个URL。在一些实施例中,RegEx包括URL的一个或者多个部分或者段,或者URL的部分,用来检测服务器106发送给客户机102的内容中的一个或者多个特定的URL。在进一步的实施例中,正则表达式包括用于匹配或者检测指定类型的内容中的一个或者多个URL的文本、脚本、字符和数字。该内容可以是服务器106响应于客户机102的请求而提供给客户机的任意类型和形式的内容。在又一个实施例中,RegEx包括一组密钥组合,以便于对搜索URL字符串的多种控制。在另一个实施例中,访问配置文件415包括一个或者多个patclass,该patclass包括传递给客户机的cookie名称。在一个实施例中,访问配置文件可以使用诸如以下的CLI命令来建立:
set vpn clientlessAccessProfile<profileName>
[-URLRewritePolicyLabel<string>]
[-JavaScriptRewritePolicyLabel<string>]
[-ReqHdrRewritePolicyLabel<string>]
[-ResHdrRewritePolicyLabel<string>]
[-RegexForFindingURLinJavaScript<string>]
[-RegexForFindingURLinCSS<string>]
[-RegexForFindingURLinXComponent<string>]
[-RegexForFindingURLinXML<string>][-ClientConsumedCookies<string>]
在另一个实施例中,访问配置文件415链接到免客户机访问策略405来提供细粒度。在又一个实施例中,免客户机访问策略405使用诸如以下的CLI命令链接到访问配置文件415:
add vpn clientlessAccessPolicy<policyName><rule><vpnclientlessAccessProfile>
访问策略415在规则评估为真时选择访问配置文件415。
在一些实施例中,访问配置文件415和多个应用420a-420n(总的称为应用420)的一个或者多个相关联。例如,访问配置文件415可以配置为预定的应用420。在一个实施例中,可以存在配置用于一组应用420的一个全局访问配置文件。在另一个实施例中,每个应用420可以具有和其相关的单独的访问配置文件415。在又一个实施例中,和应用420a相关的访问配置文件415用于应用420a的所有版本。在又一个实施例中,可以存在与应用420a的每个版本相关的单独的访问配置文件。在一些实施例中,可以存在和另一个访问配置文件415相关的一个或者多个访问配置文件415。在其他实施例中,访问配置文件可以专用于一个或者多个用户、应用、用户组和应用组。在其他实施例中,访问配置文件415可以根据本领域内的普通技术人员清楚的期望粒度水平来配置。
在一个实施例中,应用420是包括但不限于WA.Redmond的微软公司制造的Outlook Web Access(OWA)2003和OWA 2007的电子邮件应用。在另一个实施例中,应用420可以是诸如WA.Redmond的微软公司制造的Sharepoint 2007的文档管理平台。在其他实施例中,应用420可以是本领域内的普通技术人员熟知的任意其它软件或应用。在图4中,所有的应用420示为在服务器106上执行。在其他实施例中,应用420可以在不同服务器上执行。在其他实施例中,应用420可以在逻辑组合的服务器群组的一个或者多个服务器上执行。
在一些实施例中,SSL VPN免客户机策略405限制到一个或者多个VPN实体。在一个实施例中,免客户机策略405限制到VPN全局。在另一个实施例中,免客户机策略405限制到VPN服务器。在又一个实施例中,免客户机策略405限制到验证、授权和计费(AAA)协议的用户。在又一个实施例中,免客户机策略405限制到AAA组。在一些实施例中,免客户机策略405使用诸如如下的CLI命令限制到VPN实体:
bind<entity>-policy<clientlessAccesspolicyName>-priority<pri>
在一个实施例中,SSL VPN模块280和URL重写器430相通信来通知URL重写器430关于从策略引擎236获取的重写策略。在另一个实施例中,URL重写器直接和策略引擎236相通信来获取重写策略。重写策略可以包括转换、修改或者覆写服务器106或者客户机102发送的任意特定URL的指令或者指示。在一些实施例中,重写策略提供用来将特定URL修改或者重写到另一个URL中的指令或者指示。该修改、改变或者转换可以包括重写、覆写、剪切和粘贴、加密、替换或者以其他方式转换特定URL或者特定URL的任意部分的任意组合。在一些实施例中,重写器430重写请求401中的URL并且将修改的URL转发给服务器106。在一个实施例中,重写器430重写除了文件的扩展名类型之外的整个URL,以允许浏览器导出MIME类型。在另一个实施例中,重写器430重写该主机名称使得主机名称为SSL VPN站点下的子目录。在另一实施例中,重写器重写绝对URL,使得不改变相对URL。在又一个实施例中,重写器430重写主机名称和相对URL。重写器430可以以多个方式中的一个或者多个来进行重写。在一个实施例中,重写器430将例如诸如http://www.sslvpn.com的SSL VPN站点下的http://www.unencoded_url.com URL编码为http://www.sslvpn.com/9oatj。在另一个实施例中,重写器430使用一些会话密钥来对称加密和解密URL。URL的这样的加密称之为模糊化(obfuscation)。在一个实施例中,重写器430不加密文件扩展名类型和/或SSL VPN主机名称。在另一个实施例中,重写器430加密路径信息来遮蔽服务器处的目录结构。在一个实施例中,由SSL VPN模块提供用于加密和解密的密钥。在另一个实施例中,该密钥使用会话ID来获取。通过例子,URLhttp://www.unencoded_url.com/testsite/contents/file5.html可以加密为另一个URL,诸如https://svpn.mysite.com/EURL/whhyghfgdyonfdnv9898aaf.html。在一个实施例中,可以使用公知的编码和译码方案来促进对URL的标记以用于未来的SSL VPN会话。在另一个实施例中,重写器430使用可逆转换来重写SSL VPN站点的初始URL。在这样的实施例中,初始URL可以从重写的URL容易地提取。通过示例,URL http://www.xyz.com/htmil/index.html可以重写为URL:/cvpn/http/www.xyz.com/html/index.html。
中间设备200可以将任意的访问配置文件、策略、规则和动作应用到经过中间设备200的网络业务量的任意级别粒度的部分或者子集。该粒度级别可以基于该配置从细到粗。此处描述的访问配置文件规则、规则和策略的逻辑、标准或者条件可以限定或者指定为应用到经由设备200传输的网络业务量或者传输的任意期望子集或者部分。在一个方面,粒度级别是指配置可以应用到的网络话务量的一部分的等级、测量值、细度或者粗糙度。在十分粗略或者粗糙粒度的配置中,访问配置文件、规则或者策略可应用到所有的网络业务量。在十分细的粒度的配置中,访问配置文件或者策略可以应用到特定用户的网络业务量的指定子集,诸如特定用户的特定应用的业务量或者业务量的一部分。
在一些粒度的配置中,访问配置文件、策略或者规则应用到发送请求到服务器的任意客户机102。策略、规则或者访问配置文件可以限定为地址,或者应用到任意客户机102,并且可以基于客户机102的任意配置或者关于客户机102的信息,诸如客户机102请求的部分。类似地,策略、规则或者访问配置文件可以限定为地址,或者应用到任意服务器106,并且可以基于客户机106的任意配置或者关于服务器106的信息,诸如服务器106所响应的部分。在一些粒度的配置中,访问配置文件、策略或者规则限定为应用到客户机102用来经由设备200连接到服务器106的指定会话或者连接。
在进一步的实施例中,限定访问配置文件、策略或者规则以应用到经由SSL VPN会话或者连接来连接的任意客户机102。在进一步的实施例中,限定访问配置文件、策略或者规则以应用到经由免客户机的SSL VPN会话或者连接来连接的任意客户机102。在进一步的实施例中,限定访问配置文件、策略或者规则以应用到经由基于客户机的SSL VPN会话或者连接来连接的任意客户机102。在进一步的实施例中,限定访问配置文件、策略或者规则以应用到发送请求到特定服务器106的任意客户机102或者客户机会话。在又一个实施例中,限定访问配置文件、策略或者规则以应用到请求服务器上特定应用或者资源的任意客户机102或者客户机会话。在进一步的实施例中,限定访问配置文件、策略或者规则以基于例如cookie是否被启用或者停用的cookie配置应用到任意客户机102或者客户机会话。
在进一步的实施例中,限定访问配置文件、策略或者规则以应用到发送包括特定URL、或者特定URL的一部分的请求的任意客户机102或者客户机会话。在又一个实施例中,限定访问配置文件、策略或者规则以基于由客户机102发送的请求的一部分和访问配置文件、策略或者规则的相或者密钥之间的匹配来应用到任意客户机102或者客户机会话。在一些实施例中,限定访问配置文件、策略或者规则以基于关于访问服务器106的客户机102的信息来应用到任意服务器106或者服务器会话。这样的信息可以包括客户机102的请求的一部分或者特征、客户机102的设置或者配置、或者客户机102的任意其它相关信息。在一些实施例中,限定访问配置文件、策略或者规则以基于服务器106的配置或者服务器106发送到客户机102的内容的特征来应用到任意服务器106或者服务器会话。
现在参考图5,示出描述设备200执行URL重写所采用的方法500的实施例的步骤的流程图。设备200从客户机上的浏览器接收URL请求(步骤510)。驻留在设备200上的SSL VPN模块280经由策略确定是否提供免客户机或者基于客户机的访问到SSL VPN(步骤515)。策略引擎236还确定是否存在和该请求相关的访问配置文件415(步骤520)。驻留在设备200上的URL重写器430响应于该访问配置文件和/或策略来重写URL(步骤525)。设备200将修改的请求转发给服务器106(步骤530)。
在一个实施例中,设备200从网络104上的客户机接收URL请求(步骤510)。在另一个实施例中,设备200可以驻留在客户机器102上。在一个实施例中,在设备200处响应于用户访问由设备200提供的入口页面来接收诸如请求401的客户机请求。该请求可以包括任意类型和形式的内容。在一些实施例中,URL请求包括任意数量的URL。在进一步的实施例中,URL请求包括关于客户机102上的用户的信息。在又进一步的实施例中,URL请求包括关于客户机102的信息,诸如客户机网络连接的安全级别、客户机的安全特性、用户特征或者关于客户机的任意类型和形式的信息。在进一步的实施例中,URL请求包括关于服务器106的信息,客户机102请求从该服务器106访问信息、服务或者资源。
设备200可经由策略引擎236提供的策略来确定为SSL VPN提供免客户机还是基于客户机的访问(步骤515)。免客户机或者基于客户机的SSL VPN会话可以是客户机102和服务器106之间经由设备200的会话、客户机102和设备200之间的会话或者设备200和服务器106之间的会话。在一个实施例中,策略引擎236提供的免客户机策略405是可配置的。在一个实施例中,策略引擎236提供的基于客户机的策略410是可配置的。在另一个实施例中,也可以配置确定提供免客户机还是基于客户机的访问的策略。在一个实施例中,可以基于请求401的一部分来做出确定。在另一个实施例中,如果客户机不具备许可或者资源来支持基于客户机的访问,则确定提供免客户机的访问。在又一个实施例中,设备总是确定提供免客户机访问。在又一个实施例中,基于以下的一个或者多个来确定免客户机和基于客户机的访问:请求401的网络包、网络条件、客户机的操作系统及其版本、防火墙、运行在客户机上的反病毒软件和客户机的浏览器。在一些实施例中,设备200识别基于客户机102所请求的应用来指示是建立基于客户机还是建立免客户机的SSL VPN会话的会话策略。在进一步的实施例中,设备识别基于来自客户机102的请求的URL来指示是建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话的会话策略。用于识别会话策略的URL可以由访问配置文件415或者访问配置文件415的RegEx来检测和识别。在一些实施例中,设备200识别基于客户机102上的用户来指示是建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话的会话策略。客户机102上的用户可以具有特权或限制,使得依赖于这样的配置设备200对于用户认识到并且识别出基于客户机或者经由免客户机的SSL VPN会话的会话策略。在一些实施例中,设备200识别基于关于客户机102的信息来指示是建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话的会话策略。在一些实施例中,信息可以包括客户机102的标识,诸如因特网协议(IP)地址、主机名称、客户机102发送请求所经由的网络的名称、客户机102的互联网提供者的名称、或者关于任意其他客户机102的信息。在一些实施例中,设备200识别基于客户机102的请求所识别的服务器来指示是建立基于客户机的SSL VPN会话还是免客户机的SSL VPN会话的会话策略。在又一个实施例中,设备200识别基于客户机102请求的服务器106的资源或者服务的类型来指示是建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话的会话策略。在进一步的实施例中,设备200识别基于客户机102请求的服务器106的特定资源或者服务来指示是建立基于客户机的SSL VPN会话还是免客户机的SSL VPN会话的会话策略。
在一些实施例中,访问配置文件415和请求401相关联。在一个实施例中,策略引擎236确定对于请求401应该调用哪个访问配置文件(步骤520)。访问配置文件415可以基于会话策略的识别或者基于客户机102的请求来调用。在一个实施例中,基于请求401的一部分做出该确定。例如,设备200根据请求的体的一部分和/或首部来确定要使用策略405或者410和/或要使用访问配置文件415。在一些实施例中,基于访问配置文件415的RegEx来识别访问配置文件415。在进一步的实施例中,访问配置文件415的RegEx与客户机请求的URL或者URL的一部分相匹配,并且响应于该匹配,识别所匹配的RegEx的访问配置文件415。在另一个实施例中,基于URL请求401所请求的应用420来确定访问配置文件。在又一个实施例中,策略引擎确定调用多于一个的访问配置文件415用于请求401。在一个实施例中,访问配置文件415提供重写策略给重写器430。在另一个实施例中,访问配置文件提供解析请求的策略来检测URL。在一些实施例中,存在内置的缺省配置文件。在其中一个这样的实施例中,如果访问配置文件没有选择任意其它配置文件,则选择缺省配置文件。
在一个实施例中,驻留在设备200上的URL重写器如策略引擎所指示的那样来重写URL(步骤525)。在另一个实施例中,重写策略存在于访问配置文件415中。重写策略可以是通过将RegEx与客户机请求的URL或者URL的一部分相匹配来识别的访问配置文件415的一部分。在又一个实施例中,重写策略作为单独的实体存在于策略引擎中。在一些实施例中,重写策略指定哪种类型的内容将要被重写。内容类型总的可以称为转换类型。在一个实施例中,转换类型是URL。在另一个实施例中,转换类型是文本。在又一个实施例中,转换类型是http请求(http-req)。在又一个实施例中,转换类型是http响应(http-res)。在一个实施例中,重写策略可以使用诸如以下的CLI命令来增加到现存的策略中:
add rewrite policylabel<labelName><transform>
在另一个实施例中,重写动作可以使用诸如以下的CLI命令以更高的粒度来指定:
add rewrite action<action-name>clientless_vpn_encode/clientless_vpn_decode/
clientless_vpn_encode_all/clientless_vpn_decode_all<target>
设备200将修改的请求转发给服务器106(步骤530)。在一个实施例中,设备200通过可以和客户机和设备之间的网络104大致相同或者不相同的网络104’来转发修改的请求给服务器106。在另一个实施例中,设备200经由一个或者多个中间设备200’(未示)转发修改的请求。
现在参考图6,示出描述从服务器通过设备传送到客户机的服务器响应和修改的服务器响应的实施例的框图。简单概述,服务器响应601从服务器106经由网络104’传送给设备200。设备200通过重写服务器响应601中的URL来修改服务器响应601。修改的响应601’随后经由网络104传送给客户机102。
响应于服务器106从设备200接收修改的请求401’(未示),从服务器106传送服务器响应601。服务器响应601可以是对于任意客户机102传输或者请求的任意响应。在一些实施例中,服务器响应601是对于请求401的响应。服务器响应601可以包括以下一个或者多个资源:静态图像、动态图像、音频文件和视频文件。在其中一个实施例中,静态图像是诸如GIF、JPEG或者PNG的光栅图像格式。在另一个这样的实施例中,静态图像是诸如SVG闪烁的矢量格式。在又一个实施例中,动态图像是动态GIF图像、Java小程序或者Shockwave图像。在又一个实施例中,音频文件可以是以下多个格式的其中一个:MIDI、WAV、M3U和MP3。在另一个实施例中,视频文件可以是以下多个格式的其中一个:WMV、RM、FLV、MPG和MOV。在一个实施例中,服务器响应601可以包括交互文本、视图和按钮。在一些实施例中,服务器响应601的一个或者多个资源通过URL识别。在一个实施例中,使用诸如XML、HTML或者XHTML的标记语言来建立一个或者多个URL 605。在另一个实施例中,服务器响应601中的一个或者多个URL 610包括层叠样式表(CSS)和元数据。在又一个实施例中,服务器响应601中的一个或者多个URL 620包括诸如Java脚本或者AJAX的脚本。在又一个实施例中,服务器响应601中的一个或者多个URL 615包括使用用户接口(UI)语言所写的部件(X部件)。
设备200识别服务器响应601中的多种URL 605、610、615、620并且根据由策略引擎236诸如经由访问配置文件指定的重写策略来重写、修改或者转换URL。服务器响应601中的各种URL可以使用可以与任意的各种URL的一部分相匹配的正则表达式来识别或者检测。在一个实施例中,修改的服务器响应601’随后通过网络104传送给客户机102。在另一个实施例中,修改的服务器响应601’包括通过修改标记语言URL605建立的URL 605’。在又一个实施例中,修改的服务器响应601’包括通过修改CSS URL 610建立的URL 610’。在又一个实施例中,修改的响应601’包括通过修改X部件URL 615建立的URL 615’。在另一个实施例中,修改的响应601’包括通过重写Java脚本URL 620建立的URL 620’。在其他实施例中,修改的响应可以包括本领域内的普通技术人员清楚的其它部件、脚本和对象。在一个实施例中,设备200可以将服务器响应601中不存在的内容置于修改的响应601’中。在另一个实施例中,修改的响应601’可以和服务器响应601大体相同。
现在参考图7,示出描述通过设备修改或者重写服务器响应上的一个或者多个URL的方法的实施例的步骤的流程图。该设备200接收服务器响应601(步骤710)。策略引擎确定服务器响应601中出现的内容的类型并且确定经由访问配置文件415如何检测内容中的URL(步骤715)。策略引擎还确定经由访问配置文件如何重写URL(步骤720)。重写器430重写URL(步骤725)并且设备200将修改的响应转发给客户机102(步骤730)。
在一个实施例中,服务器响应601包括不同类型的内容。在一个实施例中,服务器响应包括使用诸如扩展标记语言(XML)、超文本标记语言(HTML)或者扩展HTML(XHTML)的标记语言建立的内容。在另一个实施例中,服务器响应601包括层叠样式表(CSS)和元数据。在又一个实施例中,服务器响应601包括诸如Java脚本或者AJAX的脚本。在又一个实施例中,服务器响应601包括使用用户接口(UI)语言所写的部件(X部件)。在其他实施例中,服务器响应可以包括对于本领域内的普通技术人员清楚的文件、对象、图像、视频和交互内容。在一些实施例中,服务器响应601包括客户机102所请求的服务器提供的应用。在进一步的实施例中,服务器响应601包括客户机102请求的任意资源或者服务。
在一个实施例中,该设备通过网络104’接收服务器响应601(步骤710)。在另一个实施例中,服务器响应601包括由一个或者多个URL识别的一个或者多个资源。如结合图6详细描述的,服务器响应可以包括多个资源中的一个或者多个。
和策略引擎236相通信的设备200确定存在于响应601中的内容的类型(步骤715)。在一个实施例中,通过解析该响应并且检测内容类型的存在来进行该确定。在另一个实施例中,通过将搜索串模式类(patclass)和响应601相匹配来进行该确定。在一个实施例中,设备200检测所确定内容类型中的嵌入URL的存在。在另一个实施例中,经由称为正则表达式(RegEx)的一组密钥组合来进行URL检测,以促进搜索串上的多种控制。在一些实施例中,RegEx嵌入到免客户机访问配置文件415中。RegEx可以包括可用来与服务器内容的任意部分匹配的任意字符、数字和符号的任意组合,以检测或者识别一个或者多个URL。在一个实施例中,访问配置文件415包括用于检测Java脚本的URL的RegEx。在另一个实施例中,访问配置文件415包括用于检测CSS的URL的RegEx。在另一个实施例中,访问配置文件415包括用于检测X部件的URL的RegEx。在又一个实施例中,访问配置文件415包括用于检测诸如XML的标记语言的URL的RegEx。访问配置文件415可以包括一个或者多个RegEx和重写策略,用来检测或者识别特定的URL并且重写或者修改所识别的特定URL。在一个实施例中,可以使用诸如以下的CLI命令将RegEx指定在访问配置文件415的内部:
[-RegexForFindingURLin JavaScript<string>]
在一些实施例中,用户可以限定规则来检测设备未识别的内容中的URL。在其他实施例中,用户可以指定RegEx来检测所识别的内容类型中的URL。
重写器430可以根据策略引擎236指定的策略重写所检测或者识别的URL(步骤725)。在一些实施例中,重写器430使用来自访问配置文件415的一个或者多个重写策略来重写经由来自访问配置文件415的RegEx所检测或者识别的URL。在一个实施例中,重写策略嵌入访问配置文件415中。在另一个实施例中,用于响应的重写策略可以不同于用于请求的重写策略。在又一个实施例中,用于请求和响应的重写策略可以大致上相同。在又一个实施例中,由诸如AppFW 290的应用编程接口解析响应601的体。在一个实施例中,通过使用诸如以下的CLI命令将管理重写的策略增加到策略引擎236:
Add rewrite PolicyLabel<string>]
在另一个实施例中,策略引擎指定重写器430传递特定的URL,而不重写。在又一个实施例中,通过将重写策略中的多个条件逻辑组合可以提供细粒度。通过示例,通过诸如以下的CLI命令可以表示细粒度重写策略:
add rewrite policy ns_cvpn_default_abs_url_pol′(url.startswith(″http://″)‖
url.startswith(″https://″))&&!url.hostname.server.startswith(″schemas.″)&&
!url.hostname.domain.contains_any(″ns_cvpn_default_bypass_domain″)′
ns_cvpn_default_url_encode_act
在此例中,策略ns_cvpn_default_abs_url_pol用来重写所有的绝对URL,其中服务器名称不是“schemas”并且域不与ns_cvpn_default_bypass_domain patclass中指定的任意域相匹配。在一些实施例中,在客户机102执行重写。在其中一个这样的实施例中,设备200将Java脚本插入到修改的响应601’中,以在客户机102’处执行。在另一个这样的实施例中,对于设备200不能识别为URL的部分响应,调用客户机侧重写。在其他实施例中,重写策略可以配置为处理服务器响应601中的压缩内容。
一些CLI命令接下来通过例子描述。在一个实施例中,管理员可以指定如何使用诸如以下的CLI命令来识别诸如OWA 2007的应用:
add vpn clientlessAccessPolicy owa_2007_pol
′http.req.url.path.get(l).eq(″owa2007″)′ns_cvpn_owa_profile
在另一个实施例中,通过使用诸如以下CLI命令将该策略限制到vpn全局可以将其全局激活:
bind vpn global-policy owa_2007_pol-priority 10
在一个实施例中,将存在用于Outlook Web Access的内置配置文件ns_cvpn_owa_policy并且相同配置文件将用于OWA 2003和OWA 2007。在另一个实施例中,将存在缺省免客户机访问策略ns_cvpn_owa_policy,其在缺省URL(/exchange,/owa,/exchweb和/public)用于提供Outlook Web Access情况下选择OWA配置文件。在又一个实施例中,存在用于免客户机访问ns_cvpn_default_profile的内置通用配置文件,如果没有其它免客户机访问策略选择任意其它配置文件,则选择该配置文件。该缺省配置文件将启用到任意web站点的免客户机访问,其使用标准HTML并且不使用Java脚本建立URL。
设备200将修改的响应601’转发给客户机102(步骤730)。在一些实施例中,设备200将任意数量的修改的响应601’转发给任意数量的客户机102。在进一步的实施例中,设备200将服务器响应601转发给客户机。在进一步的实施例中,设备200将修改的响应601’转发给客户机102,该修改的响应601’被修改或者转换为包括具有对特定URL的改变或者修改的服务器响应601的所有内容,该特定URL诸如URL 605、610、615和620。修改的响应601’的内容可以包括响应601的任意部分以及修改的URL,该修改的URL使用一个或者多个RegEx来识别或者检测并且使用访问配置文件415的重写策略来修改或者重写。
Claims (18)
1.一种用于经由策略在客户机和服务器之间建立免客户机安全套接字层虚拟专用网络SSL VPN会话的方法,该方法包括:
a)中间设备从客户机接收访问服务器的请求,中间设备在客户机和服务器之间建立SSL VPN会话;
b)中间设备基于该请求识别会话策略,该会话策略指示与服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话;
c)中间设备响应于该策略来确定在客户机和服务器之间建立免客户机的SSL VPN会话;以及
d)中间设备从多个访问配置文件中识别出用于控制经由免客户机的SSL VPN会话的访问的访问配置文件,该访问配置文件指定用于修改来自所述客户机或服务器的内容的一个或者多个重写策略。
2.权利要求1的方法,包括中间设备响应于该确定来和服务器建立免客户机的SSL VPN会话。
3.权利要求1的方法,其中,步骤(a)还包括中间设备从客户机接收访问服务器上的应用的请求,并且其中步骤(b)还包括会话策略基于该应用指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话。
4.权利要求3的方法,其中,所述访问配置文件指定对于该应用的一个或者多个重写策略。
5.权利要求1的方法,其中步骤(a)还包括中间设备从用户接收访问服务器的请求,并且其中步骤(b)还包括会话策略基于该用户指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话。
6.权利要求1的方法,其中,步骤(c)还包括中间设备识别用于建立免客户机的SSL VPN会话的所述访问配置文件,该访问配置文件指定所述一个或者多个重写策略。
7.权利要求1的方法,其中,步骤(c)还包括中间设备响应于一个或者多个策略从所述多个访问配置文件中识别第一访问配置文件用于控制经由免客户机的SSL VPN会话的访问,该访问配置文件指定所述一个或者多个重写策略。
8.权利要求1的方法,还包括基于以下一个或者多个来识别第一访问配置文件:请求的用户,由该请求识别的应用,关于客户机的信息和由该请求识别的服务器。
9.一种用于经由策略在客户机和服务器之间建立免客户机安全套接字层虚拟专用网络SSL VPN会话的中间设备,该中间设备包括:
用于从客户机接收访问服务器的请求的包引擎,中间设备在客户机和服务器之间建立SSL VPN会话;
用于基于该请求识别会话策略的策略引擎,该会话策略指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话;并且
其中,中间设备响应于该策略来确定在客户机和服务器之间建立免客户机的SSL VPN会话,并且从多个访问配置文件中识别出用于控制经由免客户机的SSL VPN会话的访问的访问配置文件,该访问配置文件指定用于修改来自所述客户机或服务器的内容的一个或者多个重写策略。
10.权利要求9的中间设备,其中,该中间设备响应于该确定来和服务器建立免客户机的SSL VPN会话。
11.权利要求9的中间设备,还包括用于从客户机接收访问服务器上的应用的请求的包引擎,并且该会话策略基于该应用指示和服务器建立基于客户机还是建立免客户机的SSL VPN会话。
12.权利要求11的中间设备,其中,所述访问配置文件指定对于该应用的一个或者多个重写策略。
13.权利要求9的中间设备,还包括所述包引擎从用户接收访问服务器的请求,并且会话策略基于该用户指示出和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话。
14.权利要求9的中间设备,还包括所述策略引擎从所述多个访问配置文件中识别出用于建立免客户机的SSL VPN会话的访问配置文件,该访问配置文件指定一个或者多个重写策略。
15.权利要求9的中间设备,还包括所述策略引擎响应于一个或者多个策略从所述多个访问配置文件中识别出用于控制经由免客户机的SSL VPN会话的访问的访问配置文件。
16.权利要求9的中间设备,还包括基于以下一个或者多个来识别访问配置文件的策略引擎:请求的用户,由该请求识别的应用,关于客户机的信息和由该请求识别的服务器。
17.一种用于经由策略在客户机和服务器之间建立免客户机安全套接字层虚拟专用网络SSL VPN会话的中间设备,该中间设备包括:
用于从客户机接收访问服务器的请求的装置,中间设备在客户机和服务器之间建立SSL VPN会话;
用于基于该请求识别会话策略的装置,该会话策略指示和服务器建立基于客户机的SSL VPN会话还是建立免客户机的SSL VPN会话;
用于响应于该策略来确定在客户机和服务器之间建立免客户机的SSL VPN会话的装置;以及
用于从多个访问配置文件中识别出用于控制经由免客户机的SSLVPN会话的访问的访问配置文件的装置,其中该访问配置文件指定用于修改来自所述客户机或服务器的内容的一个或者多个重写策略。
18.权利要求17的中间设备,还包括用于响应于该确定来和服务器建立基于客户机的或者免客户机的SSL VPN会话的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610024019.9A CN105450674B (zh) | 2008-01-26 | 2009-01-26 | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US2384808P | 2008-01-26 | 2008-01-26 | |
| US61/023848 | 2008-01-26 | ||
| PCT/US2009/032042 WO2009094654A1 (en) | 2008-01-26 | 2009-01-26 | Systems and methods for configuration and fine grain policy driven web content detection and rewrite |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610024019.9A Division CN105450674B (zh) | 2008-01-26 | 2009-01-26 | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101981887A CN101981887A (zh) | 2011-02-23 |
| CN101981887B true CN101981887B (zh) | 2016-02-10 |
Family
ID=40548586
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980110432.5A Expired - Fee Related CN101981887B (zh) | 2008-01-26 | 2009-01-26 | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 |
| CN201610024019.9A Active CN105450674B (zh) | 2008-01-26 | 2009-01-26 | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610024019.9A Active CN105450674B (zh) | 2008-01-26 | 2009-01-26 | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US8893259B2 (zh) |
| EP (1) | EP2241082B1 (zh) |
| CN (2) | CN101981887B (zh) |
| WO (1) | WO2009094654A1 (zh) |
Families Citing this family (137)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| DE69941338D1 (de) | 1998-10-30 | 2009-10-08 | Virnetx Inc | Netzwerkprotokol zur sicheren kommunikation mit gesicherter systemverfügbarkeit |
| US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US6839759B2 (en) | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
| US8086756B2 (en) * | 2006-01-25 | 2011-12-27 | Cisco Technology, Inc. | Methods and apparatus for web content transformation and delivery |
| US7954145B2 (en) * | 2007-09-27 | 2011-05-31 | Novell, Inc. | Dynamically configuring a client for virtual private network (VPN) access |
| US8893259B2 (en) | 2008-01-26 | 2014-11-18 | Citrix Systems, Inc. | Systems and methods for fine grain policy driven clientless SSL VPN access |
| TW200933398A (en) * | 2008-01-28 | 2009-08-01 | Inventec Corp | Method of accessing files with XML documents of Windows formation under Linux |
| US7912986B2 (en) * | 2008-02-25 | 2011-03-22 | Simdesk Technologies | Secure block read and write protocol for remotely stored files |
| US8117325B1 (en) | 2008-04-29 | 2012-02-14 | Juniper Networks, Inc. | Policy-based cross-domain access control for SSL VPN |
| US8307431B2 (en) * | 2008-05-30 | 2012-11-06 | At&T Intellectual Property I, L.P. | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions |
| US9910708B2 (en) * | 2008-08-28 | 2018-03-06 | Red Hat, Inc. | Promotion of calculations to cloud-based computation resources |
| US8893260B2 (en) * | 2008-12-17 | 2014-11-18 | Rockstar Consortium Us Lp | Secure remote access public communication environment |
| CN101902485B (zh) * | 2009-05-27 | 2014-05-14 | 北京启明星辰信息技术股份有限公司 | 一种反向Web代理的链接改写方法 |
| US8903941B1 (en) * | 2009-09-14 | 2014-12-02 | Symantec Corporation | Method and apparatus for safe web browsing |
| US8977652B2 (en) * | 2009-09-17 | 2015-03-10 | Oracle International Corporation | Client-side API framework for uniform resource identifier (URI) manipulations |
| US8560604B2 (en) | 2009-10-08 | 2013-10-15 | Hola Networks Ltd. | System and method for providing faster and more efficient data communication |
| US8965955B2 (en) * | 2009-12-23 | 2015-02-24 | Citrix Systems, Inc. | Systems and methods for policy based integration to horizontally deployed WAN optimization appliances |
| US8660976B2 (en) | 2010-01-20 | 2014-02-25 | Microsoft Corporation | Web content rewriting, including responses |
| WO2011119076A1 (en) * | 2010-03-23 | 2011-09-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for media access |
| US10015286B1 (en) | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
| US9246764B2 (en) * | 2010-12-14 | 2016-01-26 | Verizon Patent And Licensing Inc. | Network service admission control using dynamic network topology and capacity updates |
| CN103403707B (zh) * | 2010-12-28 | 2017-11-14 | 思杰系统有限公司 | 用于数据库代理请求交换的系统和方法 |
| US10135831B2 (en) | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
| JP5779259B2 (ja) * | 2011-03-18 | 2015-09-16 | テケレック・インコーポレイテッドTekelec, Inc. | 構成可能なダイアメータアドレス解決のための方法、システムおよびコンピュータ読取可能媒体 |
| CN103444143B (zh) * | 2011-03-18 | 2016-04-20 | 日本电气株式会社 | 网络系统及策略路由设置方法 |
| US10560478B1 (en) | 2011-05-23 | 2020-02-11 | Palo Alto Networks, Inc. | Using log event messages to identify a user and enforce policies |
| US9215235B1 (en) | 2011-05-23 | 2015-12-15 | Palo Alto Networks, Inc. | Using events to identify a user and enforce policies |
| US9660992B1 (en) | 2011-05-23 | 2017-05-23 | Palo Alto Networks, Inc. | User-ID information propagation among appliances |
| US8677447B1 (en) * | 2011-05-25 | 2014-03-18 | Palo Alto Networks, Inc. | Identifying user names and enforcing policies |
| GB2496107C (en) * | 2011-10-26 | 2022-07-27 | Cliquecloud Ltd | A method and apparatus for preventing unwanted code execution |
| US8862753B2 (en) | 2011-11-16 | 2014-10-14 | Google Inc. | Distributing overlay network ingress information |
| US10230566B1 (en) | 2012-02-17 | 2019-03-12 | F5 Networks, Inc. | Methods for dynamically constructing a service principal name and devices thereof |
| US9148343B2 (en) * | 2012-03-27 | 2015-09-29 | Juniper Networks, Inc. | Methods and apparatus for improving compatibility between network devices |
| EP2853074B1 (en) | 2012-04-27 | 2021-03-24 | F5 Networks, Inc | Methods for optimizing service of content requests and devices thereof |
| US20130346591A1 (en) * | 2012-06-21 | 2013-12-26 | Alcatel-Lucent Usa Inc. | Clientless Cloud Computing |
| CN102932435B (zh) * | 2012-10-18 | 2016-06-15 | 北京奇虎科技有限公司 | 网络检测系统 |
| US9398102B2 (en) | 2013-03-06 | 2016-07-19 | Netskope, Inc. | Security for network delivered services |
| US9584544B2 (en) * | 2013-03-12 | 2017-02-28 | Red Hat Israel, Ltd. | Secured logical component for security in a virtual environment |
| JP6318698B2 (ja) * | 2013-04-10 | 2018-05-09 | 株式会社リコー | セキュリティ管理システム、セキュリティ管理方法およびプログラム |
| US9659324B1 (en) * | 2013-04-28 | 2017-05-23 | Amdocs Software Systems Limited | System, method, and computer program for aggregating fallouts in an ordering system |
| US10963431B2 (en) * | 2013-06-11 | 2021-03-30 | Red Hat, Inc. | Storing an object in a distributed storage system |
| US9736130B1 (en) | 2013-07-05 | 2017-08-15 | Sonus Networks, Inc. | Communications methods and apparatus related to web initiated sessions |
| US9241044B2 (en) | 2013-08-28 | 2016-01-19 | Hola Networks, Ltd. | System and method for improving internet communication by using intermediate nodes |
| US10187317B1 (en) | 2013-11-15 | 2019-01-22 | F5 Networks, Inc. | Methods for traffic rate control and devices thereof |
| US20150188761A1 (en) * | 2013-12-31 | 2015-07-02 | Top Victory Investments Ltd. | Method for Opening Network Connection of Display Device |
| US10747787B2 (en) | 2014-03-12 | 2020-08-18 | Akamai Technologies, Inc. | Web cookie virtualization |
| US11314834B2 (en) | 2014-03-12 | 2022-04-26 | Akamai Technologies, Inc. | Delayed encoding of resource identifiers |
| US10474729B2 (en) | 2014-03-12 | 2019-11-12 | Instart Logic, Inc. | Delayed encoding of resource identifiers |
| US11134063B2 (en) * | 2014-03-12 | 2021-09-28 | Akamai Technologies, Inc. | Preserving special characters in an encoded identifier |
| US11341206B2 (en) | 2014-03-12 | 2022-05-24 | Akamai Technologies, Inc. | Intercepting not directly interceptable program object property |
| US10356071B2 (en) | 2014-04-14 | 2019-07-16 | Mcafee, Llc | Automatic log-in and log-out of a session with session sharing |
| US10015143B1 (en) | 2014-06-05 | 2018-07-03 | F5 Networks, Inc. | Methods for securing one or more license entitlement grants and devices thereof |
| US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
| US10122630B1 (en) | 2014-08-15 | 2018-11-06 | F5 Networks, Inc. | Methods for network traffic presteering and devices thereof |
| FR3028373A1 (fr) | 2014-11-07 | 2016-05-13 | Orange | Delegation d'intermediation sur un echange de donnees chiffrees. |
| US9398047B2 (en) | 2014-11-17 | 2016-07-19 | Vade Retro Technology, Inc. | Methods and systems for phishing detection |
| US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
| KR20170092560A (ko) * | 2014-12-05 | 2017-08-11 | 톰슨 라이센싱 | 컨텐츠를 송신하기 위한 방법 및 디바이스 |
| CN106031097A (zh) * | 2015-01-14 | 2016-10-12 | 华为技术有限公司 | 业务处理方法及装置 |
| US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
| US10834065B1 (en) | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
| US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
| US11057446B2 (en) | 2015-05-14 | 2021-07-06 | Bright Data Ltd. | System and method for streaming content from multiple servers |
| WO2017066503A2 (en) * | 2015-10-16 | 2017-04-20 | The Coca-Cola Company | Content management on remote displays using url rewriting |
| US9948633B2 (en) * | 2015-10-28 | 2018-04-17 | Citrix Systems, Inc. | Systems and methods for policy driven fine grain validation of servers' SSL certificate for clientless SSLVPN access |
| US11757946B1 (en) | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
| US10404698B1 (en) | 2016-01-15 | 2019-09-03 | F5 Networks, Inc. | Methods for adaptive organization of web application access points in webtops and devices thereof |
| CN105700929A (zh) * | 2016-01-15 | 2016-06-22 | 浪潮(北京)电子信息产业有限公司 | 一种控制操作系统配置参数的方法及系统 |
| US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US10142366B2 (en) | 2016-03-15 | 2018-11-27 | Vade Secure, Inc. | Methods, systems and devices to mitigate the effects of side effect URLs in legitimate and phishing electronic messages |
| US10791088B1 (en) | 2016-06-17 | 2020-09-29 | F5 Networks, Inc. | Methods for disaggregating subscribers via DHCP address translation and devices thereof |
| US10505792B1 (en) | 2016-11-02 | 2019-12-10 | F5 Networks, Inc. | Methods for facilitating network traffic analytics and devices thereof |
| US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
| US10778684B2 (en) * | 2017-04-07 | 2020-09-15 | Citrix Systems, Inc. | Systems and methods for securely and transparently proxying SAAS applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility |
| US10972453B1 (en) | 2017-05-03 | 2021-04-06 | F5 Networks, Inc. | Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof |
| US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
| US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
| US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
| EP4191981A1 (en) | 2017-08-28 | 2023-06-07 | Bright Data Ltd. | Improving content fetching by selecting tunnel devices grouped according to geographic location |
| US11190374B2 (en) | 2017-08-28 | 2021-11-30 | Bright Data Ltd. | System and method for improving content fetching by selecting tunnel devices |
| US11122083B1 (en) | 2017-09-08 | 2021-09-14 | F5 Networks, Inc. | Methods for managing network connections based on DNS data and network policies and devices thereof |
| US10949486B2 (en) | 2017-09-20 | 2021-03-16 | Citrix Systems, Inc. | Anchored match algorithm for matching with large sets of URL |
| US10581798B2 (en) | 2017-10-27 | 2020-03-03 | At&T Intellectual Property I, L.P. | Network based distribution for compute resource and application accessibility |
| US10812448B2 (en) * | 2018-01-26 | 2020-10-20 | Citrix Systems, Inc. | Split-tunneling for clientless SSL-VPN sessions with zero-configuration |
| US10742595B2 (en) * | 2018-04-20 | 2020-08-11 | Pulse Secure, Llc | Fully qualified domain name-based traffic control for virtual private network access control |
| US11194689B2 (en) * | 2018-04-23 | 2021-12-07 | Yottaa, Inc. | Systems and methods for governing client-side services |
| US10986202B2 (en) | 2018-04-23 | 2021-04-20 | Yottaa, Inc. | Systems and methods for managing loading of services from at least one server |
| WO2019209748A1 (en) * | 2018-04-23 | 2019-10-31 | Yottaa, Inc. | System and method for governing client-side services |
| US11064013B2 (en) | 2018-05-22 | 2021-07-13 | Netskope, Inc. | Data loss prevention using category-directed parsers |
| US10972434B2 (en) | 2018-06-19 | 2021-04-06 | Cisco Technology, Inc. | Proxy-based clientless VPN with web browser proxy auto-configuration (PAC) file and extension |
| US11936629B2 (en) * | 2018-06-21 | 2024-03-19 | VMware LLC | System and method for creating a secure hybrid overlay network |
| US10951588B2 (en) | 2018-07-26 | 2021-03-16 | Palo Alto Networks, Inc. | Object property getter and setter for clientless VPN |
| US11093574B2 (en) * | 2018-07-26 | 2021-08-17 | Palo Alto Networks, Inc. | Encoding-free javascript stringify for clientless VPN |
| US10831836B2 (en) * | 2018-07-26 | 2020-11-10 | Palo Alto Networks, Inc. | Browser storage for clientless VPN |
| US10924468B2 (en) * | 2018-07-27 | 2021-02-16 | Citrix Systems, Inc. | Remote desktop protocol proxy with single sign-on and enforcement support |
| US11087008B2 (en) * | 2018-09-19 | 2021-08-10 | Citrix Systems, Inc. | Systems and methods for integrating HTML based application with embedded browser |
| US10862978B2 (en) * | 2018-09-19 | 2020-12-08 | Citrix Systems, Inc. | Systems and methods for maintaining and transferring SaaS session state |
| US10771435B2 (en) | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| US10743041B1 (en) | 2019-01-31 | 2020-08-11 | DISH Technologies L.L.C. | Systems and methods for facilitating adaptive content splicing |
| EP3750079A4 (en) | 2019-02-25 | 2022-01-12 | Bright Data Ltd | SYSTEM AND METHOD FOR URL EXTRACTION CHALLENGE MECHANISM |
| US11579998B2 (en) | 2019-03-14 | 2023-02-14 | Nokia Solutions And Networks Oy | Device telemetry control |
| US11579949B2 (en) | 2019-03-14 | 2023-02-14 | Nokia Solutions And Networks Oy | Device application support |
| EP4030318A1 (en) | 2019-04-02 | 2022-07-20 | Bright Data Ltd. | System and method for managing non-direct url fetching service |
| US10771523B1 (en) | 2019-04-12 | 2020-09-08 | Dish Network L.L.C. | Asynchronous real-time media transfer over wireless networks |
| US11418515B2 (en) * | 2019-06-03 | 2022-08-16 | Hewlett Packard Enterprise Development Lp | Multi-vendor support for network access control policies |
| US11283837B2 (en) * | 2019-07-03 | 2022-03-22 | Microsoft Technology Licensing, Llc. | Domain-application attribution |
| US10880351B1 (en) | 2019-10-16 | 2020-12-29 | Dish Network L.L.C. | Systems and methods for adapting content items to endpoint media devices |
| US11638049B2 (en) | 2019-10-16 | 2023-04-25 | Dish Network L.L.C. | Systems and methods for content item recognition and adaptive packet transmission |
| US11303943B2 (en) | 2019-10-16 | 2022-04-12 | Dish Network L.L.C. | Systems and methods for facilitating adaptive content items for delivery in a packet stream |
| CN110602269B (zh) * | 2019-10-22 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种转换域名的方法 |
| US11245946B2 (en) | 2020-01-21 | 2022-02-08 | Dish Network L.L.C. | Systems and methods for adapting content items to secured endpoint media device data |
| US11218525B2 (en) | 2020-01-21 | 2022-01-04 | Dish Network L.L.C. | Systems and methods for adapting content delivery based on endpoint communications |
| CN113328973B (zh) * | 2020-02-28 | 2022-09-23 | 华为技术有限公司 | 一种检测访问控制列表acl规则无效的方法和装置 |
| CN111428237B (zh) * | 2020-03-06 | 2022-08-12 | 支付宝(杭州)信息技术有限公司 | 一种攻击风险的识别方法、系统、装置和电子设备 |
| CN111490985B (zh) * | 2020-04-03 | 2022-02-25 | 成都安恒信息技术有限公司 | 一种ssl vpn多服务地址共享系统及共享方法 |
| US11012737B1 (en) | 2020-04-27 | 2021-05-18 | Dish Network L.L.C. | Systems and methods for audio adaptation of content items to endpoint media devices |
| US11019031B1 (en) | 2020-09-22 | 2021-05-25 | Netskope, Inc. | Client software connection inspection and access control |
| US20220198007A1 (en) * | 2020-12-18 | 2022-06-23 | Citrix Systems, Inc. | Systems and methods for performing url closure check in distributed systems |
| US11178188B1 (en) | 2021-04-22 | 2021-11-16 | Netskope, Inc. | Synthetic request injection to generate metadata for cloud policy enforcement |
| US11190550B1 (en) | 2021-04-22 | 2021-11-30 | Netskope, Inc. | Synthetic request injection to improve object security posture for cloud security enforcement |
| US11647052B2 (en) * | 2021-04-22 | 2023-05-09 | Netskope, Inc. | Synthetic request injection to retrieve expired metadata for cloud policy enforcement |
| US11184403B1 (en) | 2021-04-23 | 2021-11-23 | Netskope, Inc. | Synthetic request injection to generate metadata at points of presence for cloud security enforcement |
| US11271972B1 (en) | 2021-04-23 | 2022-03-08 | Netskope, Inc. | Data flow logic for synthetic request injection for cloud security enforcement |
| US11271973B1 (en) | 2021-04-23 | 2022-03-08 | Netskope, Inc. | Synthetic request injection to retrieve object metadata for cloud policy enforcement |
| US20230015697A1 (en) * | 2021-07-13 | 2023-01-19 | Citrix Systems, Inc. | Application programming interface (api) authorization |
| US11475158B1 (en) | 2021-07-26 | 2022-10-18 | Netskope, Inc. | Customized deep learning classifier for detecting organization sensitive data in images on premises |
| US11438377B1 (en) | 2021-09-14 | 2022-09-06 | Netskope, Inc. | Machine learning-based systems and methods of using URLs and HTML encodings for detecting phishing websites |
| US11336689B1 (en) | 2021-09-14 | 2022-05-17 | Netskope, Inc. | Detecting phishing websites via a machine learning-based system using URL feature hashes, HTML encodings and embedded images of content pages |
| US11444978B1 (en) | 2021-09-14 | 2022-09-13 | Netskope, Inc. | Machine learning-based system for detecting phishing websites using the URLS, word encodings and images of content pages |
| US11503038B1 (en) | 2021-10-27 | 2022-11-15 | Netskope, Inc. | Policy enforcement and visibility for IaaS and SaaS open APIs |
| US11943260B2 (en) | 2022-02-02 | 2024-03-26 | Netskope, Inc. | Synthetic request injection to retrieve metadata for cloud policy enforcement |
| US11444911B1 (en) | 2022-02-22 | 2022-09-13 | Oversec, Uab | Domain name system configuration during virtual private network connection |
| US11947682B2 (en) | 2022-07-07 | 2024-04-02 | Netskope, Inc. | ML-based encrypted file classification for identifying encrypted data movement |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3197169A (en) * | 1963-10-09 | 1965-07-27 | Burrows Allen | Broom hanger and guard |
| US6910180B1 (en) * | 1999-05-10 | 2005-06-21 | Yahoo! Inc. | Removing cookies from web page response headers and storing the cookies in a repository for later use |
| US7730528B2 (en) * | 2001-06-01 | 2010-06-01 | Symantec Corporation | Intelligent secure data manipulation apparatus and method |
| US7016963B1 (en) * | 2001-06-29 | 2006-03-21 | Glow Designs, Llc | Content management and transformation system for digital content |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| FR2841416B1 (fr) * | 2002-06-20 | 2005-01-28 | Cegetel Groupe | Procede de gestion d'informations de contexte par serveur intermediaire |
| US20040046789A1 (en) * | 2002-08-23 | 2004-03-11 | Angelo Inanoria | Extensible user interface (XUI) framework and development environment |
| US20050273849A1 (en) * | 2004-03-11 | 2005-12-08 | Aep Networks | Network access using secure tunnel |
| US20050251856A1 (en) * | 2004-03-11 | 2005-11-10 | Aep Networks | Network access using multiple authentication realms |
| AU2004100333A4 (en) * | 2004-05-06 | 2004-06-03 | Go Blue Pty Ltd | URL Rewriting Proxy |
| TWI271076B (en) * | 2004-07-02 | 2007-01-11 | Icp Electronics Inc | Security gateway with SSL protection and method for the same |
| KR20070037650A (ko) * | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 종단에서 게이트웨이로 패킷을 라우팅하기 위한 방법 및시스템 |
| US7840707B2 (en) * | 2004-08-18 | 2010-11-23 | International Business Machines Corporation | Reverse proxy portlet with rule-based, instance level configuration |
| US7610400B2 (en) * | 2004-11-23 | 2009-10-27 | Juniper Networks, Inc. | Rule-based networking device |
| US7930365B2 (en) * | 2005-02-16 | 2011-04-19 | Cisco Technology, Inc. | Method and apparatus to modify network identifiers at data servers |
| US7707223B2 (en) * | 2005-04-28 | 2010-04-27 | Cisco Technology, Inc. | Client-side java content transformation |
| US7734722B2 (en) * | 2005-06-02 | 2010-06-08 | Genius.Com Incorporated | Deep clickflow tracking |
| US8799515B1 (en) | 2005-06-27 | 2014-08-05 | Juniper Networks, Inc. | Rewriting of client-side executed scripts in the operation of an SSL VPN |
| US8806036B1 (en) | 2005-12-02 | 2014-08-12 | Juniper Networks, Inc. | Rewriter filter |
| US7917523B2 (en) | 2006-04-05 | 2011-03-29 | Cisco Technology, Inc. | Method and system for providing improved URL mangling performance using fast re-write |
| US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
| US7647404B2 (en) * | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
| US8132247B2 (en) * | 2007-08-03 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for authorizing a client in an SSL VPN session failover environment |
| US7954145B2 (en) * | 2007-09-27 | 2011-05-31 | Novell, Inc. | Dynamically configuring a client for virtual private network (VPN) access |
| US7925694B2 (en) | 2007-10-19 | 2011-04-12 | Citrix Systems, Inc. | Systems and methods for managing cookies via HTTP content layer |
| US8661524B2 (en) * | 2007-12-14 | 2014-02-25 | Novell, Inc. | Selective desktop control of virtual private networks (VPN's) in a multiuser environment |
| US8893259B2 (en) | 2008-01-26 | 2014-11-18 | Citrix Systems, Inc. | Systems and methods for fine grain policy driven clientless SSL VPN access |
-
2009
- 2009-01-26 US US12/359,982 patent/US8893259B2/en active Active
- 2009-01-26 CN CN200980110432.5A patent/CN101981887B/zh not_active Expired - Fee Related
- 2009-01-26 CN CN201610024019.9A patent/CN105450674B/zh active Active
- 2009-01-26 WO PCT/US2009/032042 patent/WO2009094654A1/en active Application Filing
- 2009-01-26 US US12/359,998 patent/US8667146B2/en active Active
- 2009-01-26 EP EP09704724.5A patent/EP2241082B1/en active Active
-
2014
- 2014-02-07 US US14/175,616 patent/US10270740B2/en active Active
- 2014-11-12 US US14/539,681 patent/US9571456B2/en active Active
Non-Patent Citations (1)
| Title |
|---|
| 《Aventail Smart Access: Secure and Easy for Users and IT》;http://www.findwhitepapers.com/force-download.php?id=255>;《Aventail White Paper》;20060621;Smart Access: Secure access for diverse needs和WorkPlace access章节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2241082B1 (en) | 2019-05-29 |
| US8667146B2 (en) | 2014-03-04 |
| CN101981887A (zh) | 2011-02-23 |
| US8893259B2 (en) | 2014-11-18 |
| US10270740B2 (en) | 2019-04-23 |
| WO2009094654A1 (en) | 2009-07-30 |
| US20090193126A1 (en) | 2009-07-30 |
| CN105450674A (zh) | 2016-03-30 |
| EP2241082A1 (en) | 2010-10-20 |
| US20140157361A1 (en) | 2014-06-05 |
| US20090193498A1 (en) | 2009-07-30 |
| US20150074751A1 (en) | 2015-03-12 |
| US9571456B2 (en) | 2017-02-14 |
| CN105450674B (zh) | 2019-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101981887B (zh) | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 | |
| CN101981888B (zh) | 用于ssl vpn免客户机访问的策略驱动的细粒度url编码机制 | |
| CN101984778B (zh) | 用于细粒度策略驱动的cookie代理的系统和方法 | |
| CN102292961B (zh) | 用于对由域名服务(dns)获得的ip地址进行转换的系统和方法 | |
| CN102577302B (zh) | 用于在具有流量管理的连接中使用端点审计的系统和方法 | |
| CN102301338B (zh) | 用于基于健康的溢出的系统和方法 | |
| CN102292955B (zh) | 用于负载平衡实时流传输协议的系统和方法 | |
| US9363328B2 (en) | Systems and methods for content injection | |
| CN102224722B (zh) | 用于对象速率限制的系统和方法 | |
| CN102292960B (zh) | 用于基于ssl vpn用户进行全局服务器负载平衡的系统和方法 | |
| CN102292708B (zh) | 用于策略的http调出的系统和方法 | |
| US7925694B2 (en) | Systems and methods for managing cookies via HTTP content layer | |
| CN102549985B (zh) | 用于为互联网协议加速设备提供多核结构的系统和方法 | |
| CN104639560A (zh) | 用于提供多模式传输层压缩的系统和方法 | |
| CN104322010A (zh) | 用于比较配置文件和生成校正命令的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160210 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |