CN102292708B - 用于策略的http调出的系统和方法 - Google Patents
用于策略的http调出的系统和方法 Download PDFInfo
- Publication number
- CN102292708B CN102292708B CN200980155323.5A CN200980155323A CN102292708B CN 102292708 B CN102292708 B CN 102292708B CN 200980155323 A CN200980155323 A CN 200980155323A CN 102292708 B CN102292708 B CN 102292708B
- Authority
- CN
- China
- Prior art keywords
- strategy
- request
- server
- equipment
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
识别与客户机和一个或多个服务器之间的通信相关联的策略的动作的方法包括由中间设备基于使用基于调出的策略来确定策略的动作。一方面,中间设备接收客户机和一个或多个服务器之间的通信。由中间设备为所述通信识别策略,所述策略指定请求和要向其传递该请求的服务器。响应于该策略,中间设备将请求传输到服务器。基于对该请求的服务器响应,中间设备确定策略的动作。又一个方面,用于上述方法的系统包括中间设备和策略引擎用于识别指定请求和目的服务器的策略。响应于对该请求的服务器响应,中间设备确定策略的动作。
Description
相关申请
本申请要求在2008年11月25日提出的,标题为“System and Methodsfor HTTP Callouts for Policies”的美国非临时专利申请NO.12/277,759的利益和优先权,该申请通过引用全部包含于此。
技术领域
本申请涉及数据通信网络。本申请尤其涉及用于给中间设备提供使用由策略指定的请求和响应确定该策略的动作的系统和方法。
背景技术
在网络环境中,客户装置的用户通常寻求对多个服务器的一个或多个网络服务的访问。为了管理客户装置和多个服务器之间的网络通信量、带宽和连通性,例如用于改善系统管理,诸如网络设备、代理服务器、路由器或网关的中间设备可应用策略指导客户装置的用户访问的行为。在传统系统中,这样的策略通常是静态的并由固定的配置驱动。
发明内容
本发明提供了用于在策略中包含和利用请求和响应机制的系统和方法。该请求和响应可被称为策略的调出(Callout)规则,并且在HTTP请求和HTTP响应的实施例中可被称为HTTP调出规则。HTTP调出提供策略表达式,其可产生和发生所指定的或可配置的HTTP请求、等待响应、然后解析响应和评估响应以产生结果。可以像策略引擎的其他策略表达式的求值结果一样使用该结果。这样,对请求的响应的评估可用于确定策略的条件或动作。就中间设备而言,中间设备可基于响应的评估结果将动作应用于任何网络分组,所述响应来自响应于策略的调出表达式而产生和发生的请求。
一方面,本发明涉及由中间设备使用具有调出规则的策略的方法。中间设备接收客户机和一个或多个服务器之间的通信。用于使用由策略指定的请求和响应来确定策略的动作的方法包括由中间设备为客户机和一个或多个服务器之间的通信识别策略。策略可指定请求和要向其传递该请求的服务器。响应于该策略,中间设备可将请求传输到由策略指定的服务器。基于对应于该请求的服务器响应,中间设备可确定策略的动作。
一个实施例中,策略指定超文本传输协议(HTTP)请求的类型。策略可指定表达式,所述表达式用于为请求产生主机头或统一资源定位符(URL)的一部分的其中之一。而且,策略可指定用于服务器的IP地址、域名或端口。策略也可以指定用于请求的头部的名称或头部的值。策略可指定要被响应接收的值的类型。也可指定用于请求的参数名或参数值。
一些实施例中,中间设备产生如策略的一个或多个表达式所指定的请求。中间设备可验证所产生的请求。中间设备从基于响应的内容对表达式求值来确定策略的动作。
又一个方面,用于使用由策略指定的请求和响应来确定策略的动作的系统包括策略引擎。策略引擎可识别策略。策略可指定请求和要向其传递该请求的服务器。而且,该系统可包括中间设备,其接收客户机和一个或多个服务器之间的通信。响应于该策略将由策略指定的请求传输到由策略指定的服务器,中间设备可基于对应于由策略指定的请求的服务器响应来确定策略的动作。
在附图和下面的描述中将详细阐述本发明的各种实施例的细节。
附图说明
通过参考下述结合附图的描述本发明的前述和其它目的、方面、特征和优点将会更加明显并更易于理解,其中:
图1A是客户机通过设备访问服务器的网络环境的实施例的框图;
图1B是通过设备从服务器向客户机传送计算环境的网络环境的实施例的框图;
图1C是通过多个设备从服务器向客户机传送计算环境的网络环境的又一个实施例的框图;
图1D是用于通过设备从服务器向客户机传送计算环境的环境的又一个实施例的框图;
图1E到图1F是计算装置的实施例的框图;
图2A是用于处理客户机和服务器之间的通信的设备的实施例的框图;
图2B是用于优化、加速、负载平衡和路由客户机和服务器之间的通信的设备的另一个实施例的框图;
图3是用于通过设备与服务器通信的客户机的实施例的框图;
图4是使用策略的请求和响应机制的中间设备的实施例的框图;
图5是描述用于由中间设备使用由策略指定的请求和响应的方法的步骤的实施例的流程图。
从下面结合附图所阐述的详细描述,本发明的特征和优点将更明显,其中,同样的参考标记在全文中标识相应的元素。在附图中,同样的附图标记通常表示相同的、功能上相似的和/或结构上相似的元素。
具体实施方式
为了阅读下述各种具体实施例的描述,下述对于说明书的部分以及它们各自内容的描述是有用的:
-A部分描述有益于实施此处所描述的实施例的网络环境和计算环境;
-B部分描述用于将计算环境加速传送到远程用户的系统和方法的实施例;
-C部分描述用于加速客户机和服务器之间的通信的系统和方法的实施例;
-D部分描述用于使用中间设备来处理由策略指定的请求和响应以确定该策略的行为的系统和方法。
A、网络和计算环境
在讨论设备和/或客户端的系统和方法的实施例的细节之前,讨论可在其中部署这些实施例的网络和计算环境是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括一个或多个客户机102a-102n(同样总的称为本地机器102,或客户机102)通过一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n(同样总的称为服务器106,或远程机器106)通信。在一些实施例中,客户机102通过设备200与服务器106通信。
虽然图1A示出了在客户机102和服务器106之间的网络104和网络104’,客户机102和服务器106可以位于同一个的网络104上。网络104和104′可以是相同类型的网络或不同类型的网络。网络104和/或104′可为局域网(LAN)例如公司内网,城域网(MAN),或者广域网(WAN)例如因特网或万维网。在一个实施例中,网络104’可为专用网络并且网络104可为公网。在一些实施例中,网络104’可为专用网并且网络104’可为公网。在另一个实施例中,网络104和104’可都为专用网。在一些实施例中,客户机102可位于公司企业的分支机构中,通过网络104上的WAN连接与位于公司数据中心的服务器106通信。
网络104和/或104’可以是任何类型和/或形式的网络,并且可包括任意下述网络:点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光纤网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络拓扑可以是对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。
如图1A所示,设备200被显示在网络104和104’之间,设备200也可被称为接口单元200或者网关200。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其它实施例中,设备200可以位于网络104′上。例如,设备200可位于公司的数据中心。在另一个实施例中,多个设备200可在网络104上部署。在一些实施例中,多个设备200可布署在网络104’上。在一个实施例中,第一设备200与第二设备200’通信。在其它实施例中,设备200可为位于与客户机102同一或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的任一点。
在一些实施例中,设备200包括由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司制造的被称为Citrix NetScaler设备的任意网络设备。在其它实施例中,设备200包括由位于华盛顿州西雅图的F5 Networks公司制造的被称为WebAccelerator和BigIP的任意一个产品实施例。在另一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的JuniperNetworks公司制造的DX加速设备平台和/或诸如SA700、SA2000、SA4000和SA6000的SSL VPN系列设备中的任意一个。在又一个实施例中,设备200包括由位于加利福尼亚州San Jose的Cisco Systems公司制造的任意应用加速和/或安全相关的设备和/或软件,例如Cisco ACE应用控制引擎模块业务(Application Control Engine Module service)软件和网络模块以及Cisco AVS系列应用速度系统(Application Velocity System)。
在一个实施例中,系统可包括多个逻辑分组的服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中,服务器106可为地理上分散的。在一些情况中,群38可以作为单个实体被管理。在其它实施例中,服务器群38包括多个服务器群38。在一个实施例中,服务器群代表一个或多个客户机102执行一个或多个应用程序。
在每个群38中的服务器106可为不同种类。一个或多个服务器106可根据一种类型的操作系统平台(例如,由华盛顿州Redmond的Microsoft公司制造的WINDOWS NT)操作,而一个或多个其它服务器106可根据另一类型的操作系统平台(例如,Unix或Linux)操作。每个群38的服务器106不需要与相同群38内的另一个服务器106物理上接近。因此,被逻辑分组为群38的服务器106组可使用广域网(WAN)连接或中等区域网(MAN)连接互联。例如,群38可包括物理上位于不同大陆或大陆的不同区域、国家、州、城市、校园或房间的服务器106。如果服务器106使用局域网(LAN)连接或一些直连形式进行连接,则群38中的服务器106间的数据传送速度可增加。
服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可以有作为应用服务器或者作为主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户端102也可称为客户端节点或端点。在一些实施例中,客户机102可以有作为客户机节点寻求访问服务器上的应用的能力,也可以有作为应用服务器为其它客户机102a-102n提供对寄载的应用的访问的能力。
在一些实施例中,客户端102与服务器106通信。在一个实施例中,客户端102可与群38中的服务器106之一直接通信。在另一个实施例中,客户端102执行程序邻近应用(program neighborhood application)以与群38内的服务器106通信。在另一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户端102通过网络104与群38中的服务器106通信。通过网络104,客户机102例如可以请求执行群38中的服务器106a 106n寄载的各种应用,并接收应用执行结果的输出进行显示。在一些实施例中,只有主节点提供识别和提供与寄载所请求的应用的服务器106′相关的地址信息所需的功能。
在一个实施例中,服务器106提供web服务器的功能。在另一个实施例中,服务器106a从客户机102接收请求,将请求转发到第二服务器106b,并使用服务器106b对该请求的响应来对客户机102的请求进行响应。在又另一个实施例中,服务器106获得客户机102可用的应用的列举以及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个实施例中,服务器106使用web接口呈现对客户端102的请求的响应。在一个实施例中,客户端102直接与服务器106通信以访问所识别的应用。在另一个实施例中,客户机102接收诸如显示数据的应用输出数据,该应用输出数据由服务器106上所识别的应用的执行而产生。
现在参考图1B,描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上,而第二设备200′部署在第二网络104′上。例如,公司可以在分支机构部署第一设备200,而在数据中心部署第二设备200′。在另一个实施例中,第一设备200和第二设备200′被部署在同一个网络104或网络104上。例如,第一设备200可以被部署用于第一服务器群38,而第二设备200可以被部署用于第二服务器群38′。在另一个实例中,第一设备200可以被部署在第一分支机构,而第二设备200′被部署在第二分支机构′。在一些实施例中,第一设备200和第二设备200′彼此协同或联合工作,以加速客户机和服务器之间的网络业务量或应用和数据的传送。
现在参考图1C,描述了网络环境的另一个实施例,在该网络环境中,将设备200和一个或多个其它类型的设备部署在一起,例如,部署在一个或多个WAN优化设备205,205′之间。例如,第一WAN优化设备205显示在网络104和104′之间,而第二WAN优化设备205′可以部署在设备200和一个或多个服务器106之间。例如,公司可以在分支机构部署第一WAN优化设备205,而在数据中心部署第二WAN优化设备205′。在一些实施例中,设备205可以位于网络104′上。在其它实施例中,设备205′可以位于网络104上。在一些实施例中,设备205′可以位于网络104′或网络104″上。在一个实施例中,设备205和205′在同一个网络上。在另一个实施例中,设备205和205′在不同的网络上。在另一个实例中,第一WAN优化设备205可以被部署用于第一服务器群38,而第二WAN优化设备205′可以被部署用于第二服务器群38′。
在一个实施例中,设备205是用于加速、优化或者以其他方式改善任意类型和形式的网络业务(例如去往和/或来自WAN连接的业务)的性能、操作或服务质量的装置。在一些实施例中,设备205是一个性能提高代理。在其它实施例中,设备205是任意类型和形式的WAN优化或加速装置,有时也被称为WAN优化控制器。在一个实施例中,设备205是由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的被称为WANScaler的产品实施例中的任意一种。在其它实施例中,设备205包括由位于华盛顿州Seattle的F5 Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施例中的任意一种。在另一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的Juniper NetWorks公司出品的WX和WXC WAN加速装置平台中的任意一种。在一些实施例中,设备205包括由加利福尼亚州San Francisco的Riverbed Technology公司出品的虹鳟(steelhead)系列WAN优化设备中的任意一种。在其它实施例中,设备205包括由位于新泽西州Roseland的Expand Networks公司出品的WAN相关装置中的任意一种。在一个实施例中,设备205包括由位于加利福尼亚州Cupertino的Packeteer公司出品的任意一种WAN相关设备,例如由Packeteer提供的PacketShaper、iShared和SkyX产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州San Jose的Cisco Systems公司出品的任意WAN相关设备和/或软件,例如Cisco广域网应用服务软件和网络模块以及广域网引擎设备。
在一个实施例中,设备205为分支机构或远程办公室提供应用和数据加速业务。在一个实施例中,设备205包括广域文件服务(WAFS)的优化。在另一个实施例中,设备205加速文件的传送,例如经由通用Internet文件系统(CIFS)协议。在其它实施例中,设备205在存储器和/或存储装置中提供高速缓存来加速应用和数据的传送。在一个实施例中,设备205在任意级别的网络堆栈或在任意的协议或网络层中提供网络业务量的压缩。在另一个实施例中,设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理,以加速WAN连接上的应用和数据的传送。例如,在一个实施例中,设备205提供传输控制协议(TCP)优化。在其它实施例中,设备205提供对于任意会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。
在另一个实施例中,设备205将任意类型和形式的数据或信息编码成网络分组的定制的或标准的TCP和/或IP的报头字段或可选字段,以将其存在、功能或能力通告给另一个设备205′。在另一个实施例中,设备205′可以使用在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205′进行通信。例如,设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如WAN加速的功能时或者为了彼此联合工作而由设备205,205′所使用的一个或多个参数。
在一些实施例中,设备200保存在设备205和205′之间传达的TCP和/或IP报头和/或可选字段中编码的任意信息。例如,设备200可以终止经过设备200的传输层连接,例如经过设备205和205′的在客户机和服务器之间的一个传输层连接。在一个实施例中,设备200识别并保存由第一设备205通过第一传输层连接发送的传输层分组中的任意编码信息,并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205′。
现在参考图1D,描述了用于传送和/或操作客户机102上的计算环境的网络环境。在一些实施例中,服务器106包括用于向一个或多个客户机102传送计算环境或应用和/或数据文件的应用传送系统190。总的来说,客户机10通过网络104、104’和设备200与服务器106通信。例如,客户机102可驻留在公司的远程办公室里,例如分支机构,并且服务器106可驻留在公司数据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。计算环境15、应用和/或数据文件可通过设备200和/或服务器106传送。
在一些实施例中,设备200加速计算环境15或者其任意部分到客户机102的传送。在一个实施例中,设备200通过应用传送系统190加速计算环境15的传送。例如,可使用此处描述的实施例来加速从公司中央数据中心到远程用户位置(例如公司的分支机构)的流应用(streaming application)及该应用可处理的数据文件的传送。在另一个实施例中,设备200加速客户端102和服务器106之间的传输层业务量。设备200可以提供用于加速从服务器106到客户机102的任意传输层有效载荷的加速技术,例如:1)传输层连接池,2)传输层连接多路复用,3)传输控制协议缓冲,4)压缩和5)高速缓存。在一些实施例中,设备200响应于来自客户机102的请求提供服务器106的负载平衡。在其它实施例中,设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在另一个实施例中,设备200提供从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接,诸如SSL VPN连接。在又一些实施例中,设备200提供客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。
在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任一验证和授权策略,应用传送管理系统190提供应用传送技术来传送计算环境到用户的桌面(远程的或者其它的)。使用这些技术,远程用户可以从任意网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送系统190可驻留在服务器106上或在其上执行。在另一个实施例中,应用传送系统190可驻留在多个服务器106a 106n上或在其上执行。在一些实施例中,应用传送系统190可在服务器群38内执行。在一个实施例中,执行应用传送系统190的服务器106也可存储或提供应用和数据文件。在另一个实施例中,一个或多个服务器106的第一组可执行应用传送系统190,并且不同的服务器106n可存储或提供应用和数据文件。在一些实施例中,应用传送系统190、应用和数据文件中的每一个可驻留或位于不同的服务器。在又一个实施例中,应用传送系统190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。
客户机102可包括用于执行应用的计算环境15,该应用使用或处理数据文件。客户机102可通过网络104、104’和设备200请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以转发来自客户机102的请求到服务器106。例如,客户机102可能不具有本地存储或者本地可访问的应用和数据文件。响应于请求,应用传送系统190和/或服务器106可以传送应用和数据文件到客户机102。例如,在一个实施例中,服务器106可以把应用作为应用流来传输,以在客户机102上的计算环境15中操作。
在一些实施例中,应用传送系统190包括Citrix Systems Inc.的CitrixAccess SuiteTM的任一部分(例如MetaFrame或Citrix PresentationServerTM),和/或微软公司开发的Windows终端服务中的任意一个。在一个实施例中,应用传送系统190可以通过远程显示协议或者通过基于远程计算或者基于服务器计算的其它方式来传送一个或者多个应用到客户机102或者用户。在另一个实施例中,应用传送系统190可以通过应用流来传送一个或者多个应用到客户机或者用户。
在一个实施例中,应用传送系统190包括策略引擎195,用于控制和管理对应用的访问,应用执行方法的选择以及应用的传送。在一些实施例中,策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在另一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户机102,例如执行方法。在一些实施例中,应用传送系统190提供多个传送技术,从中选择应用执行的方法,例如基于服务器的计算、本地流式传输或传送应用给客户机120以用于本地执行。
在一个实施例中,客户机102请求应用程序的执行并且包括服务器106的应用传送系统190选择执行应用程序的方法。在一些实施例中,服务器106从客户机102接收证书。在另一个实施例中,服务器106从客户机102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送系统190列举对于客户机102可用的多个应用程序。应用传送系统190接收执行所列举的应用的请求。应用传送系统190选择预定数量的方法之一来执行所列举的应用,例如响应策略引擎的策略。应用传送系统190可以选择执行应用的方法,使得客户机102接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。在又一个实施例中,应用传送系统190可以选择执行应用的方法,以通过网络104流式传输应用到客户机102。
客户机102可以执行、操作或者以其它方式提供应用,应用可为任何类型和/或形式的软件、程序或者可执行指令,例如任何类型和/或形式的web浏览器、基于web的客户机、客户机-服务器应用、瘦客户端计算客户机、ActiveX控件、或者Java程序、或者可以在客户机102上执行的任意其它类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户机102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以使用任意瘦-客户端或远程显示协议来显示输出到客户机102,所述瘦-客户端或远程显示协议例如由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的独立计算架构(ICA)协议或由位于华盛顿州Redmond的微软公司出品的远程桌面协议(RDP)。应用可使用任何类型的协议,并且它可为,例如,HTTP客户机、FTP客户机、Oscar客户机或Telnet客户机。在其它实施例中,应用包括和VoIP通信相关的任何类型的软件,例如软IP电话。在进一步的实施例中,应用包括涉及到实时数据通信的任一应用,例如用于流式传输视频和/或音频的应用。
在一些实施例中,服务器106或服务器群38可运行一个或多个应用,例如提供瘦客户端计算或远程显示表示应用。在一个实施例中,服务器106或服务器群38作为一个应用来执行Citrix Systems Inc.的Citrix AccessSuiteTM的任一部分(例如MetaFrame或Citrix Presentation ServerTM),和/或微软公司开发的
Windows终端服务中的任意一个。在一个实施例中,该应用是位于佛罗里达州Fort Lauderdale的Citrix Systems Inc.开发的ICA客户机。在其它实施例中,该应用包括由位于华盛顿州Redmond的Microsoft公司开发的远程桌面(RDP)客户机。另外,服务器106可以运行一个应用,例如,其可以是提供电子邮件服务的应用服务器,例如由位于华盛顿州Redmond的Microsoft公司制造的Microsoft Exchange,web或Internet服务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任一类型的所寄载的服务或产品,例如位于加利福尼亚州Santa Barbara的Citrix Online Division提供的GoToMeetingTM,位于加利福尼亚州Santa Clara的WebEx Inc.提供的WebExTM,或者位于华盛顿州Redmond的Microsoft公司提供的Microsoft Office Live Meeting。
仍然参看图1D,网络环境的一个实施例可以包括监控服务器106A。监控服务器106A可以包括任何类型和形式的性能监控服务198。性能监控服务198可以包括监控、测量和/或管理软件和/或硬件,包括数据收集、集合、分析、管理和报告。在一个实施例中,性能监控业务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任意软件、硬件或其组合。在一些实施例中,监控代理197包括诸如Visual Basic脚本或Javascript任意类型和形式的脚本。在一个实施例中,监控代理197相对于装置的任意应用和/或用户透明地执行。在一些实施例中,监控代理197相对于应用或客户机不显眼地被安装和操作。在又一个实施例中,监控代理197的安装和操作不需要用于该应用或装置的任何设备。
在一些实施例中,监控代理197以预定频率监控、测量和收集数据。在其它实施例中,监控代理197基于检测到任意类型和形式的事件来监控、测量和收集数据。例如,监控代理197可以在检测到对web页面的请求或收到HTTP响应时收集数据。在另一个实例中,监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任何所监控、测量或收集的数据给监控服务198。在一个实施例中,监控代理197根据时间安排或预定频率来发送信息给监控服务198。在另一个实施例中,监控代理197在检测到事件时发送信息给监控业务198。
在一些实施例中,监控服务198和/或监控代理197对诸如客户机、服务器、服务器群、设备200、设备205或网络连接的任意网络资源或网络基础结构元件的进行监控和性能测量。在一个实施例中,监控服务198和/或监控代理197执行诸如TCP或UDP连接的任意传输层连接的监控和性能测量。在另一个实施例中,监控服务198和/或监控代理197监控和测量网络等待时间。在又一个实施例中,监控服务198和/或监控代理197监控和测量带宽利用。
在其它实施例中,监控业务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中,监控业务198执行应用的监控和性能测量。在另一个实施例中,监控服务198和/或监控代理197执行到应用的任意会话或连接的监控和性能测量。在一个实施例中,监控服务198和/或监控代理197监控和测量浏览器的性能。在另一个实施例中,监控业务198和/或监控代理197监控和测量基于HTTP的事务的性能。在一些实施例中,监控服务198和/或监控代理197监控和测量IP电话(VoIP)应用或会话的性能。在其它实施例中,监控服务198和/或监控代理197监控和测量诸如ICA客户机或RDP客户机的远程显示协议应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量任意类型和形式的流媒体的性能。在进一步的实施例中,监控服务198和/或监控代理197监控和测量所寄载的应用或软件即服务(Software-As-A-Service,SaaS)传送模型的性能。
在一些实施例中,监控服务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其它实施例中,监控服务198和/或监控代理197监控和测量应用层堆栈的任意部分,例如任意.NET或J2EE调用。在一个实施例中,监控服务198和/或监控代理197监控和测量数据库或SQL事务。在又一个实施例中,监控服务198和/或监控代理197监控和测量任意方法、函数或应用编程接口(API)调用。
在一个实施例中,监控服务198和/或监控代理197对经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送进行监控和性能测量。在一些实施例中,监控业务198和/或监控代理197监控和测量虚拟化应用的传送的性能。在其它实施例中,监控业务198和/或监控代理197监控和测量流式应用的传送的性能。在另一个实施例中,监控业务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在另一个实施例中,监控业务198和/或监控代理197监控和测量客户机/服务器应用的性能。
在一个实施例中,监控业务198和/或监控代理197被设计和构建成为应用传送系统190提供应用性能管理。例如,监控业务198和/或监控代理197可以监控、测量和管理经由Citrix表示服务器(Citrix PresentationServer)传送应用的性能。在该实例中,监控业务198和/或监控代理197监控单独的ICA会话。监控业务198和/或监控代理197可以测量总的以及每次的会话系统资源使用,以及应用和连网性能。监控业务198和/或监控代理197可以对于给定用户和/或用户会话来标识有效服务器(activeserver)。在一些实施例中,监控业务198和/或监控代理197监控在应用传送系统190和应用和/或数据库服务器之间的后端连接。监控业务198和/或监控代理197可以测量每个用户会话或ICA会话的网络等待时间、延迟和容量。
在一些实施例中,监控业务198和/或监控代理197测量和监控对于应用传送系统190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其它实施例中,监控业务198和/或监控代理197测量和监控诸如总的CPU使用、每个用户会话和/或每个进程的应用传送系统190的CPU使用。在另一个实施例中,监控业务198和/或监控代理197测量和监控登录到诸如Citrix表示服务器的应用、服务器或应用传送系统所需的时间。在一个实施例中,监控业务198和/或监控代理197测量和监控用户登录应用、服务器或应用传送系统190的持续时间。在一些实施例中,监控业务198和/或监控代理197测量和监控应用、服务器或应用传送系统会话的有效和无效的会话计数。在又一个实施例中,监控业务198和/或监控代理197测量和监控用户会话等待时间。
在又一个实施例中,监控服务198和/或监控代理197测量和监控任意类型和形式的服务器指标。在一个实施例中,监控服务198和/或监控代理197测量和监控与系统内存、CPU使用和磁盘存储器有关的指标。在另一个实施例中,监控业务198和/或监控代理197测量和监控和页错误有关的指标,诸如每秒页错误。在其它实施例中,监控业务198和/或监控代理197测量和监控往返时间的指标。在又一个实施例中,监控业务198和/或监控代理197测量和监控与应用崩溃、错误和/或中止相关的指标。
在一些实施例中,监控服务198和监控代理198包括由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的被称为EdgeSight的任意一种产品实施例。在另一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州Palo Alto的Symphoniq公司出品的被称为TrueView产品套件的产品实施例的任一部分。在一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州San Francisco的TeaLeaf技术公司出品的被称为TeaLeafCX产品套件的产品实施例的任意部分。在其它实施例中,性能监控服务198和/或监控代理198包括由位于德克萨斯州Houston的BMC软件公司出品的诸如BMC性能管理器和巡逻产品(BMC Performance Manager and Patrol products)的商业业务管理产品的任意部分。
客户机102、服务器106和设备200可以部署为和/或执行在任意类型和形式的计算装置上,诸如能够在任意类型和形式的网络上通信并执行此处描述的操作的计算机、网络装置或者设备。图1E和1F描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图1E和1F所示,每个计算装置100包括中央处理单元101和主存储器单元122。如图1E所示,计算装置100可以包括可视显示装置124、键盘126和/或诸如鼠标的指示装置127。每个计算装置100也可包括其它可选择的组件,例如一个或多个输入/输出装置130a-130b(总的使用标号130表示),以及与中央处理单元101通信的高速缓存存储器140。
中央处理单元101是响应并处理从主存储器单元122取出的指令的任意逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由加利福尼亚州Mountain View的Intel公司制造的微处理器单元;由伊利诺伊州Schaumburg的Motorola公司制造的微处理器单元;由加利福尼亚州Santa clara的Transmeta公司制造的微处理器单元;由纽约州White Plains的International Business Machines公司制造的RS/6000处理器;或者由加利福尼亚州Sunnyvale的Advanced Micro Devices公司制造的微处理器单元。计算装置100可以基于这些处理器中的任意一种,或者能够按照这里所说明的那样运行的任意其它处理器。
主存储器单元122可以是能够存储数据并允许微处理器101直接访问任意存储位置的一个或多个存储器芯片,例如静态随机存取存储器(SRAM)、突发SRAM或同步突发SRAM(BSRAM)、动态随机存取存储器DRAM、快速页模式DRAM(FPM DRAM)、增强型DRAM(EDRAM)、扩展数据输出RAM(EDO RAM)、扩展数据输出DRAM(EDO DRAM)、突发扩展数据输出DRAM(BEDO DRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDEC SRAM、PC100 SDRAM、双数据传输率SDRAM(DDR SDRAM)、增强型SRAM(ESDRAM)、同步链路DRAM(SLDRAM)、直接Rambus DRAM(DRDRAM)或铁电RAM(FRAM)。主存储器122可以基于上述存储芯片的任意一种,或者能够像这里所说明的那样运行的任意其它可用存储芯片。在图1E中所示的实施例中,处理器101通过系统总线150(在下面进行更详细的描述)与主存储器122进行通信。图1E描述了在其中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实施例。例如,在图1F中,主存储器122可以是DRDRAM。
图1F示出主处理器101通过第二总线与高速缓存存储器140直接通信的实施例,第二总线有时也称为背侧总线。其他实施例中,主处理器101使用系统总线150和高速缓存存储器140通信。高速缓存存储器140通常有比主存储器122更快的响应时间,并且通常由SRAM、BSRAM或EDRAM提供。在图1F中所示的实施例中,处理器101通过本地系统总线150与多个I/O装置130进行通信。可以使用各种不同的总线将中央处理单元101连接到任意I/O装置130,包括VESA VL总线、ISA总线、EISA总线、微通道体系结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于I/O装置是视频显示器124的实施例,处理器101可以使用加速图形接口(AGP)与显示器124通信。图1F说明了主处理器101通过超传输(HyperTransport)、快速I/O或者InfiniBand直接与I/O装置130通信的计算机100的一个实施例。图1F还示出本地总线和直接通信混合的实施例:处理器101使用本地互连总线和I/O装置130通信,但和I/O装置130直接通信
计算装置100可以支持任意适当的安装装置116,例如用于接收像3.5英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、多种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装像任意客户机代理120或其部分的软件和程序的任意其它装置。计算装置100还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列,用于存储操作系统和其它相关软件,以及用于存储诸如涉及客户机代理120的任意程序的应用软件程序。或者,可以使用安装装置116的任意一种作为存储装置128。此外,操作系统和软件可从例如可引导CD的可引导介质运行,诸如
,一种用于GNU/Linux的可引导CD,该可引导CD可自knoppix.net作为GNU/Linux分发获得。
此外,计算装置100可以包括网络接口118以通过多种连接(包括但不限于标准电话线路、LAN或WAN链路(例如802.11,T1,T3、56kb、X.25)、宽带连接(如ISDN、帧中继、ATM)、无线连接、或上述任意或全部的一些组合)连接到局域网(LAN)、广域网(WAN)或因特网。网络接口118可以包括内置网络适配器、网络接口卡、PCMCIA网络卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算装置100连接到能够通信并执行这里所说明的操作的任意类型的网络的任意其它设备。
计算装置100中可以包括各种I/O装置130a-130n。输入设备包括键盘、鼠标、触控板、轨迹球、话筒和绘图板。输出设备包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图1E所示,I/O装置130可以由I/O控制器123控制。I/O控制器可以控制一个或多个I/O装置,例如键盘126和指示装置127(如鼠标或光笔)。此外,I/O装置还可以为计算装置100提供存储装置128和/或安装介质116。在其它实施例中,计算装置100可以提供USB连接以接收手持USB存储装置,例如由位于加利福尼亚州LosAlamitos,的Twintech Industry公司生产的设备的USB闪存驱动器线。
在一些实施例中,计算装置100可以包括多个显示装置124a-124n或与其相连,这些显示装置可以是相同或不同的类型和/或形式。因而,任意一种I/O装置130a-130n和/或I/O控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置100连接和使用多个显示装置124a-124n。例如,计算装置100可以包括任意类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示装置124a-124n对接、通信、连接或使用显示装置。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置124a-124n对接。在其它实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置124a-124n中的一个或多个连接。在一些实施例中,计算装置100的操作系统的任一部分都可以被配置用于使用多个显示器124a-124n。在其它实施例中,显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供,诸如(例如通过网络)与计算装置100连接的计算装置100a和100b。这些实施例可以包括被设计和构造的任一类型的软件,以使用另一个计算机的显示装置作为计算装置100的第二显示装置124a。本领域的普通技术人员会认识和意识到可以将计算装置100配置成拥有多个显示装置124a-124n的各种方式和实施例。
在进一步的实施例中,I/O装置130可以是系统总线150和外部通信总线(如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire800总线、以太网总线、AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行SCSI总线)之间的桥170.
图1E和1F中描述的那类计算装置100通常地在控制任务的调度和对系统资源的访问的操作系统的控制下操作。计算装置100可以运行任何操作系统,如
Windows操作系统,不同发行版本的Unix和Linux操作系统,用于Macintosh计算机的任意版本的
任意嵌入式操作系统,任意实时操作系统,任意开源操作系统,任意专有操作系统,任意用于移动计算装置的操作系统,或者任意其它能够在计算装置上运行并完成这里所述操作的操作系统。典型的操作系统包括:WINDOWS 3.x、WINDOWS 95、WINDOWS98、WINDOWS 2000、WINDOWS NT 3.51、WINDOWS NT 4.0、WINDOWS CE和WINDOWSXP,所有这些均由位于华盛顿州Redmond的微软公司出品;由位于加利福尼亚州Cupertino的苹果计算机出品的MacOS;由位于纽约州Armonk的国际商业机器公司出品的OS/2;以及由位于犹他州Salt Lake City的Caldera公司发布的可免费使用的Linux操作系统或者任意类型和/或形式的Unix操作系统,以及其它。
在其它实施例中,计算装置100可以有不同的处理器、操作系统以及与其一致的输入设备。例如,在一个实施例中,计算机100是由Palm公司出品的Treo180、270、1060、600或650智能电话。在该实施例中,Treo智能电话在PalmOS操作系统的控制下操作,并包括指示笔输入装置以及五向导航装置。此外,计算装置100可以是任意工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话、任意其它计算机、或能够通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式的计算或者电信装置。
B、设备架构
图2A示出设备200的一个示例实施例。提供图2A的设备200架构仅用于示例,并不意于作为限制性的架构。如图2所示,设备200包括硬件层206和被分为用户空间202和内核空间204的软件层。
硬件层206提供硬件元件,在内核空间204和用户空间202中的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件,就设备200而言,这些结构和元件允许在内核空间204和用户空间202内的程序和服务既在内部进行数据通信又与外部进行数据通信。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元262,用于存储软件和数据的存储器264,用于通过网络传输和接收数据的网络端口266,以及用于执行与安全套接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1E和1F所述的任一处理器101。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262’。在其它实施例中,处理器262或者262’包括多核处理器。
虽然示出的设备200的硬件层206通常带有加密处理器260,但是处理器260可为执行涉及任何加密协议的功能的处理器,例如安全套接字协议层(SSL)或者传输层安全(TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并且在进一步的实施例中,可为用于执行任何安全相关协议处理的可执行指令。
虽然图2中设备200的硬件层206包括了某些元件,但是设备200的硬件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件,例如此处结合图1E和1F示出和讨论的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备,并且拥有与此相关的任何硬件和/或软件元件。
设备200的操作系统分配、管理或另外分离可用的系统存储器到内核空间204和用户空间204。在示例的软件架构200中,操作系统可以是任意类型和/或形式的Unix操作系统,尽管本发明并未这样限制。这样,设备200可以允许任何操作系统,如任何版本的
Windows操作系统、不同版本的Unix和Linux操作系统、用于Macintosh计算机的任意版本的
任意的嵌入式操作系统、任意的网络操作系统、任意的实时操作系统、任意的开放源操作系统、任意的专用操作系统、用于移动计算装置或网络装置的任意操作系统、或者能够运行在设备200上并执行此处所描述的操作的任意其它操作系统。
保留内核空间204用于运行内核230,内核230包括任何设备驱动器,内核扩展或其他内核相关软件。就像本领域技术人员所知的,内核230是操作系统的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例,内核空间204也包括与高速缓存管理器232协同工作的多个网络服务或进程,高速缓存管理器232有时也称为集成的高速缓存,其益处此处将进一步详细描述。另外,内核230的实施例将依赖于通过设备200安装、配置或其他使用的操作系统的实施例。
在一个实施例中,设备200包括一个网络堆栈267,例如基于TCP/IP的堆栈,用于与客户机102和/或服务器106通信。在一个实施例中,使用网络堆栈267与第一网络(例如网络108)以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户机102的TCP连接,并建立客户机102使用的到服务器106的第二传输层连接,例如,终止在设备200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络堆栈,例如267或267’,并且在一个网络堆栈267可建立或终止第一传输层连接,在第二网络堆栈267’上可建立或者终止第二传输层连接。例如,一个网络堆栈可用于在第一网络上接收和传输网络分组,并且另一个网络堆栈用于在第二网络上接收和传输网络分组。在一个实施例中,网络堆栈267包括用于为一个或多个网络分组进行排队的缓冲器243,其中网络分组由设备200传输。
如图2所示,内核空间204包括高速缓存管理器232、高速层2-7集成分组引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、240、234、236和238提高这些组件中的每个单独的和结合的性能。内核操作意味着这些组件或进程232、240、234、236和238在设备200的操作系统的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密操作到内核可改进加密性能,从而可减少在内核模式中的存储空间或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如,在内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线程,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另外,在任何组件或进程232、240、235、236和238间的同步和通信在内核空间204中可被执行的更有效率。
在一些实施例中,组件232、240、234、236和238的任何部分可在内核空间204中运行或操作,而这些组件232、240、234、236和238的其它部分可在用户空间202中运行或操作。在一个实施例中,设备200使用内核级数据结构来提供对一个或多个网络分组的任何部分的访问,例如,包括来自客户机102的请求或者来自服务器106的响应的网络分组。在一些实施例中,可以由分组引擎240通过到网络堆栈267的传输层驱动器接口或过滤器获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络业务或分组。在其他实施例中,任何组件或进程232、240、234、236和238可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中,当使用内核级数据结构时,组件232、240、234、236和238在内核模式204中运行,而在另一个实施例中,当使用内核级数据结构时,组件232、240、234、236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传递到第二内核级数据结构,或任何期望的用户级数据结构。
高速缓存管理器232可包括软件、硬件或软件和硬件的任意组合,以提供对任何类型和形式的内容的高速缓存访问、控制和管理,例如对象或由源服务器106提供服务的动态产生的对象。被高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式(例如标记语言)或通过任何协议的通信的数据。在一些实施例中,高速缓存管理器232复制存储在其他地方的原始数据或先前计算、产生或传输的数据,其中相对于读高速缓存存储器元件,需要更长的访问时间以取得、计算或以其他方式得到原始数据。一旦数据被存储在高速缓存存储元件中,通过访问高速缓存的副本而不是重新获得或重新计算原始数据即可进行后续操作,因此而减少了访问时间。在一些实施例中,高速缓存元件可以包括设备200的存储器264中的数据对象。在其它实施例中,高速缓存存储元件可包括有比存储器264更快的存取时间的存储器。在另一个实施例中,高速缓存元件可以包括设备200的任一类型和形式的存储元件,诸如硬盘的一部分。在一些实施例中,处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中,高速缓存管理器232可使用存储器、存储区或处理单元的任何部分和组合来高速缓存数据、对象或其它内容。
另外,高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任何逻辑、功能、规则或操作。例如,高速缓存管理器232包括基于无效时间周期的终止,或者从客户机102或服务器106接收无效命令使对象无效的逻辑或功能。在一些实施例中,高速缓存管理器232可作为程序、服务、进程或任务操作执行在内核空间204中,并且在其他实施例中,在用户空间202中执行。在一个实施例中,高速缓存管理器232的第一部分在用户空间202中执行,而第二部分在内核空间204中执行。在一些实施例中,高速缓存管理器232可包括任何类型的通用处理器(GPP),或任何其他类型的集成电路,例如现场可编程门阵列(FPGA),可编程逻辑设备(PLD),或者专用集成电路(ASIC)。
策略引擎236可包括,例如,智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速缓存策略。策略引擎236,在一些实施例中,也访问存储器以支持数据结构,例如备份表或hash表,以启用用户选择的高速缓存策略决定。在其它实施例中,除了对安全、网络业务、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外,策略引擎236可包括任何逻辑、规则、功能或操作以决定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其它实施例此处进一步描述。
在一些实施例中,策略引擎236可以提供配置机制以允许用户识别、指定、定义或配置指导包括但不限于图2B中描述的诸如vServers 275、VPN功能280、内联网IP功能282、交换功能284、DNS功能286、加速功能288、应用防火墙功能290和监控代理197的部件的设备的任意其它部件或功能的行为的策略。在其它实施例中,策略引擎236可以响应于任一配置的策略来进行检查、评价、实现或者以其他方式产生作用,并且还可以响应于策略来指导一个或多个设备功能的操作。
加密引擎234包括用于控制任何安全相关协议处理,例如SSL或TLS,或其相关的任何功能的任何逻辑、商业规则、功能或操作。例如,加密引擎234加密并解密通过设备200传输的网络分组,或其任何部分。加密引擎234也可代表客户机102a-102n、服务器106a-106n或设备200来安装或建立SSL或TLS连接。因此,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来提供在客户机102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260通信。在其它实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。
多协议压缩引擎238包括用于压缩一个或多个网络分组协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向压缩在客户机102a-102n和服务器106a-106n间任一基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用Internet文件系统(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及IP上语音(VoIP)协议。在其它实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中,提供任何标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协议压缩引擎238提供任何高性能协议的压缩,例如设计用于设备200到设备200通信的任何协议。在另一个实施例中,多协议压缩引擎238使用修改的传输控制协议来压缩任何载荷或任何通信,例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP(TCP-LW)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议(TCP spoofing protocol)。
同样的,多协议压缩引擎238通过桌面客户机,例如Micosoft Outlook和非web瘦客户机,诸如由通用企业应用像Oracle、SAP和Siebel启动的任何客户机,甚至移动客户机,例如便携式个人计算机,来加速用户访问应用的执行。在一些实施例中,多协议压缩引擎238通过在内核模式204内部执行并与访问网络堆栈267的分组处理引擎240集成,可以压缩TCP/IP协议携带的任何协议,例如任何应用层协议。
高速层2-7集成分组引擎240,通常也称为分组处理引擎,或分组引擎,负责设备200通过网络端口266接收和发送的分组的内核级处理的管理。高速层2-7集成分组引擎240可包括在处理期间用于排队一个或多个网络分组的缓冲器,例如用于网络分组的接收或者网络分组的传输。另外,高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以通过网络端口266发送和接收网络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地,配置加密引擎234以执行分组的SSL处理,配置策略引擎236以执行涉及业务管理的功能,例如请求级内容切换以及请求级高速缓存重定向,并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。
高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例中,分组处理定时器242提供一个或多个时间间隔以触发输入处理,例如,接收或者输出(即传输)网络分组。在一些实施例中,高速层2-7集成分组引擎240响应于定时器242处理网络分组。分组处理定时器242向分组引擎240提供任何类型和形式的信号以通知、触发或传输时间相关事件、间隔或发生。在许多实施例中,分组处理定时器242以毫秒级操作,例如100ms、50ms、或25ms。例如,在一些实例中,分组处理定时器242提供时间间隔或者以其它方式使得由高速层2-7集成分组引擎240以10ms时间间隔处理网络分组,而在其它实施例中,使高速层2-7集成分组引擎240以5ms时间间隔处理网络分组,并且在进一步的实施例中,短到3、2或1ms时间间隔。高速层2-7集成分组引擎240在操作期间可与加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此,响应于分组处理定时器242和/或分组引擎240,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此,在由分组处理定时器242提供的时间间隔粒度,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作,例如,时间间隔少于或等于10ms。例如,在一个实施例中,响应于高速层2-7集成分组引擎240和/或分组处理定时器242,高速缓存管理器232可执行任何高速缓存的对象的无效。在另一个实施例中,高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时间间隔相同的粒度级,例如每10ms。
与内核空间204不同,用户空间202是被用户模式应用或在用户模式运行的程序所使用的操作系统的存储区域或部分。用户模式应用不能直接访问内核空间204,为了访问内核服务需要使用服务调用。如图2所示,设备200的用户空间202包括图形用户接口(GUI)210、命令行接口(CLI)212、壳服务(shell service)214、健康监控程序216以及守护(daemon)服务218。GUI 210和CLI 212提供系统管理员或其他用户可与之交互并控制设备200操作的装置,例如通过设备200的操作系统。GUI 210和CLI 212可包括运行在用户空间202或内核框架204中的代码。GUI 210可以是任何类型或形式的图形用户接口,可以通过文本、图形或其他形式由任何类型的程序或应用(如浏览器)来呈现。CLI 212可为任何类型和形式的命令行或基于文本的接口,例如通过操作系统提供的命令行。例如,CLI 212可包括壳,该壳是使用户与操作系统相互作用的工具。在一些实施例中,可通过bash、csh、tcsh或者ks h类型的壳提供CLI 212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过GUI 210和/或CLI 212的与设备200或者操作系统的交互
健康监控程序216用于监控、检查、报告并确保网络系统正常运行,以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令,为监控设备200的任何行为提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216拦截并检查通过设备200传递的任何网络业务。在其他实施例中,健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接:加密引擎234,高速缓存管理器232,策略引擎236,多协议压缩逻辑238,分组引擎240,守护服务218以及壳服务214。因此,健康监控程序216可调用任何应用编程接口(API)以确定设备200的任何部分的状态、情况或健康。例如,健康监控程序216可周期性地查验(ping)或发送状态查询以检查程序、进程、服务或任务是否活动并当前正在运行。在另一个实施例中,健康监控程序216可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何状况、状态或错误。
守护服务218是连续运行或在背景中运行的程序,并且处理设备200接收的周期性服务请求。在一些实施例中,守护服务可向其他程序或进程(例如合适的另一个守护服务218)转发请求。如本领域技术人员所公知的,守护服务218可无人监护的运行,以执行连续的或周期性的系统范围功能,例如网络控制,或者执行任何需要的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其它实施例中,一个或多个守护服务218运行在内核空间。
现在参见图2B,描述了设备200的另一个实施例。总的来说,设备200提供下列服务、功能或操作中的一个或多个:用于一个或多个客户机102以及一个或多个服务器106之间的通信的SSL VPN连通280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270)。例如,服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器,称为vServer 275、vS 275、VIP服务器或者仅是VIP 275a-275n(此处也称为vServer 275)。vServer275根据设备200的配置和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通信。
vServer 275可以包括软件、硬件或者软件和硬件的任意组合。vServer275可包括在设备200中的用户模式202、内核模式204或者其任意组合中运行的任意类型和形式的程序、服务、任务、进程或者可执行指令。vServer275包括任意逻辑、功能、规则或者操作,以执行此处所述技术的任意实施例,诸如SSL VPN 280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中,vServer 275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户机102或者vServer 275并与之通信的任意程序、应用、进程、任务或者可执行指令集。例如,服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,服务270是守护进程或者网络驱动器,用于监听、接收和/或发送应用的通信,诸如电子邮件、数据库或者企业应用。在一些实施例中,服务270可以在特定的IP地址、或者IP地址和端口上通信。
在一些实施例中,vServer 275应用策略引擎236的一个或者多个策略到客户端102和服务器106之间的网络通信。在一个实施例中,该策略与vServer 275相关。在另一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vServer 275a-275n,和通过设备200通信的任意用户或者用户组。在一些实施例中,策略引擎的策略具有基于通信的任意内容应用该策略的条件,通信的内容诸如互联网协议地址、端口、协议类型、分组中的首部或者字段、或者通信的上下文,诸如用户、用户组、vServer 275、传输层连接、和/或客户机102或者服务器106的标识或者属性。
在其他实施例中,设备200与策略引擎236通信或接口,以便确定远程用户或远程客户端102的验证和/或授权,以访问来自服务器106的计算环境15、应用和/或数据文件。在另一个实施例中,设备200与策略引擎236通信或交互,以便确定远程用户或远程客户机102的验证和/或授权,使得应用传送系统190传送一个或多个计算环境15、应用和/或数据文件。在另一个实施例中,设备200基于策略引擎236对远程用户或远程客户机102的验证和/或授权建立VPN或SSL VPN连接。一个实施例中,设备200基于策略引擎236的策略控制网络业务流量以及通信会话。例如,基于策略引擎236,设备200可控制对计算环境15、应用或数据文件的访问。
在一些实施例中,vServer 275与客户端102经客户端代理120建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer 275监听和接收来自客户端102的通信。在其它实施例中,vServer 275与客户端服务器106建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在另一个实施例中,vServer 275将到客户端102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,vServer275建立到服务器106的传输层连接池并经由所述池化(pooled)的传输层连接多路复用客户机的请求。
在一些实施例中,设备200提供客户端102和服务器106之间的SSL VPN连接280。例如,第一网络102上的客户端102请求建立到第二网络104’上的服务器106的连接。在一些实施例中,第二网络104’是不能从第一网络104路由的。在其它实施例中,客户端102位于公用网络104上,并且服务器106位于专用网络104’上,例如企业网。在一个实施例中,客户机代理120拦截第一网络104上的客户机102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户端代理102的所拦截的通信,解密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。同样的,设备200为两个网络104、104’之间的客户机102提供端到端安全传输层连接。
在一个实施例中,设备200寄载虚拟专用网络104上的客户机102的内部网内部互联网协议或者IntranetIP 282地址。客户机102具有本地网络识别符,诸如第一网络104上的互联网协议(IP)地址和/或主机名称。当经设备200连接到第二网络104’时,设备200为客户机102在第二网络104’上建立、分配或者以其它方式提供IntranetIP,即网络识别符,诸如IP地址和/或主机名称。使用为客户机的所建立的IntranetIP 282,设备200在第二或专用网104′上监听并接收指向该客户机102的任意通信。在一个实施例中,设备200用作或者代表第二专用网络104上的客户机102。例如,在另一个实施例中,vServer 275监听和响应到客户机102的IntranetIP 282的通信。在一些实施例中,如果第二网络104’上的计算装置100发送请求,设备200如同客户机102一样来处理该请求。例如,设备200可以响应对客户机IntranetIP 282的查验。在另一个实施例中,设备可以与请求和客户机IntranetIP 282连接的第二网络104上的计算装置100建立连接,诸如TCP或者UDP连接。
在一些实施例中,设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术288:1)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议缓冲;以及6)高速缓存。在一个实施例中,设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户机经因特网的重复数据访问,来为服务器106缓解由重复开启和关闭到客户机102的传输层连接所带来的许多处理负载。该技术此处称为“连接池”。
在一些实施例中,为了经池化的传输层连接无缝拼接从客户机102到服务器106的通信,设备200通过在传输层协议级修改序列号和确认号来翻译或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议交互作用。例如,在到来分组(即,自客户机102接收的分组)的情况中,所述分组的源网络地址被改变为设备200的输出端口的网络地址,而目的网络地址被改为目的服务器的网络地址。在发出分组(即,自服务器106接收的一个分组)的情况中,源网络地址被从服务器106的网络地址改变为设备200的输出端口的网络地址,而目的地址被从设备200的地址改变为请求的客户机102的地址。分组的序列号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在一些实施例中,传输层协议的分组校验和被重新计算以适应这些转换。
在另一个实施例中,设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能284。在一些实施例中,设备200根据层4或应用层请求数据来分配业务量并将客户机请求指向服务器106。在一个实施例中,尽管网络分组的网络层或者层2识别目的服务器106,但设备200利用作为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络分组。在一个实施例中,设备200的健康监控程序216监控服务器的健康来确定分发客户机请求到哪个服务器106。在一些实施例中,如果设备200探测到某个服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户机请求指向或者分发到另一个服务器106。
在一些实施例中,设备200用作域名服务(DNS)解析器或者以其它方式为来自客户机102的DNS请求提供解析。在一些实施例中,设备拦截由客户机102发送的DNS请求。在一个实施例中,设备200以设备200的IP地址或其所寄载的IP地址来响应客户机的DNS请求。在此实施例中,客户机102把用于域名的网络通信发送到设备200。在另一个实施例中,设备200以第二设备200’的或其所寄载的IP地址来响应客户机的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户机的DNS请求。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供应用防火墙功能290。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙290防御拒绝服务(DoS)攻击。在其它实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略,例如下列的一个或多个脆弱点:1)缓冲区泄出,2)CGI-BIN参数操纵,3)表单/隐藏字段操纵,4)强制浏览,5)cookie或会话中毒,6)被破坏的访问控制列表(ACLs)或弱密码,7)跨站脚本处理(XSS),8)命令注入,9)SQL注入,10)错误触发敏感信息泄露,11)对加密的不安全使用,12)服务器错误配置,13)后门和调试选项,14)网站涂改,15)平台或操作系统弱点,和16)零天攻击。在一个实施例中,对下列情况的一种或多种,应用防火墙290以检查或分析网络通信的形式来提供HTML格式字段的保护:1)返回所需的字段,2)不允许附加字段,3)只读和隐藏字段强制(enforcement),4)下拉列表和单选按钮字段的一致,以及5)格式字段最大长度强制。在一些实施例中,应用防火墙290确保没有修改cookie。在其它实施例中,应用防火墙290通过执行合法的URL来防御强迫浏览。
在另一些实施例中,应用防火墙290保护包括在网络通信中的任意机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中,应用防火墙290在网络通信中识别信用卡号、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。基于这些出现,在一个实施例中,应用防火墙290可以采取作用于网络通信上的策略,诸如阻止发送网络通信。在另一个实施例中,应用防火墙290可以重写、移动或者以其它方式掩蔽该所识别的出现或者机密信息。
仍然参考图2B,设备200可以包括如上面结合图1D所讨论的性能监控代理197。在一个实施例中,设备200从如图1D中所描述的监控服务198或监控服务器106中接收监控代理197。在一些实施例中,设备200在诸如磁盘的存储装置中保存监控代理197,以用于传送给与设备200通信的任意客户机或服务器。例如,在一个实施例中,设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其它实施例中,设备200在建立与客户机102的传输层连接时发送监控代理197。在另一个实施例中,设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中,设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中,设备200发送监控代理197到第二设备200′或设备205。
在其它实施例中,设备200执行监控代理197。在一个实施例中,监控代理197测量和监控在设备200上执行的任意应用、程序、进程、服务、任务或线程的性能。例如,监控代理197可以监控和测量vServers 275A-275N的性能与操作。在另一个实施例中,监控代理197测量和监控设备200的任意传输层连接的性能。在一些实施例中,监控代理197测量和监控通过设备200的任意用户会话的性能。在一个实施例中,监控代理197测量和监控通过设备200的诸如SSL VPN会话的任意虚拟专用网连接和/或会话的性能。在进一步的实施例中,监控代理197测量和监控设备200的内存、CPU和磁盘使用以及性能。在又一个实施例中,监控代理197测量和监控诸如SSL卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任意加速技术288的性能。在一些实施例中,监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换284的性能。在其它实施例中,监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。
C、客户机代理
现在看图3,描述客户机代理120的实施例。客户机102包括客户机代理120,用于经由网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户机102在计算装置100上操作,该计算装置100拥有带有内核模式302以及用户模式303的操作系统,以及带有一个或多个层310a-310b的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一些实施例中,一个或多个应用可通过网络堆栈310与网络104通信。所述应用之一,诸如web浏览器,也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或执行客户机代理120,或其中任意部分。客户机代理120包括拦截机制或者拦截器350,用于从网络堆栈310拦截来自一个或者多个应用的网络通信。
客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式系统互联(OSI)通信模型的任何网络层。这样,网络堆栈310可包括用于任何以下OSI模型层的任何类型和形式的协议:1)物理链路层;2)数据链路层;3)网络层;4)传输层;5)会话层);6)表示层,以及7)应用层。在一个实施例中,网络堆栈310可包括在因特网协议(IP)的网络层协议上的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在以太网协议上实施TCP/IP协议,以太网协议可包括IEEE广域网(WAN)或局域网(LAN)协议的任何族,例如被IEEE802.3覆盖的这些协议。在一些实施例中,网络堆栈310包括任何类型和形式的无线协议,例如IEEE802.11和/或移动因特网协议。
考虑基于TCP/IP的网络,可使用任何基于TCP/IP的协议,包括消息应用编程接口(MAPI)(email)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用因特网文件系统(CIFS)协议(文件传输)、独立计算框架(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议,以及IP语音(VoIP)协议。在另一个实施例中,网络堆栈310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP(T/TCP),带有选择确认的TCP(TCP-SACK),带有大窗口的TCP(TCP-LW),拥塞预测协议,例如TCP-Vegas协议,以及TCP电子欺骗协议。在其他实施例中,任何类型和形式的用户数据报协议(UDP),例如IP上UDP,可被网络堆栈310使用,诸如用于语音通信或实时数据通信。
另外,网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操作系统的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组件的一部分被包括。在一些实施例中,网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分,用来支持此处描述的任何技术。在其它实施例中,设计并构建加速程序302以与网络堆栈310协同操作或工作,上述网络堆栈310由客户机102的操作系统安装或以其它方式提供。
网络堆栈310包括任何类型和形式的接口,用于接收、获得、提供或以其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例中,与网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制,事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构,例如对象。例如,数据结构可以包括与网络分组相关的信息和数据或者一个或多个网络分组。在一些实施例中,数据结构包括在网络堆栈310的协议层处理的网络分组的一部分,例如传输层的网络分组。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。内核级数据结构可以包括获得的或与在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作系统的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任意数据结构。
此外,网络堆栈310的一些部分可在内核模式302执行或操作,例如,数据链路或网络层,而其他部分在用户模式303执行或操作,例如网络堆栈310的应用层。例如,网络堆栈的第一部分310a可以给应用提供对网络堆栈310的用户模式访问,而网络堆栈310的第二部分310a提供对网络的访问。在一些实施例中,网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层,例如层5-7的任意层。在其它实施例中,网络堆栈310的第二部分310b包括一个或多个较低的层,例如层1-4的任意层。网络堆栈310的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分,位于任意一个或多个网络层,处于用户模式203、内核模式202,或其组合,或在网络层的任何部分或者到网络层的接口点,或用户模式203和内核模式202的任何部分或到用户模式203和内核模式202的接口点。
拦截器350可以包括软件、硬件、或者软件和硬件的任意组合。在一个实施例中,拦截器350在网络堆栈310的任一点拦截网络通信,并且重定向或者发送网络通信到由拦截器350或者客户机代理120所期望的、管理的或者控制的目的地。例如,拦截器350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200,用于在第二网络104上发送。在一些实施例中,拦截器350包括含有诸如被构建和设计来与网络堆栈310对接并一同工作的网络驱动器的驱动器的任一类型的拦截器350。在一些实施例中,客户机代理120和/或拦截器350操作在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,拦截器350包括过滤器驱动器、钩子机制、或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口,诸如通过传输驱动器接口(TDI)。在一些实施例中,拦截器350连接到诸如传输层的第一协议层和诸如传输协议层之上的任意层的另一个协议层,例如,应用协议层。在一个实施例中,拦截器350可以包括遵守网络驱动器接口规范(NDIS)的驱动器,或者NDIS驱动器。在另一个实施例中,拦截器350可以包括微型过滤器或者微端口驱动器。在一个实施例中,拦截器350或其部分在内核模式202中操作。在另一个实施例中,拦截器350或其部分在用户模式203中操作。在一些实施例中,拦截器350的一部分在内核模式202中操作,而拦截器350的另一部分在用户模式203中操作。在其它实施例中,客户机代理120在用户模式203操作,但通过拦截器350连接到内核模式驱动器、进程、服务、任务或者操作系统的部分,诸如以获取内核级数据结构225。在其它实施例中,拦截器350为用户模式应用或者程序,诸如应用。
在一个实施例中,拦截器350拦截任意的传输层连接请求。在这些实施例中,拦截器350执行传输层应用编程接口(API)调用以设置目的地信息,诸如到期望位置的目的地IP地址和/或端口用于定位。以此方式,拦截器350拦截并重定向传输层连接到由拦截器350或客户机代理120控制或管理的IP地址和端口。在一个实施例中,拦截器350把连接的目的地信息设置为客户机代理120监听的客户机102的本地IP地址和端口。例如,客户机代理120可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一些实施例中,客户机代理120随后将重定向的传输层通信传送到设备200。
在一些实施例中,拦截器350拦截域名服务(DNS)请求。在一个实施例中,客户机代理120和/或拦截器350解析DNS请求。在另一个实施例中,拦截器发送所拦截的DNS请求到设备200以进行DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传送到客户机代理120。在一些实施例中,设备200经另一个设备200’或者DNS服务器106来解析DNS请求。
在又一个实施例中,客户机代理120可以包括两个代理120和120’。在一个实施例中,第一代理120可以包括在网络堆栈310的网络层操作的拦截器350。在一些实施例中,第一代理120拦截网络层请求,诸如因特网控制消息协议(ICMP)请求(例如,查验和跟踪路由)。在其它实施例中,第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中,第一代理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦截的通信传送到第二代理120’。
客户机代理120和/或拦截器350可以以对网络堆栈310的任意其它协议层透明的方式在协议层操作或与之对接。例如,在一个实施例中,拦截器350可以以对诸如网络层的传输层之下的任意协议层和诸如会话、表示或应用层协议的传输层之上的任意协议层透明的方式在网络堆栈310的传输层操作或与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修改以使用拦截器350。这样,客户机代理120和/或拦截器350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信,诸如TCP/IP上的任一应用层协议。
此外,客户机代理120和/或拦截器可以以对任意应用、客户机102的用户和与客户机102通信的诸如服务器的任意其它计算装置透明的方式在网络堆栈310上操作或与之对接。客户机代理120和/或拦截器350可以以无需修改应用的方式被安装和/或执行在客户机102上。在一些实施例中,客户机102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/或拦截器350的存在、执行或者操作。同样,在一些实施例中,相对于应用、客户机102的用户、诸如服务器的另一个计算装置、或者在由拦截器350连接的协议层之上和/或之下的任意协议层透明地来安装、执行和/或操作客户机代理120和/或拦截器350。
客户机代理120包括加速程序302、流客户机306、收集代理304和/或监控代理197。在一个实施例中,客户机代理120包括由佛罗里达州FortLauderdale的Citrix Systems Inc.开发的独立计算架构(ICA)客户机或其任一部分,并且也指ICA客户机。在一些实施例中,客户机代理120包括应用流客户机306,用于从服务器106流式传输应用到客户机102。在一些实施例中,客户机代理120包括加速程序302,用于加速客户机102和服务器106之间的通信。在另一个实施例中,客户机代理120包括收集代理304,用于执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。
在一些实施例中,加速程序302包括用于执行一个或多个加速技术的客户机侧加速程序,以加速、增强或者以其他方式改善客户机与服务器106的通信和/或对服务器106的访问,诸如访问由服务器106提供的应用。加速程序302的可执行指令的逻辑、函数和/或操作可以执行一个或多个下列加速技术:1)多协议压缩,2)传输控制协议池,3)传输控制协议多路复用,4)传输控制协议缓冲,以及5)通过高速缓存管理器的高速缓存。另外,加速程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外,加速程序302可以对作为传输层协议的网络分组的有效载荷所承载的任一协议或者多协议执行压缩。
流客户机306包括应用、程序、进程、服务、任务或者可执行指令,所述应用、程序、进程、服务、任务或者可执行指令用于接收和执行从服务器106所流式传输的应用。服务器106可以流式传输一个或者多个应用数据文件到流客户机306,用于播放、执行或者以其它方式引起客户机102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户机306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其它档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户机102。在另一个实施例中,客户机102解压缩、解包或者解档应用文件。流客户机306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户机306可以为可执行程序。在一些实施例中,流客户机306可以能够启动另一个可执行程序。
收集代理304包括应用、程序、进程、服务、任务或者可执行指令,用于识别、获取和/或收集关于客户机102的信息。在一些实施例中,设备200发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略引擎236的一个或多个策略来配置收集代理304。在其它实施例中,收集代理304发送在客户机102上收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供客户机到网络104的连接的访问、验证和授权控制。
在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户机的一个或者多个属性或者特征。例如,收集代理304可以识别和确定任意一个或多个以下的客户机侧属性:1)操作系统和/或操作系统的版本,2)操作系统的服务包,3)运行的服务,4)运行的进程,和5)文件。收集代理304还可以识别并确定客户机上任意一个或多个以下软件的存在或版本:1)防病毒软件;2)个人防火墙软件;3)防垃圾邮件软件,和4)互联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任意一个或多个属性或特性的一个或多个策略。
在一些实施例中,客户机代理120包括如结合图1D和2B所讨论的监控代理197。监控代理197可以是诸如Visual Basic或Java脚本的任意类型和形式的脚本。在一个实施例中,监控代理197监控和测量客户机代理120的任意部分的性能。例如,在一些实施例中,监控代理197监控和测量加速程序302的性能。在另一个实施例中,监控代理197监控和测量流客户机306的性能。在其它实施例中,监控代理197监控和测量收集代理304的性能。在又一个实施例中,监控代理197监控和测量拦截器350的性能。在一些实施例中,监控代理197监控和测量客户机102的诸如存储器、CPU和磁盘的任意资源。
监控代理197可以监控和测量客户机的任意应用的性能。在一个实施例中,监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例中,监控代理197监控和测量经由客户机代理120传送的任意应用的性能。在其它实施例中,监控代理197测量和监控应用的最终用户响应时间,例如基于web的响应时间或HTTP响应时间。监控代理197可以监控和测量ICA或RDP客户机的性能。在另一个实施例中,监控代理197测量和监控用户会话或应用会话的指标。在一些实施例中,监控代理197测量和监控ICA或RDP会话。在一个实施例中,监控代理197测量和监控设备200在加速传送应用和/或数据到客户机102的过程中的性能。
在一些实施例中,仍参见图3,第一程序322可以用于自动地、静默地、透明地或者以其它方式安装和/或执行客户机代理120或其部分,诸如拦截器350。在一个实施例中,第一程序322包括插件组件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用执行。例如,第一程序包括由web浏览器应用载入和运行的ActiveX控件,例如在存储器空间或应用的上下文中。在另一个实施例中,第一程序322包括可执行指令组,该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中,第一程序322包括被设计和构造的程序以安装客户机代理120。在一些实施例中,第一程序322通过网络从另一个计算装置获得、下载、或接收客户机代理120。在另一个实施例中,第一程序322是用于在客户机102的操作系统上安装如网络驱动的程序的安装程序或即插即用管理器。
D、基于调出的策略
现参考图4,描述了使用基于调出的策略424从响应442确定动作456的中间设备200的实施例。总的来说,中间设备200包括具有一个或多个策略424的策略引擎236。策略424被配置为使用指定的属性422给策略引擎236提供一个或多个调出规则424。响应于策略,调出功能414根据指定的属性产生请求452并将所产生的请求传输到装置或服务,例如服务器106。对请求452的响应442是由中间设备200接收的并且由策略引擎的响应评估器412对其进行评估。基于评估的结果,策略引擎236确定对策略424的动作456。
进一步的细节中,策略引擎236可包括结合图2A所描述的策略引擎236和/或结合图1D描述的策略引擎195的任何实施例。策略引擎236可包括调出功能414,其用于提供此处所描述的基于调出的策略的任何实施例的操作、执行和/或功能。调出功能414可包括策略引擎236的任意类型和形式的组件、模块、逻辑、功能和/或操作。调出功能414可包括软件、硬件或软件和硬件的任一组合。调出功能414可包括应用、程序、库、脚本、进程、任务、线程或任意类型和形式的可执行指令。尽管调出功能414图示为策略引擎236的一部分,但在一些实施例中,调出功能414可以是中间设备或另一个装置的单独的引擎、组件或模块。在这些实施例中,调出引擎与策略引擎236通信或对接。
调出功能414可以被设计和构建为根据任意类型和形式的协议产生任意类型和形式的请求452。一些实施例中,调出功能产生HTTP或HTTPS请求。其他实施例中,调出功能产生XML类型的请求。一个实施例中,调出功能414产生基于SOAP的请求。一些实施例中,调出功能产生基于AJAX(异步Java脚本和XML)的请求。其他实施例中,调出功能产生执行脚本。一些实施例中,调出功能414产生包括任何脚本语言的请求452。一些实施例中,调出功能414产生使用诸如ICA或RDP的远程显示协议的请求452。一些实施例中,调出功能414产生使用任何类型的服务器消息块协议的请求452。又一个实施例中,调出功能414产生电子邮件消息。一些实施例中,调出功能414产生MAPI请求。
调出功能414可响应于策略424、策略引擎236和/或中间设备200的任何配置来产生请求452。一些实施例中,调出功能414使用和/或根据由策略424指定的任何属性422来产生请求452。例如,属性422可指定由调出功能414在产生请求452时所使用的任何部分、参数、类型、命令、格式或协议。一些实施例中,调出功能414响应于另一策略来产生请求452,诸如中间设备的用户策略、会话或通信量管理。
调出功能414可包括响应评估器412来读取、解析、解释和/或评估任意类型和形式的响应。响应评估器412可等待响应于发出请求452的调出功能的响应。一些实施例中,调出功能和/或响应评估器从中间设备的网络引擎接收响应,例如图2A所描述的网络引擎。响应评估器可响应于由中间设备或中间设备的任何部分或组件接收到响应来评估响应。响应评估器413可包括任意类型和形式的时间来确定在预定或期望的时间段内是否已经收到响应。
响应评估器412可确定或提供任意类型和形式的来自评估响应的结果。响应评估器412可响应于或基于策略424、策略引擎236和/或中间设备200的任何配置来评估响应。一些实施例中,响应评估器412基于和/或根据策略424或第二策略来确定评估的结果。一些实施例中,响应评估器412基于和/或根据策略424的任何一个或多个属性422来确定评估的结果。一些实施例中,响应评估器412基于响应的任何内容来确定评估的结果。一些实施例中,响应评估器412基于提供响应的网络分组的任何部分来确定评估的结果。
响应评估器412可以任何形式提供评估结果。在一些实施例中,响应评估器412提供数值作为结果。在其他实施例中,响应评估器412提供任何字符串或文本作为结果。一些实施例中,响应评估器412提供符号、字符、数字和字母的任一组合作为结果。一些实施例中,响应评估器412提供任意类型和形式的命令、指令或可执行指令作为评估的结果。一些实施例中,响应评估器412提供任意类型和形式的表达式作为结果。在这些实施例的一些中,响应评估器412以策略424的语言的形式提供表达式。
策略424可包括和/或提供任意类型或形式的逻辑、表达式或功能以便定义一个或多个调出规则434和对于每个规则434的一个或多个动作456。调出规则434可提供关于何时以及如何采取动作456的任何一个或多个条件或规范。动作456可被指定和配置为响应调出规则434或动作456的任何表达式的结果。策略424可被应用于所接收的、拦截的或以其他方式穿过中间设备200的任何一个或多个通信。
调出策略424经由一个或多个调出规则434确定如何产生请求452以及如何处理对该请求442的响应442。可以由管理员或程序员来定义调出规则434。可以由任何服务或系统来定义、配置或指定调出规则434。可使用任何编程语言、脚本语言或表达语言来指定调出规则434,这些语言可以是商业的、私有的、开源的或其他。一个实施例中,可使用由位于佛罗里达州FT.Lauderdale的Citrix Systems公司制造的Citrix Access Gateway或NEtscaler装置的任何实施例提供的,有时被称为CITRIX策略架构(PI)表达式的策略编辑器、语言或工具的任一实施例来定义调出规则434。
策略424可在中间设备上进行配置并可能被策略引擎236访问。可在中间设备的存储或存储器中存储策略。一些实施例中,策略可被包含或配置到策略引擎中。一些实施例中,策略424可驻留在网络104所连接的任何联网的节点上,例如中间设备200或服务器106。而且,可经由任意类型或形式的接口在执行策略424的网络装置上对策略424进行本地配置,或者跨越网络104,例如在客户装置102上对策略424进行远程配置。例如,可经由如结合图2A描述的CLI212、壳服务214或GUI210的任何一个来配置策略424。
策略424可包括用于指定、配置或指导调出或调出规则434的操作和功能的任意类型和形式的属性。可以由管理员提供属性422或者从来到中间设备200的网络分组确定属性422。也可以在中间设备200中提供并存储属性422的缺省集,或者在策略424中配置属性422。中间设备200或任何其他网络元件可提供用于存储一个或多个属性422和/或调出规则434的存储,例如与图1E、1F和2A有关的上文所描述的存储128、存储器264和主存储器122。来自管理员的一个或多个属性的组合、到来的网络分组和属性的缺省集可被用于基于至少一个调出规则434来配置请求452。属性422的值可以是任何数据类型,例如文本、数字或布尔。被指定为表达式的属性422可以由调出模块414求出其值,之后使用该值来产生请求452。其他实施例中,被指定为表达式的属性422可以被包含在请求452中以便在请求452的目的地来对其求值。
属性422可以包括任意类型或形式的信息或表达式。可使用任何编程语言、脚本语言或表达语言来构造表达式,这些语言可以是商业的、私有的、开源的或其他。例如,在一些实施例中,CITRIX策略架构(PI)表达式可用于指定属性422。可通过在中间设备200的软件和/或硬件的变化来更新对任何具体版本的语言的支持。一些实施例中,一类PI表达式可由某些策略434而非其他来支持。例如,异步PI表达式可由一些策略434支持。一些实施例中,异步PI表达式是阻塞其他表达式的执行或求值直到异步PI表达式完成求值为止的表达式。在CITRIX NETSCALER环境中异步PI表达式的例子是HTTP.RES.BODY(1000)和CLIENT.IP.DEST.MATCHES(foo.com″)。
属性422可以指定、配置或者可以识别将要由调出功能414产生的请求452的任何部分。例如,一个或多个属性422可指定、定义或配置用于产生请求的格式、命令、指令、头部、主体、参数、数据、值、类型、版本或协议。一个或多个属性422也可指定用于产生和/或传输请求的任何验证、授权和审核的配置或信息。一些实施例中,属性422可识别目的节点(例如服务器106)以便向其传输请求452。目的地可以是网络104所连接的任何网络节点,或由中间设备200提供的任何vserver275,或另一个网络节点。属性422可以指定接收请求452的目的节点的IP地址、域名或端口。属性422还可以为请求452指定头部的名称或头部的值。头部的名称可以是任何数据类型的字符串并具有对应的头部的值。属性422也可以指定vserver275作为目的地以用于定向请求452。此外,对于HTTP类型的请求452,属性422可指定统一资源定位符(URL)的至少一部分。一些实施例中,属性422可指定用于产生上述目标值的任何部分的表达式。可以使用任何复杂度的PI表达式来产生上述目标值的任何部分。例如,属性422可指定表达式,所述表达式用于产生请求452的主机头或URL的一部分。上述属性422的任一组合可用于指定请求452的目的地。
在HTTP调出的一个实施例中,属性422可指定HTTP提交方式,诸如“GET”方式和“POST”方式。例如,如果HTTP表单处理是幂等的,或纯粹代表查询,则可以使用“GET”方式。当存在数据检索、存储或更新的至少一个时,可使用“POST”方式。
属性422还可以为请求452指定参数名或参数值之一。参数名或参数值可被包含在调出请求452中。每个参数名可具有对应的参数值。例如,在HTTP调出中,如果请求452被指定为使用“GET”方式,那么参数名可被包含在URL请求中。又一个例子中,如果请求452被指定为使用“POST”方式,那么参数名可被包含在请求452的主体中。参数名可以是任何数据类型的字符串。将参数名插入请求452的顺序可能影响或不影响调出响应442。另外,可以从任何复杂度的策略表达式来求参数的值。在HTTP调出请求442的实施例中,参数值还可以被编码、加密或模糊。
用户在当配置用于传输请求452和响应442的策略424时可指定超文本传输协议(HTTP)的类型。所支持的协议可包括简单HTTP或通过安全套接字层的超文本传输协议(HTTPS)。传输层安全(TLS)可用于HTTPS中来代替安全套接字层(SSL)。当发送类似验证信息的敏感数据时,可以使用HTTPS事务。在这种情况下,HTTP vserver275可以用作对HTTPS通信的前端系统,而SSL后端用于与目的节点通信。如上所述,属性422可指定vserver275用于定向HTTP类型的请求452。例如,在CITRIX NETSCALER环境的实施例中,可使用“add 1b/cs/cr vserver”命令来添加vServer275。
属性422可以指定、配置或者识别响应的任何部分用于调出功能或响应评价器的评估。一些实施例中,属性可指定要从成功的响应442接收的期望的内容、代码或值。一些实施例中,属性422可指定要为其评估响应442的数据、值或内容的名称、位置或标识符。属性422可指定经由响应442发生或被包括在响应442中的任何错误代码或错误消息。属性422可以指定用于等待响应442的超时时间段。属性422可以指定用于验证和/或授权响应442的任何安全或验证信息。
调出可支持包括策略表达式中变量的响应422,其中可存储和检索变量值用于稍后的使用。调出还可具有被硬编码为常数值而没被存储的参数值,在这种情形下可要求第二调出在稍后的时刻获得该参数值。例如,在一些实施例中,HTTP调出中的策略表达式可具有将要被硬编码的硬编码参数值。一个实施例中,用户标识符(userid)值是从第一HTTP调出检索的,在另一时刻又要求用户标识符的值时,第二HTTP调出被用于第二次检索用户标识符的值。
可使用下列形式的CLI212、壳服务214或GUI210中的命令来配置HTTP调出策略424的一个实施例以添加策略:
add policy httpCallout<name>
例如,“add policy httpCallout auth_call”可添加具有缺省行为的HTTP调出策略424。HTTP调出的名称可以是任何有效的实体名称并可用于SYS.HTTP CALLOUT PI表达式中,例如,SYS.HTTP CALLOUT(auth_call)。以这种方式配置的缺省HTTP调出可例如在请求452中使用“GET”HTTP方式。如果是无效地指定的实体名称,或在任何其他故障情景中,SYS.HTTP_CALLOUT PI表达式可产生“未定义”(UNDEF)事件用于根据策略424来处理。
缺省HTTP调出请求452可包括任意类型和形式的头部信息,如HTTP头部信息。可指定用于策略424的属性422来配置策略424,或从缺省行为修改策略424。例如,用户可指定额外的头部的名称或头部的值来覆盖标准的头部信息。作为例子,可以使用如下命令语法的实施例来为HTTP调出策略424指定属性422:
-returnType 一些实施例中对于文本、数字或布尔可以分别为的TEXT、NUM或BOOL。
-IP Address 向其传输调出请求的装置的IP地址。
-port 向其传输调出请求的装置的端口。
-vserver 设备的vserver之一。
-httpMethod 在一些实施例中可以是GET或POST。
-hostExpr 用于提供主机头的值的策略表达式。
-urlStemExpr 用于产生URL请求的一部分(例如URL主干(stem))的策略表达式。
-headers 要被插入到请求中的头部信息。
-parameters 被包含在请求中的参数信息。一些实施例中,如果请求具有GET方式,这些参数名可以被放在URL查询中,或者如果请求具有POST方式,这些参数被放在主体中。可使用策略表达式来计算参数值。参数值可以是URL编码的。
-fullReqExpr产生整个请求或部分请求的策略表达式或逻辑。一些实施例中,用户配置表达式以提供良好构成的和/或期望的请求。一些实施例中,如果指定了完整的请求,那么可以忽略或不指定其他参数。
中间设备200经由调出功能414可产生如策略424的一个或多个表达式所指定的请求452。例如,一个或多个表达式可被指定为-fullReqExpr命令行开关的参数。如果指定了一个或多个表达式,可以忽略或可以不指定所有其他的参数或属性。一个实施例中,当指定完整的请求表达式时,由用户负责配置策略424以便产生有效的请求452;系统不执行任何有效性检查。又一个实施例中,中间设备200可发送缺省请求452并评估对请求452的响应442以检查有效性。用户也可设置中间设备200来验证所产生的请求452,例如,通过设置变量ns_hc_validate_request为1:
nsapimgr-B″w ns_hc_validate_request 1″
可响应于客户装置102和多个服务器106之间的通信,例如由中间设备拦截的分组或消息,来产生请求452。调出策略424可在确定动作456之前产生请求452以请求响应442,而不是处理分组并将分组路由到一个或多个服务器106。还可响应于管理行为,例如为负载平衡的目的而轮询服务器106,来产生请求452。响应于从调出功能452接收请求452,诸如服务器106的网络节点可产生响应442。由调出功能452接收响应442,其可包括任何类型或形式的信息,例如文本串、数值或布尔值或表达式。
调出功能414中的响应评估器412可对于所接收的对请求452的响应442执行多个处理步骤。响应评估器412可以解压缩表示响应442的分组。响应评估器412也可解码被编码在响应中的数据。对于HTTP类型的响应442消息,响应评估器412可解析消息以便提取所返回的值或表达式。此外,可通过对值或表达式应用表达式(例如PI表达式)来从所返回的值或表达式确定结果。管理员可配置PI表达式以评估所返回的值或表达式的结果,例如在上文所提及的且下文进一步描述的-resultExpr命令行开关的参数中。基于策略424所提供的一个或多个调出规则434,可从该结果识别动作456。因此,中间设备经由响应评估器412从基于响应442的内容评估表达式来确定策略424的动作456。所识别的动作可包括任何数量的处理步骤。可将结果缓存以用于稍后的处理,或将所识别的动作发送到队列用于处理或由中间设备200立即执行。
所指定的与策略424关联的属性422可以识别由对请求452的响应422所返回的值或表达式的数据类型。一个实施例中,属性被指定为-return_type命令行开关的参数。有效的数据类型可包括文本、数字或布尔型。在-returnExpr参数中所指定的PI表达式的数据类型应该匹配在“setpolicy”命令中所指定的-retrun_type参数。可在-resultExpr参数中指定异步PI表达式。数据类型能控制在评估结果以识别动作中SYS.HTTP_CALLOUT PI表达式是如何被扩展的。例如,如果返回的类型是文本,则下面的扩展是有效的:SYS.HTTP_CALLOUT(auth_call).CONTAINS(″foobar″);如果返回的类型是数值,则下面的扩展是有效的:SYS.HTTP_CALLOUT(auth_call).GT(500)。
用户可访问与所配置的调出策略424相关联的多个统计数据。可以经由CLI212、壳服务214或GUI210来访问这些统计数据的一个或多个。例如,下面的命令提供对HTTP服务调出的计数器:
nsconmsg-d stats|grep hc_
基于这些统计数据,用户可配置或重配置策略434和/或调出规则434的任何部分。
现参考图5,示出了描述用于由中间设备200使用由策略指定的请求和响应来确定动作的方法的步骤的实施例的流程图。总的来说,在步骤501,用户配置策略424并为请求指定包括接收该请求的服务器的属性422。在步骤503,中间设备200响应于所指定的属性产生请求。在步骤505,中间设备200将所产生的请求传输到服务器。在步骤507,中间设备200从服务器接收对该请求的响应。在步骤509,中间设备200评估所接收的响应。在步骤511,中间设备200基于该评估来确定策略424的动作456。
在步骤501的进一步的细节中,用户使用调出规则434配置策略424。在一些实施例中,用户配置将要应用于客户机与一个或多个服务器之间的通信的策略424。一些实施例中,可由中间设备200建立策略424,例如经由缺省配置。策略424的配置可指定用于产生和传输请求的一个或多个属性。用户可指定一个或多个属性422来配置策略424。可指定包括一个或多个表达式的属性422以定义请求452。用户可指定服务器106或网络节点来接收请求452。用户还可指定表达式用于为请求452产生主机头或URL的一部分。此外,用户可为服务器106或目的网络节点指定IP地址、域名或端口之一。用户还可为请求452指定头部的名称或头部的值以便配置策略424。另外,用户也可在策略424中定义一个或多个调出规则434。可指定属性422来识别HTTP请求452的类型或方式用于调出。用户还可以为请求452指定参数名或参数值。而且,用户可指定要在对请求452的响应442中接收的值的类型。
在步骤503,中间设备200根据所配置的策略424或者按照所配置的策略424的指导来产生请求。一些实施例中,中间设备200响应于网络分组或通信的接收和/或评估来触发、应用或执行策略424。一个实施例中,中间设备200响应于另一个策略的触发、应用或执行来触发或应用具有调出规则434的策略424。调出功能414或策略引擎236可响应于和/或根据任何属性422来产生请求452。调出功能414可至少部分地基于由策略424所提供的一个或多个调出规则434来产生请求452。调出功能414可至少部分地基于指定来配置策略424的一个或多个属性422来产生请求452。调出功能414可至少部分地基于使用在中间设备200的存储或存储器装置中所存储的缺省值的一个或多个属性422来产生请求452。调出功能414也可基于与策略424相关联的一个或多个所指定的表达式来产生请求452。调出功能414可至少部分地基于由从中间设备200拦截的消息或分组中所提取的数据所指定的一个或多个属性来产生请求452。中间设备200可经由调出功能414验证所产生的消息452。中间设备200可使用来自策略424的一个或多个调出规则434来验证所产生的消息452。中间设备200可使用为策略424指定的一个或多个属性422来验证所产生的消息452。一些实施例中,所产生的请求是对于HTTP类型的服务的URL请求。
一些实施例中,调出功能414可产生多个请求452。多个请求452的每个可以是为相同的目的节点或是为不同的目的节点产生的。调出功能414可产生至少一个阻塞请求452,其在下一个请求可能被发送之前要求响应442。调出功能414可产生可被同时或依次发出的两个或多个非阻塞请求452,而不考虑中间设备200何时可能收到这些请求的响应422。一些实施例中,调出功能414并发或依次传输任何的这些请求。一些实施例中,中间设备将请求452传输到应用、系统或服务。
在步骤505的进一步的细节中,在一个实施例中,中间设备200将所产生的请求传输到服务器。中间设备200可将所产生的请求452传输到经由策略424指定为目的地的联网的节点。中间设备200可响应于请求452的产生来传输请求452。中间设备200可传输阻塞请求452并在发生下一个请求之前等待响应422。在一些实施例中,中间设备200可传输异步请求。中间设备200可同时或依次传输的两个或多个非阻塞请求452,而不考虑中间设备200何时可能收到这些请求的响应422。一些实施例中,调出功能414经由中间设备200的网络引擎来传输请求452。其他实施例中,调出功能414经由调出功能414的发送器或策略引擎236来传输请求452。
在步骤507的进一步的细节中,在一个实施例中,中间设备200从诸如服务器106的目的地接收任意类型和形式的对请求452的响应442。接收请求452的网络节点可产生响应442。一些实施例中,在网络节点和调出功能414之间的中间设备200可修改响应442。中间设备200可经由调出功能414的接收器来接收响应452。响应442可包括对于HTTP-类型服务的URL响应。一些实施例中,中间设备200没有收到响应442并触发超时。其他实施例中,中间设备200接收在传输请求452时出现错误的指示。一些实施例中,中间设备200接收来自目的地的在处理请求442时发生错误的指示。
在步骤509的进一步的细节中,在一个实施例中,中间设备200评估所接收的响应442。中间设备200可评估整个响应或响应442的任何部分。中间设备200可经由响应评估器412来评估所接收的响应442以便确定该响应442中所包含的信息是否匹配为策略424指定的数据类型。中间设备200可经由响应评估器412使用包含在请求442中的信息的表达式来评估所接收的响应442。中间设备200可经由响应评估器412验证所接收的响应442。如果所接收的响应442被确定为无效,中间设备可发出错误或警告,或可产生另一个请求452’。
在步骤511的进一步的细节中,在一个实施例中,中间设备200基于评估的结果来确定策略424的动作。一些实施例中,策略424的动作456是由策略424指定的。中间设备200可响应于对所接收的响应442的评估来识别策略424的动作456。中间设备200可响应于对所接收的响应442的验证来识别策略424的动作456。中间设备200可基于由策略424所提供的一个或多个调出规则434来识别策略424的动作456。一些实施例中,策略424的动作456基于来自同一或不同策略的其他响应的结果。
中间设备200可将所识别的动作456放在队列中,或者可立即执行所识别的动作456。一个实施例中,存储动作456直到另一个或多个策略被评估或响应被评估为止。所识别的动作456可包括一个或多个步骤。动作456可包括由中间设备或中间设备的任何部分可执行的任何操作、功能或逻辑。例如,策略424的动作456可执行中间设备200的任何通信量管理、防火墙、SSL VPN、加速或应用传送的特征。中间设备200可基于所识别的动作456处理所拦截的消息或分组。例如,基于所识别的动作456,所拦截的消息或分组可被加密、压缩、重新路由、排队或丢弃。中间设备200也可基于所识别的动作456将所拦截的消息或分组路由到目的地。
应该理解,此处描述的系统可提供多个组件或每个组件并且这些组件可以在单独机器上提供,或者在一些实施例中,可在分布式系统的多个机器上提供。此外,上述系统和方法可作为一件或多件产品上所体现的或在其中的一个或多个计算机可读程序而被提供。所述产品可以是软盘、硬盘、CD-ROM,闪存卡、PROM、RAM、ROM或磁带。通常,计算机可读程序可以任何编程语言来实现,如LISP、PERL、C、C++、C#、PROLOG,或者诸如JAVA的任何字节码语言。软件程序可以作为目标代码被存储在一件或多件产品上或其中。
尽管已经参考具体实施例对本发明进行了详细的显示和描述,但对本领域技术人员应该理解可以在其中进行形式和细节上的各种变化而不脱离由下列权利要求定义的精神和范围。
Claims (20)
1.一种用于由中间设备使用由策略指定的请求和响应来确定策略的动作的方法,所述中间设备接收客户机和一个或多个服务器之间的通信,所述方法包括:
a)由中间设备为客户机和一个或多个服务器之间的通信识别策略,所述策略指定请求和要向其传递该请求的服务器;
b)由中间设备根据所述策略来产生由策略指定的请求;
c)由中间设备响应于所述策略来将由策略指定的请求传输到由策略指定的服务器;以及
d)由中间设备基于对应于由策略指定的请求的服务器响应来确定策略的动作。
2.根据权利要求1所述的方法,其中步骤(a)还包括由策略指定超文本传输协议(HTTP)请求的类型。
3.根据权利要求1所述的方法,其中步骤(a)还包括由策略指定表达式,所述表达式用于为请求产生主机头或统一资源定位符(URL)的一部分的其中之一。
4.根据权利要求1所述的方法,其中步骤(a)还包括由策略指定用于服务器的IP地址、域名或端口的其中之一。
5.根据权利要求1所述的方法,其中步骤(a)还包括由策略指定用于请求的头部的名称或头部的值的其中之一。
6.根据权利要求1所述的方法,其中步骤(a)还包括由策略指定要被响应接收的值的类型。
7.根据权利要求1所述的方法,其中步骤(a)还包括由策略指定用于请求的参数名或参数值的其中之一。
8.根据权利要求1所述的方法,其中步骤(b)还包括由中间设备产生由策略的一个或多个表达式指定的请求。
9.根据权利要求8所述的方法,其中步骤(b)还包括由中间设备验证所产生的请求。
10.根据权利要求1所述的方法,其中步骤(d)还包括由中间设备从基于响应的内容求表达式的值来确定策略的动作。
11.一种用于由中间设备使用由策略指定的请求和响应来确定策略的动作的装置,所述中间设备接收客户机和一个或多个服务器之间的通信,所述装置包括:
用于由中间设备为客户机和一个或多个服务器之间的通信识别策略的模块,所述策略指定请求和要向其传递该请求的服务器;
用于由中间设备根据所述策略来产生由策略指定的请求的模块;
用于由中间设备响应于所述策略来将由策略指定的请求传输到由策略指定的服务器的模块;以及
用于由中间设备基于对应于由策略指定的请求的服务器响应来确定策略的动作的模块。
12.根据权利要求11所述的装置,其中策略指定超文本传输协议(HTTP)请求的类型。
13.根据权利要求11所述的装置,其中策略指定表达式,所述表达式用于为请求产生主机头或统一资源定位符(URL)主干的一部分的其中之一。
14.根据权利要求11所述的装置,其中策略指定用于服务器的IP地址、域名或端口的其中之一。
15.根据权利要求11所述的装置,其中策略指定用于请求的头部的名称或头部的值的其中之一。
16.根据权利要求11所述的装置,其中策略指定要被响应接收的值的类型。
17.根据权利要求11所述的装置,其中策略指定用于请求的参数名或参数值的其中之一。
18.根据权利要求11所述的装置,其中所述中间设备产生由策略的一个或多个表达式所指定的请求。
19.根据权利要求18所述的装置,其中所述中间设备验证所产生的请求。
20.根据权利要求11所述的装置,其中所述中间设备从基于响应的内容求表达式的值来确定策略的动作。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/277,759 | 2008-11-25 | ||
| US12/277,759 US8955033B2 (en) | 2008-11-25 | 2008-11-25 | Systems and methods for HTTP callouts for policies |
| US12/277759 | 2008-11-25 | ||
| PCT/US2009/065736 WO2010068446A1 (en) | 2008-11-25 | 2009-11-24 | Systems and methods for http callouts for policies |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102292708A CN102292708A (zh) | 2011-12-21 |
| CN102292708B true CN102292708B (zh) | 2014-05-28 |
Family
ID=41651339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980155323.5A Active CN102292708B (zh) | 2008-11-25 | 2009-11-24 | 用于策略的http调出的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8955033B2 (zh) |
| EP (1) | EP2359241B1 (zh) |
| CN (1) | CN102292708B (zh) |
| WO (1) | WO2010068446A1 (zh) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8560938B2 (en) | 2008-02-12 | 2013-10-15 | Oracle International Corporation | Multi-layer XML customization |
| US8538998B2 (en) | 2008-02-12 | 2013-09-17 | Oracle International Corporation | Caching and memory optimizations for multi-layer XML customization |
| US8788542B2 (en) * | 2008-02-12 | 2014-07-22 | Oracle International Corporation | Customization syntax for multi-layer XML customization |
| US8875306B2 (en) * | 2008-02-12 | 2014-10-28 | Oracle International Corporation | Customization restrictions for multi-layer XML customization |
| US8966465B2 (en) | 2008-02-12 | 2015-02-24 | Oracle International Corporation | Customization creation and update for multi-layer XML customization |
| US8782604B2 (en) * | 2008-04-11 | 2014-07-15 | Oracle International Corporation | Sandbox support for metadata in running applications |
| US8667031B2 (en) * | 2008-06-13 | 2014-03-04 | Oracle International Corporation | Reuse of shared metadata across applications via URL protocol |
| US8776038B2 (en) | 2008-08-07 | 2014-07-08 | Code Systems Corporation | Method and system for configuration of virtualized software applications |
| US8434093B2 (en) | 2008-08-07 | 2013-04-30 | Code Systems Corporation | Method and system for virtualization of software applications |
| US8996658B2 (en) * | 2008-09-03 | 2015-03-31 | Oracle International Corporation | System and method for integration of browser-based thin client applications within desktop rich client architecture |
| US8799319B2 (en) | 2008-09-19 | 2014-08-05 | Oracle International Corporation | System and method for meta-data driven, semi-automated generation of web services based on existing applications |
| US9122520B2 (en) * | 2008-09-17 | 2015-09-01 | Oracle International Corporation | Generic wait service: pausing a BPEL process |
| US8332654B2 (en) * | 2008-12-08 | 2012-12-11 | Oracle International Corporation | Secure framework for invoking server-side APIs using AJAX |
| US8856737B2 (en) | 2009-11-18 | 2014-10-07 | Oracle International Corporation | Techniques for displaying customizations for composite applications |
| US8954958B2 (en) | 2010-01-11 | 2015-02-10 | Code Systems Corporation | Method of configuring a virtual application |
| US9104517B2 (en) | 2010-01-27 | 2015-08-11 | Code Systems Corporation | System for downloading and executing a virtual application |
| US8959183B2 (en) | 2010-01-27 | 2015-02-17 | Code Systems Corporation | System for downloading and executing a virtual application |
| US9229748B2 (en) | 2010-01-29 | 2016-01-05 | Code Systems Corporation | Method and system for improving startup performance and interoperability of a virtual application |
| US8763009B2 (en) | 2010-04-17 | 2014-06-24 | Code Systems Corporation | Method of hosting a first application in a second application |
| US8782106B2 (en) | 2010-07-02 | 2014-07-15 | Code Systems Corporation | Method and system for managing execution of virtual applications |
| US9021015B2 (en) | 2010-10-18 | 2015-04-28 | Code Systems Corporation | Method and system for publishing virtual applications to a web server |
| US9209976B2 (en) | 2010-10-29 | 2015-12-08 | Code Systems Corporation | Method and system for restricting execution of virtual applications to a managed process environment |
| CN103403707B (zh) | 2010-12-28 | 2017-11-14 | 思杰系统有限公司 | 用于数据库代理请求交换的系统和方法 |
| US9589029B2 (en) * | 2010-12-28 | 2017-03-07 | Citrix Systems, Inc. | Systems and methods for database proxy request switching |
| US8954942B2 (en) | 2011-09-30 | 2015-02-10 | Oracle International Corporation | Optimizations using a BPEL compiler |
| CN103095783B (zh) * | 2011-11-08 | 2015-10-14 | 阿里巴巴集团控股有限公司 | 一种调试Web应用的方法及装置 |
| DE102012200042A1 (de) * | 2012-01-03 | 2013-07-04 | Airbus Operations Gmbh | Serversystem, luft- oder raumfahrzeug und verfahren |
| US9088491B2 (en) * | 2012-03-07 | 2015-07-21 | Citrix Systems, Inc. | Systems and methods for comparing configuration files and generating corrective commands |
| US8539080B1 (en) * | 2012-12-18 | 2013-09-17 | Microsoft Corporation | Application intelligent request management based on server health and client information |
| US9823951B2 (en) | 2013-02-27 | 2017-11-21 | International Business Machines Corporation | Link optimization for callout request messages |
| US9699141B2 (en) * | 2013-04-03 | 2017-07-04 | Symantec Corporation | Method and apparatus for integrating security context in network routing decisions |
| US9130996B1 (en) * | 2014-03-26 | 2015-09-08 | Iboss, Inc. | Network notifications |
| US9871849B2 (en) * | 2014-05-20 | 2018-01-16 | Citrix Systems, Inc. | Systems and methods for just-in-time state sharing |
| US20160149961A1 (en) * | 2014-11-25 | 2016-05-26 | Electronics And Telecommunications Research Institute | Adaptive voice communication system and method based on hypertext transport protocol |
| US10909186B2 (en) | 2015-09-30 | 2021-02-02 | Oracle International Corporation | Multi-tenant customizable composites |
| CN107026821B (zh) * | 2016-02-01 | 2021-06-01 | 阿里巴巴集团控股有限公司 | 报文的处理方法及装置 |
| CN108512889B (zh) * | 2018-01-12 | 2021-07-02 | 深圳壹账通智能科技有限公司 | 一种基于http的应用响应推送方法及代理服务器 |
| CN111245559B (zh) * | 2018-11-29 | 2023-04-18 | 阿里巴巴集团控股有限公司 | 信息确定方法、信息判断方法、装置及计算设备 |
| CN109413114B (zh) * | 2018-12-28 | 2021-08-10 | 安徽长泰信息安全服务有限公司 | 一种网络入侵防御系统 |
| US11770388B1 (en) | 2019-12-09 | 2023-09-26 | Target Brands, Inc. | Network infrastructure detection |
| CN115185616B (zh) * | 2022-09-14 | 2022-12-13 | 深圳依时货拉拉科技有限公司 | 业务规则引擎装置及业务规则引擎的处理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1484886A2 (en) * | 2003-06-06 | 2004-12-08 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| CN1574839A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 多层防火墙结构 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226684B1 (en) * | 1998-10-26 | 2001-05-01 | Pointcast, Inc. | Method and apparatus for reestablishing network connections in a multi-router network |
| WO2004107132A2 (en) * | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Method, system and software for state signing of internet resources |
| JP5091569B2 (ja) * | 2007-07-11 | 2012-12-05 | 株式会社日立製作所 | サービス毎通信制御装置、システム及び方法 |
-
2008
- 2008-11-25 US US12/277,759 patent/US8955033B2/en active Active
-
2009
- 2009-11-24 EP EP09796871.3A patent/EP2359241B1/en active Active
- 2009-11-24 WO PCT/US2009/065736 patent/WO2010068446A1/en active Application Filing
- 2009-11-24 CN CN200980155323.5A patent/CN102292708B/zh active Active
-
2014
- 2014-08-15 US US14/461,248 patent/US9628571B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1484886A2 (en) * | 2003-06-06 | 2004-12-08 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| CN1574839A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 多层防火墙结构 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2359241A1 (en) | 2011-08-24 |
| CN102292708A (zh) | 2011-12-21 |
| US8955033B2 (en) | 2015-02-10 |
| US20100132009A1 (en) | 2010-05-27 |
| WO2010068446A1 (en) | 2010-06-17 |
| US20140380410A1 (en) | 2014-12-25 |
| US9628571B2 (en) | 2017-04-18 |
| EP2359241B1 (en) | 2018-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102292708B (zh) | 用于策略的http调出的系统和方法 | |
| CN102292961B (zh) | 用于对由域名服务(dns)获得的ip地址进行转换的系统和方法 | |
| CN102292955B (zh) | 用于负载平衡实时流传输协议的系统和方法 | |
| CN102301338B (zh) | 用于基于健康的溢出的系统和方法 | |
| CN102292960B (zh) | 用于基于ssl vpn用户进行全局服务器负载平衡的系统和方法 | |
| CN102301677B (zh) | 用于全局服务器负载平衡站点持续的系统和方法 | |
| CN102460391B (zh) | 用于在应用传送结构中提供虚拟设备的系统和方法 | |
| CN101632067B (zh) | 用于终端用户体验监控的系统和方法 | |
| CN101984778B (zh) | 用于细粒度策略驱动的cookie代理的系统和方法 | |
| CN101981887B (zh) | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 | |
| CN103403707B (zh) | 用于数据库代理请求交换的系统和方法 | |
| CN102763368B (zh) | 用于跨站点伪造保护的方法和系统 | |
| CN102246489B (zh) | 对通过http的异步消息通信进行连接管理的系统和方法 | |
| CN101981888B (zh) | 用于ssl vpn免客户机访问的策略驱动的细粒度url编码机制 | |
| CN102132255B (zh) | 故障切换时使用备份虚拟服务器的指标通过多个虚拟服务器负载平衡的系统和方法 | |
| CN102783090B (zh) | 用于多核系统中的对象速率限制的系统和方法 | |
| CN104322010B (zh) | 用于比较配置文件和生成校正命令的系统和方法 | |
| CN102549985B (zh) | 用于为互联网协议加速设备提供多核结构的系统和方法 | |
| CN102224722A (zh) | 用于对象速率限制的系统和方法 | |
| CN103765851A (zh) | 用于到任何服务的透明的层2重定向的系统和方法 | |
| CN103154895A (zh) | 用于在多核系统中的核上管理cookie代理的系统和方法 | |
| CN103503424A (zh) | 用于实现多核系统中的连接镜像的系统和方法 | |
| CN102549984A (zh) | 在多核架构中分组引导的系统和方法 | |
| CN102577302A (zh) | 用于在具有流量管理的连接中使用端点审计的系统和方法 | |
| CN103548022A (zh) | Utf-8模式匹配系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |