CN103384250A - 用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 - Google Patents
用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 Download PDFInfo
- Publication number
- CN103384250A CN103384250A CN2013102924122A CN201310292412A CN103384250A CN 103384250 A CN103384250 A CN 103384250A CN 2013102924122 A CN2013102924122 A CN 2013102924122A CN 201310292412 A CN201310292412 A CN 201310292412A CN 103384250 A CN103384250 A CN 103384250A
- Authority
- CN
- China
- Prior art keywords
- network
- application
- client
- equipment
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于SSL/VPN业务的基于应用的拦截和授权的系统和方法。用于由客户端的代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法包括基于通信发起的应用的标识来拦截通信的步骤。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用,并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。所描述的另一个方法用于由设备允许或者拒绝客户端上的应用经由虚拟专用网络连接访问资源,包括基于决策依据应用的标识以允许或者拒绝访问。基于应用的标识,设备将拦截的请求与授权策略相关联。设备使用授权策略和应用的标识确定允许或者拒绝由应用访问资源。
Description
本申请为申请号为200780037175.8、申请日为2007年8月2日、发明名称为“用于SSL/VPN业务的基于应用的拦截和授权的系统和方法”的申请的分案申请。
发明领域
本发明总的涉及安全数据通信网络,并且更具体地,本发明涉及用于通过以更细粒度为基础拦截和授权SSL/VPN数据通信来增加数据通信网络的安全的系统和方法。
背景技术
虚拟专用网络为客户端计算机的用户提供对处于公用网络时远程资源的安全访问。许多虚拟专用网络使用网络设备来提供到客户端的安全连接。例如,用户可以通过连接到管理多个虚拟专用网络连接的网络设备来访问包括应用、web站点和文件的资源。在许多例子中,与客户端关联的代理程序基于用于发送通信的地址来识别意于虚拟专用网络的网络通信。
但是,该技术存在许多缺陷。由于对应于地址范围的所有业务被发送到虚拟专用网络,所以无论是否正确地发送到网络,必须建立鲁棒的授权策略,以将适当的虚拟专用网络业务和不应该在虚拟专用网络上发送的业务过滤开。该策略难以建立并且难以保持。同样,由于恶意用户可以使用具有正确的地址范围的数据业务来对虚拟专用网络意于保护的数据中心产生危害,所有数据中心到虚拟专用网络的一般路由(无论是否合适)都能造成安全风险。
因此,期望提供以更细的粒度而不是子网识别为基础来在虚拟专用网络环境中路由数据的系统和方法。
发明内容
在一个方面,本发明涉及用于在虚拟专用网络上拦截客户端到目的地的通信的方法。拦截的决策基于被授权经由虚拟专用网络访问的应用的网络目的描述。在客户端上执行的代理拦截客户端的网络通信。代理提供从第一网络到第二网络的虚拟专用网络连接。代理确定所拦截通信指定的目的地对应于被授权经由虚拟专用网络访问的第二网络上的应用的网络目的描述的网络标识符和端口。响应于此确定,代理发送所拦截的通信。
在一些实施例中,代理确定网络通信不对应于应用的网络目的描述并且经由第一网络来发送所拦截的网络通信。在其他实施例中,代理确定网络通信不对应于应用的网络目的描述并且丢弃所拦截的网络通信。仍在其他实施例中,代理确定客户端的网络标识符和端口对应于应用的网络目的描述的源互联网协议地址和源端口。仍在其他实施例中,代理确定网络通信被格式化的协议的类型对应于应用的网络目的描述指定的协议。在又一些实施例中,代理确定不拦截指定到第二应用的客户端上的第二网络通信,该第二应用未被授权经由虚拟专用网络连接来访问第二网络。在一些这样的实施例中,代理拦截对于应用或者客户端的用户的其中之一透明的网络通信。
在另一方面,本发明涉及用于由设备提供通过客户端上的应用经由虚拟专用网络连接来访问资源的访问级别的方法。允许或者拒绝访问级别的决策基于应用的标识。设备拦截第一网络上的客户端的应用经由虚拟专用网络连接访问第二网络上资源的请求。基于应用的标识,设备识别该应用并且将所拦截的请求与授权策略相关联。设备使用授权策略和应用的标识来确定允许或者拒绝应用访问资源。
在一些实施例中,代理发送应用的名称给设备。在另一个这样的实施例中,应用的名称被用作应用的标识符。在其他实施例中,代理建立经由设备到第二网络的虚拟专用网络连接。仍在其他实施例中,授权策略指定应用的名称和访问或者拒绝访问级别的授权。在一些这样的实施例中,设备将应用的授权策略与客户端的用户相关联。在其他这样的实施例中,设备基于客户端的用户来识别应用的授权策略。
在又一方面,本发明涉及由客户端代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法。该拦截是基于通信发起的应用的标识。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。
在以下附图和描述中提出本发明的不同实施例的细节。
附图说明
该发明的这些和其他对象、方面、特征和优点参见下述结合附图的细节描述将会更加明显并更好理解,其中:
图1A是对于客户端通过设备访问服务器的网络环境的实施例的框图;
图1B是用于通过设备从服务器传送计算环境到客户端的环境的实施例的框图;
图1C和1D是计算装置的实施例的框图;
图2A是用于处理客户端和服务器之间的通信的设备的实施例的框图;
图2B是用于优化、加速、负载平衡和路由客户端和服务器之间的通信的设备的另一个实施例的框图;
图3是客户端通过设备与服务器通信的实施例的框图;
图4是客户端侧细粒度拦截机制的实施例的框图;
图5为描述实现客户端侧细粒度拦截技术的方法的实施例的的步骤的框图;和
图6是用于实现由设备基于应用的标识通过应用提供访问级别的方法的实施例的步骤的流程图。
从下面结合附图所提出的具体实施方式将更加明了本发明的特征和优点,其中,全文中相同的参考特征标识对应的元件。附图中,相同的附图标记通常指示相同的、功能类似、和/或结构类似的元件。
具体实施方式
A、网络和计算环境
在讨论设备和/或客户端的系统和方法的具体实施例之前,讨论在这些实施例中配置的网络和计算环境可能是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括通过一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n通信(同样总的称为服务器106,或远程机器106)的一个或多个客户端102a-102n(同样总的称为本地机器102,或客户端102)。在一些实施例中,客户端102通过设备200与服务器106通信。
虽然图1A示出了在客户端102和服务器106间的网络104和网络104’,但是客户端102和服务器106可以在同一个网络104上。网络104和104’可以是相同类型的网络或不同类型的网络。网络104和/或网络104’可为局域网(LAN)(例如公司的企业内部互联网)、城域网(MAN)、或者广域网(WAN)(例如互联网或万维网)。在一个实施例中,网络104’可为专有网络并且网络104可为公用网络。在一些实施例中,网络104可为专有网络并且网络104”可为公用网络。在另一个实施例中,网络104和104’可都为专有网络。在一些实施例中,客户端102可位于公司分支机构中,在网络104之上通过WAN连接与位于公司数据中心的服务器106通信。
网络104和/或104’可为任何类型和/或形式的网络,并且可包括任何的下述网络:点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星形或环形网络拓扑。网络104和/或104’以及网络拓扑可以是任何对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。
如图1A所示,设备200(此处也指为接口单元200或者网关200)被示在网络104和104’之间。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其他实施例中,设备200可位于网络104’上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可部署在网络104上。在一些实施例中,多个设备200可部署在网络104’上。在一个实施例中,第一设备200与第二设备200’通信。在其它实施例中,设备200作为客户端102可为位于同一个或不同的网络104、104’上的任一客户端102或服务器106的一部分。一个或多个设备200可位于客户端102和服务器106之间的网络或网络通信路径中的任一点。
在一个实施例中,系统可包括多个逻辑分组服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群组38。在这些实施例的一些中,服务器106可为地理上分散的。在一些情况中,群组38可以作为单个实体被管理。在其他实施例中,服务器群组38包括多个服务器群组38。在一个实施例中,服务器群组执行表示一个或者多个客户端102的一个或者多个应用。
在每个群组38中的服务器106可为不同种类。即,一个或多个服务器106可根据一种类型的操作系统平台(例如位于Washington,Redmond的微软公司制造的WINDOWS NT)操作,而一个或多个其他服务器106可根据另一类型的操作系统平台(例如,Unix或Linux)操作。每个群组38的服务器106不需要与同一群组38内的另一个服务器106物理上接近。因此,逻辑分组作为群组38的服务器106的组可使用广域网(WAN)连接或中等区域网(MAN)连接互联。例如,群组38可包括物理上位于不同陆地或陆地的不同区域、国家、州、城市、校园或房间的服务器106。如果服务器106使用局域网(LAN)连接或一些直接连接的形式进行连接,则在群组38中的服务器106间的数据传输速度将增加。
服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可有作为应用服务器或者主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户端102也可称为客户端节点或端点。在一些实施例中,客户端102有能力作为在服务器上搜寻对应用的访问的客户端节点工作,也有能力作为提供对用于其他客户端102a-102n的所寄载的应用的访问的应用服务器工作。
在一些实施例中,客户端102与服务器106通信。在一个实施例中,客户端102可与群组38中的服务器106之一直接通信。在另一个实施例中,客户端102执行程序邻近应用以与群组38内的服务器106通信。还是在又另一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户端102通过网络104与群组38中的服务器106通信。通过网络104,客户端102例如可以请求执行在群组38中的服务器106a-106n寄载的各种应用,并接收应用执行结果的输出用于显示。在一些实施例中,只有主节点提供要求识别和提供地址信息的功能,其中的地址信息与寄载所请求的应用的服务器106’相关。
在一个实施例中,服务器106提供网络(Web)服务器的功能。在另一个实施例中,服务器106a接收来自客户端102的请求,将该请求转发到第二服务器106b并以来自服务器106b对该请求的响应通过客户端102来响应该请求。在又另一个实施例中,服务器106获得客户端102可用的应用的列举以及地址信息,该地址信息与服务器106’相关,该服务器106’寄载由该应用的列举所识别的应用。在又一个实施例中,服务器106使用web接口呈现对客户端102的请求的响应。在一个实施例中,客户端102直接与服务器106通信以访问所识别的应用。在另一个实施例中,客户端102接收诸如显示数据的应用输出数据,该应用输出数据通过对在服务器106上所识别的应用的执行而产生。
现在看图1B,示出了在客户端102上用于传送和/或操作计算环境的网络环境。在一些实施例中,服务器106包括用于向一个或多个客户端102传送计算环境或应用和/或数据文件的应用传送系统190。总的来说,客户端10通过网络104、104’和设备200与服务器106通信。例如,客户端102可驻留在公司的远程办公室里,例如分支机构,并且服务器106可驻留在公司数据中心。客户端102包括客户端代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。计算环境15、应用和/或数据文件可通过设备200和/或服务器106传送。
在一些实施例中,设备200加速传送计算环境15或者其中的任一部分到客户端102。在一个实施例中,设备200通过应用传送系统190加速计算环境15的传送。例如,可使用此处描述的实施例来加速应用可处理的流应用和数据文件从中央公司数据中心到远程用户位置(例如公司的分支机构)的传送。在另一个实施例中,设备200加速客户端102和服务器106之间的传输层业务。设备200可以提供加速技术用于加速从服务器106到客户端102的任一传输层有效载荷,诸如:1)传输层连接池,2)传输层连接多路复用,3)传输控制协议缓冲,4)压缩,以及5)高速缓存。在一些实施例中,设备200响应来自客户端102的请求,提供服务器106的负载平衡。在其他实施例中,设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在另一个实施例中,设备200提供从客户端102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接,诸如SSL VPN连接。在又一些实施例中,设备200提供客户端102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。
在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任意验证和授权策略,应用传送管理系统190提供应用传送技术来传送计算环境到用户的桌面(远程的或者其他的)。使用这些技术,远程用户可以从任意网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送系统190可驻留在服务器106上或在其上执行。在另一个实施例中,应用传送系统190可驻留在多个服务器106a-106n上或在其上执行。在一些实施例中,应用传送系统190可在服务器群组38内执行。在一个实施例中,执行应用传送系统190的服务器106也可存储或提供应用和数据文件。在另一个实施例中,一个或多个服务器106的第一组可执行应用传送系统190,并且不同的服务器106n可存储或提供应用和数据文件。在一些实施例中,每个应用传送系统190、应用和数据文件可驻留或位于不同的服务器上。在又一个实施例中,应用传送系统190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。
客户端102可以包括计算环境15,用于执行使用或者处理数据文件的应用。客户端102通过网络104、104’和设备200可以请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以转发来自客户端102的请求到服务器106。例如,客户端102可以不具有本地存储或者本地可访问的应用和数据文件。响应请求,应用传送系统190和/或服务器106可以传送应用和数据文件到客户端102。例如,在一个实施例中,服务器106可以按照应用流来发送应用以在客户端102上的计算环境15中操作。
在一些实施例中,应用传送系统190包括Citrix Systems,Inc的Citrix AccessSuiteTM的任何部分,诸如MetaFrame或者Citrix Presentation ServerTM和/或Microsoft Corporation制造的任一的Microsoft
Windows Terminal Services。在一个实施例中,应用传送系统190可以通过远程显示协议或者通过基于远程或者基于服务器计算的其他方式来传送一个或者多个应用到客户端102或者用户。在另一个实施例中,应用传送系统190可以通过应用的流式传输来传送一个或者多个应用到客户端或者用户。
在一个实施例中,应用传送系统190包括策略引擎195,用于控制和管理对应用执行方法的访问、选择和应用的传送。在一些实施例中,策略引擎195确定用户或者客户端102可以访问的一个或者多个应用。在另一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户端102,例如执行方法。在一些实施例中,应用传送系统190提供多个传送技术,从中来选择应用执行的方法,诸如基于服务器的计算、流式传输或者本地传送应用到客户端120用于本地执行。
在一个实施例中,客户端102请求应用程序的执行并且包括服务器106的应用传送系统190选择执行应用程序的方法。在一些实施例中,服务器106从客户端102接收证书。在另一个实施例中,服务器106从客户端102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送系统190列举对于客户端102可用的多个应用程序。应用传送系统190接收请求来执行所列举的应用。应用传送系统190例如响应策略引擎的策略,选择预定数量的方法的其中一个来执行所列举的应用。应用传送系统190可以选择执行应用的方法,使得客户端102来接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后来本地执行应用程序。在又一个实施例中,应用传送系统190可以选择执行应用的方法,以通过网络104流式传输应用到客户端102。
客户端102可以执行、操作或者以其他方式提供应用,应用可为任何类型和/或形式的软件、程序或者例如任何类型和/或形式的web浏览器、基于web的客户端、客户端-服务器应用、瘦客户端计算客户端、ActiveX控件或者Java程序的可执行指令、或可以在客户端102上执行的任意其他类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户端102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以使用任意瘦客户端或者远程显示协议来显示输出到客户端102,诸如由Florida,Fort Lauderdale的CitriX Systems有限公司开发的独立计算架构(ICA)协议,或者由Washington,Redmond的Microsoft公司开发的远程桌面协议(RDP)。应用可使用任何类型的协议,并且它可为,例如,HTTP客户端、FTP客户端、Oscar客户端或Telnet客户端。在其他实施例中,应用包括任何类型的、涉及到VoIP通信的软件,例如软IP电话。在进一步的实施例中,应用包括涉及到实时数据通信的任何应用,例如用于流式传输视频和/或音频的应用。
在一些实施例中,服务器106或服务器群组38可以正在运行一个或多个应用,例如提供瘦客户机计算或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群组38作为一个应用来执行Citrix Systems公司的Citrix Access SuiteTM的任一部分(例如MetaFrame或CitrixPresentation ServerTM)和/或微软公司开发的Microsoft
WindowsTerminal Services中的任意一个。在一个实施例中,该应用是位于FortLauderdale,Florida的Citrix Systems公司开发的ICA客户端。在其它实施例中,该应用包括由位于Washington,Redmond的Microsoft公司开发的远程桌面(RDP)客户端。另外,服务器106可以运行一个应用,它可以是提供电子邮件服务的应用服务器,例如由位于Washington,Redmond的Microsoft公司生产的Microsoft Exchange,或者web或Internet服务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任意类型的、所寄载的服务或产品,例如位于Santa Barbara,California的Citrix Online Division提供的GoToMeetingTM,位于SantaClara,California的WebEx公司提供的WebExTM,或者位于Redmond,Washington的Microsoft公司提供的Microsoft Office Live Meeting。
客户端102、服务器106和设备200可以部署为和/或执行在任意类型和形式的计算装置上,诸如能够在任意类型和形式的网络上通信并执行此处描述操作的计算机、网络装置或者设备。图1C和1D描述用于实现客户端102、服务器106或者设备200的实施例的计算装置100的框图。如图1C和1D所示,每个计算装置100包括中央处理单元101,以及主存储单元122。如图1C所示,计算装置100可以包括虚拟显示装置124、键盘126和/或诸如鼠标的定点装置127。每个计算装置100也包括其他可选择的部件,例如一个或多个输入/输出装置130a-130b(总的使用标号130表示),以及与中央处理单元101通信的高速缓存存储器140。
中央处理单元101是响应并处理从主存储单元122取得的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由California,Mountain View的Intel公司制造的;由IIIinois,Schaumburg的Motorola公司制造的;由Califirnia的Santa Clara的Transmeta公司制造的;由New York,White Plains的International Business Machines公司制造的、RS/6000处理器;或者由California,Sunnyvale的AdvancedMicro Devices公司制造的。计算装置100可以基于任意的这些处理器或者能够如此处描述操作的任意其它处理器。
主存储单元122可为一个或多个存储芯片,这些存储芯片可以存储数据并允许微处理器101直接访问任何存储位置,例如静态随机存储器(SRAM)、突发(Burst)SRAM或同步突发(SynchBurst)SRAM(BSRAM),动态随机存取存储器(DRAM)、快页模式(Fast Page Mode)DRAM(FPM DRAM)、增强型DRAM(EDRAM)、扩展数据输出(Extended Data Output)RAM(EDO RAM)、扩展数据输出(Extended Data Output)DRAM(EDO DRAM)、突发扩展数据输出DRAM(BEDO DRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDEC SRAM、PC100SDRAM、双数据率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链接DRAM(SLDRAM)、直接存储总线(DirectRambus)DRAM(DRDRAM)或者铁电RAM(FRAM)。主存储器122可以基于任意上述的存储器芯片或者能够进行如此处描述的操作的任意其它可用的存储器芯片。在图1C所示的实施例中,处理器101通过系统总线150(下面将更详细的介绍)与主存储器122通信。图1C描述计算装置100的实施例,其中处理器通过存储器端口103直接与主存储器122通信。例如,在图1D中,主存储器122可为DRDRAM。
图1D描述的实施例中,主处理器101通过次级总线,有时称为“背端”总线,直接与高速缓存存储器140通信。在其他实施例中,主处理器101使用系统总线150与高速缓冲存储器140通信。高速缓冲存储器140具有通常比主存储器122更快的响应时间,并通常通过SRAM、BSRAM、或EDRAM提供。在图1C所示的实施例中,处理器101通过本地系统总线150与各种I/O设备130通信。各种总线可以被用于连接中央处理单元101到任意I/O设备130,包括VESA VL总线、ISA总线、EISA总线、微通道结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线、或者NuBus。对于这样的实施例,其中I/O设备是视频显示器124,处理器101可使用高级图形端口(AGP)与显示器124通信。图1D描述了计算机100的具体实施例,其中主处理器101通过HyperTransport,Rapid I/O或者InfiniBand与I/O设备130b直接通信。图1D也描述了一个实施例,其中本地总线和直接通信是混合的:处理器101使用本地互联总线与I/O设备130a通信,而与I/O设备130b直接通信。
计算机装置100可以支持任何适合的安装装置116,例如用于接收诸如3.5英寸、5.25英寸软盘或ZIP盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、硬盘驱动器、或者适用于安装软件、程序(例如任一客户端代理120或其中的部分)的任意其它装置。计算装置100还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘的随机阵列,用于存储操作系统和其它相关软件,以及用于存储诸如涉及客户端代理120的任意程序的应用软件程序。可选地,任意安装装置116也可以被用作存储装置128。此外,操作系统和软件可从可引导介质运行,例如诸如KNOPPIX
一种用于GNU/Linux的可引导CD,该可引导CD可自konppix.net作为GNU/Linux分发获得。
此外,计算装置100可以包括通过多个连接来对接到局域网(LAN)、广域网(WAN)或者互联网的网络接口118,包括但不限于标准电话线、LAN或WAN链路(如802.11、T1、T3、56kb、X.25)、宽带连接(例如,ISDN、帧中继、ATM)、无线连接或它们的任意或者全部的一些组合。网络接口118可以包含内置网络适配器、网络接口卡、PCMC IA网卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适合将计算装置100对接到能够通信和进行这里所描述的操作的任一类型网络的任一其它装置。在计算装置100中提供I/O设备130a-130n的多个种类。输入装置包括键盘、鼠标、轨道垫、轨道球、麦克风、以及绘画板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机、及染料升华(dye-sublimation)打印机。如图1C所示,I/O装置可以由I/O控制器123控制。I/O控制器可以控制诸如键盘126和定点装置127(例如鼠标或者光学笔)的一个或者多个I/O装置。此外,I/O装置也可为计算装置100提供存储器128和/或安装介质116。仍然在其他实施例中,计算装置100可以提供USB连接用来接收手持USB存储装置,例如由California,Los Alamitos的Twintech Industry有限公司制造的USB闪烁驱动器系列装置。
在有些实施例中,计算装置100可以包括多个显示装置124a-124n或与其相连,这些显示装置可以是相同或不同的类型和/或形式。比如,I/O设备130a-130n中的任意一个和/或I/O控制器123可以包括任意类型和/或形式的适当硬件、软件或软硬件组合以支持、启用或提供计算装置100对多个显示装置124a-124n的连接和使用。例如,计算装置100可以包括任意类型和/或形式的视频适配器、视频卡、驱动程序和/或与显示装置124a-124n对接、通信、连接或使用显示装置的库。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置124a-124n对接。在其它实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置124a-124n中的一个或多个相连。在有些实施例中,计算装置100的操作系统的任意部分都可以被配置用于使用多个显示器124a-124n。在其它实施例中,显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供,例如通过网络与计算装置100相连的计算装置100a和100b。这些实施例可以包括被设计和构造的任一类型的软件,以使用另一个计算机的显示装置作为计算装置100的第二显示装置124a。本领域的技术人员将认识并领会到可以将计算装置100配置成拥有多个显示装置124a-124n的各种不同的方式和实施例。
在进一步的实施例中,I/O设备130可为在系统总线150和外部通信总线间的桥170,外部通信总线例如USB总线、Apple Desktop总线、RS-232串行连接、SCSI总线、Fire Wire总线、FireWire800总线、Ethernet总线、Apple Talk总线、Gigabit Ethernet总线、异步传输模式总线、HIPPI总线、Super HIPPI总线、Serial Plus总线、SCI/LAMP总线、Fibre Channel总线、或者串行连接(Serial Attached)小型计算机系统接口总线。
图1C和图1D中描述的通用计算装置100通常在操作系统的控制下操作,该操作系统控制对任务的调度和对系统资源的访问。计算装置100可正运行任何操作系统,例如Microsoft
Windows操作系统的任何版本,Unix和Linux操作系统的不同版本,用于Macintosh计算机的Mac OS
的任何版本,任何嵌入式操作系统,任何实时操作系统,任何开放源操作系统,任何专有操作系统,用于移动计算装置的任何操作系统,或者可以在计算装置上运行并执行此处所述操作的任何其它操作系统。典型的操作系统包括:由Washington,Redmond的Microsoft公司制造的WINDOWS3.x、WINDOWS95、WINDOWS98、WINDOWS2000、WINDOWS NT3.51、WINDOWS NT4.0、WINDOWS CE、WINDOWS XP;由California,Cupertino的Apple计算机公司制造的MacOS;由New York,Armonk的InternationalBusiness Machines制造的OS/2;以及由Utah,Salt Lake City的Caldera公司发布的、可自由获得的操作系统Linux,以及除此之外的任意类型和形式的Unix操作系统。
在其它实施例中,计算装置100可以具有与该装置相容的不同的处理器、操作系统和输入装置。例如,在一个实施例中,计算机100是palm公司生产的Treo180、270、1060、600或者650的智能电话。在此实施例中,Treo智能电话在PalmOS操作系统的控制下运行并且包括触针输入装置以及五向导向装置。此外,计算装置100可以是任意工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话或任意其它计算机、或能够通信并有足够的处理器能力和存储空间完成这里所说明的操作的其它形式的计算或者电信装置。
B、设备架构
图2A示出设备200的一个示例实施例。图2A中的设备200的结构仅仅通过示意的方式被提供,并不意于要限制本发明。如图2所示的,设备200包括硬件层206和分为用户空间202和内核空间204的软件层。
硬件层206提供硬件元件,在内核空间204和用户空间202内的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件,使得在内核空间204和用户空间202内的程序和服务对于设备200既在内又向外传输数据。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元262、用于存储软件和数据的存储器264、用于在网络上发送和接收数据的网络端口266以及用于执行涉及数据在网络上被发送和接收的加密套接字协议层处理功能的加密处理器260。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1C和1D所述的任意处理器101。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262’。在其他实施例中,处理器262或者262’包括多核处理器。
虽然示出的设备200的硬件层206通常带有加密处理器260,但是处理器260可为执行涉及任何加密协议的功能的处理器,例如加密套接字协议层(SSL)或者传输层安全(TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并且在进一步的实施例中,可为用于执行任何安全相关协议处理的可执行指令。
虽然在图2中设备200的硬件层206被示出具有一些元件,但是设备200的硬件部分或部件可包括计算装置的任何类型和形式的元件、硬件或软件,例如此处结合图1C和1D讨论和示出的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、交换机、桥接器或其它类型的计算或网络装置,并且拥有与此相关的任何硬件和/或软件元件。
设备200的操作系统分配、管理或另外分离可用的系统存储器到内核空间204和用户空间202。在示例的软件结构200中,操作系统可为任何类型和/或形式的Unix操作系统,但本发明并未如此限制。同样的,设备200可正运行任何操作系统,例如Microsoft
Windows操作系统的任何版本,Unix和Linux操作系统的不同版本,用于Macintosh计算机的Mac OS
的任何版本,任何嵌入式操作系统,任何网络操作系统,任何实时操作系统,任何开放源操作系统,任何专有操作系统,用于移动计算装置或网络装置的任何操作系统,或者可以在设备200上运行并执行此处所述操作的任何其它操作系统。
内核空间204被保留用于运行内核230,包括任一设备驱动器、内核扩展或其他内核相关软件。就像本领域技术人员所知的,内核230是操作系统的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例,内核空间204也包括与高速缓存管理器232协同工作的多个网络服务或进程,有时也称为集成的高速缓存,其益处此处将进一步详细描述。另外,内核230的实施例将依赖于通过设备200安装、配置或其他方式使用的操作系统的实施例。
在一个实施例中,设备200包括一个网络堆栈267,例如基于TCP/IP的堆栈,用于与客户端102和/或服务器106通信。在一个实施例中,使用网络堆栈267与诸如网络108的第一网络以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户端102的TCP连接,并建立到服务器106的第二传输层连接,用于由客户端102使用,例如,在设备200和服务器106处终止第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络堆栈,例如267或267’,并且在一个网络堆栈267可建立或终止第一传输层连接,在第二网络堆栈267’上可建立或者终止第二传输层连接。例如,一个网络堆栈可用于在第一网络上接收和传输网络包,并且另一个网络堆栈用于在第二网络上接收和传输网络包。在一个实施例中,网络堆栈267包括用于排队一个或多个网络包的缓冲器243,其中网络包由设备200传输。
如图2所示,内核空间204包括高速缓存管理器232、高速层2-7集成包引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些部件或过程232、240、234、236和238提高这些部件中的每个单独的和结合的性能。内核操作意味着这些部件或过程232、240、234、236和238在设备200的操作系统的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密操作到内核来改进加密性能,从而可减少在存储空间或在内核模式中的内核线程与存储空间或在用户模式中的线程的传输的数量。例如,在内核模式中获得的数据不需要传输或拷贝到运行在用户模式的进程或线程,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另外,在任何部件或过程232、240、235、236和238间的同步和其之间的通信在内核空间204中可被执行地更有效率。
在一些实施例中,部件232、240、234、236和238的任何部分可在内核空间204中运行或操作,而这些部件232、240、234、236和238的其他部分可在用户空间202中运行或操作。在一个实施例中,设备200使用内核级数据结构来提供对一个或多个网络包的任何部分的访问,例如,网络包包括来自客户端10的请求或者来自服务器106的响应。在一些实施例中,由包引擎240通过传输层驱动器接口或到网络堆栈267的过滤器获得内核级数据结构。内核级数据结构可包括任何接口和/或通过与网络堆栈267相关的内核空间204可访问的数据、由网络堆栈267接收或传输的网络业务或包。在其他实施例中,任何部件或进程232、240、234、236和238可使用内核级数据结构来执行部件或进程期望的操作。在一个实施例中,当使用内核级数据结构时,部件232、240、234、236和238在内核模式204中运行,而在另一个实施例中,当使用内核级数据结构时,部件232、240、234、236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传输给第二内核级数据结构,或任何期望的用户级数据结构。
高速缓存管理器232可包括软件、硬件或软件和硬件的任意组合,以提供对任何类型和形式的内容的高速缓存访问、控制和管理,例如对象或由源服务器106服务的、动态产生的对象。由高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式的数据,例如标记语言,或通过任何协议通信。在一些实施例中,高速缓存管理器232复制存储在其它地方的原始数据或先前被计算、产生或传输的数据,其中相对于读高速缓存元件,原始数据可能需要更长的访问时间以便取得、计算或以别的方式获得。一旦数据被存储在高速缓存存储元件中,将来的使用可通过访问高速缓存的副本而非再取回或再计算原始数据而获得,因而减少了访问时间。在一些实施例中,高速缓存存储元件nat包括设备200的存储器264中的数据对象。在其它实施例中,高速缓存存储元件可包括具有比存储器264更快的存储时间的存储器。在另一个实施例中,高速缓存存储元件可以包括设备200的任何类型和形式的存储元件,诸如硬盘的部分。在一些实施例中,处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中,高速缓存管理器232可使用存储器、存储设备或处理单元的任何部分和组合来高速缓存数据、对象或其它内容。
另外,高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任一逻辑、功能、规则或操作。例如,高速缓存管理器232包括基于无效时间周期的终止,或者从客户端102或服务器106接收无效命令,无效对象的逻辑或功能。在一些实施例中,高速缓存管理器232可作为在内核空间204中执行的程序、服务、进程或任务来操作,并且在其它实施例中在用户空间202中操作。在一个实施例中,高速缓存管理器232的第一部分在用户空间202内执行,而第二部分在内核空间204内执行。在一些实施例中,高速缓存管理器232可包括任何类型的通用处理器(GPP),或者任何其它形式的集成电路,例如现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)或者专用集成电路(ASIC)。
策略引擎236可包括,例如,智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、限定或配置高速缓存策略。在一些实施例中,策略引擎236也访问存储器以支持数据结构,例如查找表(lookup table)或哈希(hash)表,以启用用户选择的高速缓存策略决定。在其它实施例中,除了对安全、网络业务、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外,策略引擎236可包括任何逻辑、规则、功能或操作以决定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其它实施例在此处进一步描述。
加密引擎234包括用于控制任何安全相关协议处理,例如SSL或TLS,或其相关的任何功能的任何逻辑、商业规则、功能或操作。例如,加密引擎234加密并解密通过设备200通信的网络包,或其任何部分。加密引擎234也可代表客户端102a-102n、服务器106a-106n或设备200来安装或建立SSL或TLS连接。同样的,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来提供在客户端102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260通信。在其它实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。
多协议压缩引擎238包括用于压缩一个或多个网络包协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向压缩在客户端102a-102n和服务器106a-106n间任何基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件email)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用Internet文件系统(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及IP上语音(VoIP)协议。在其它实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中,提供任何标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协议压缩引擎238提供任何高性能协议的压缩,例如为设备200设计的用于设备200通信的任何协议。在另一个实施例中,多协议压缩引擎238使用修改的传输控制协议(例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP(TCP-LW)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议)来压缩任何通信或其任何有效载荷。
同样的,多协议压缩引擎238通过桌面客户端,例如Micosoft Outlook和非web瘦客户端,诸如由通用企业应用像Oracle、SAP和Siebel启动的任何客户端,甚至移动客户端(例如便携式个人计算机),来加速用户访问应用的执行。在一些实施例中,多协议压缩引擎238通过在内核模式204内部执行并与访问网络堆栈267的包处理引擎240集成,可以压缩TCP/IP协议承载的任何协议,例如任何应用层协议。
高速层2-7集成包引擎240,通常也称为包处理引擎,或包引擎,通过网络端口266负责设备200接收和传输的包的内核级处理的管理。高速层2-7集成包引擎240可包括在处理期间用于排队一个或多个网络包的缓冲器,例如用于网络包的接收或者网络包的传输。另外,高速层2-7集成包引擎240通过网络端口266与一个或多个网络堆栈267通信以发送和接收网络包。高速层2-7集成包引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地,配置加密引擎234以执行包的SSL处理,配置策略引擎236以执行涉及业务管理的功能,例如请求级内容切换以及请求级高速缓冲重定向,并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。
集成高速层2-7的包引擎240包括包处理定时器242。在一个实施例中,包处理定时器242提供一个或多个时间间隔以触发输入的(即接收的或者输出的(即传输的))网络包的处理。在一些实施例中,高速层2-7集成包引擎240响应于定时器242处理网络包。包处理定时器242向包引擎240提供任一类型和形式的信号以通知、触发或传输时间相的关事件、间隔或发生。在许多实施例中,包处理定时器242以毫秒级运行,例如100ms、50ms、或25ms。例如,在一些实施例中,包处理定时器242提供时间间隔或者使由高速层2-7集成的包引擎240以10ms时间间隔处理网络包,而在其它实施例中,以5ms时间间隔,并且在进一步的实施例中,短到3、2或1ms时间间隔。高速层2-7集成包引擎240在操作期间可与加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。同样的,响应于包处理定时器242和/或包引擎240,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此,可在由包处理定时器242提供的时间间隔粒度(例如少于或等于10ms的时间间隔)执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作,。例如,在一个实施例中,响应于高速层2-7集成包引擎240和/或包处理定时器242,高速缓存管理器232可执行任何所高速缓存的对象的无效。在另一个实施例中,高速缓存的对象的终止或无效时间被设定为与包处理定时器242的时间间隔相同的粒度级,例如每10ms。
与内核空间204不同,用户空间202是操作系统的存储区域或部分,被用户模式应用或在用户模式中以其他方式运行的程序所使用。用户模式应用不能直接访问内核空间204并且为了访问内核服务而使用服务调用。如图2所示,设备200的用户空间202包括图形用户界面(GUI)210、命令行接口(CLI)212、壳服务(shell service)214、健康监控程序216以及守护(daemon)服务218。GUI210和CLI212提供一种方法,通过该方法系统管理员或其他用户可与设备200的操作交互并控制该设备200的操作,例如通过设备200的操作系统,并且或者是用户空间202或者内核空间204。GUI210可为任何类型和形式的图形用户界面,并且可通过文本、图形或其它任一类型的程序或应用来呈现,例如浏览器。CLI212可为任何类型和形式的命令行或基于文本的接口,例如通过操作系统提供的命令行。例如,CLI212可包括壳(shell),该壳是使得用户能够与操作系统交互的工具。在一些实施例中,可通过bash、csh、tcsh或者ksh类型的壳提供CLI212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过GUI210和/或CLI212与操作系统或者设备200的交互。
使用健康监控程序216来监控、检查、报告并确保网络系统运行正常以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令,为监控设备200的任何行为来提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216拦截并检查通过设备200传递的任何网络业务。在其他实施例中,健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接:加密引擎234、高速缓存管理器232、策略引擎236、多协议压缩逻辑238、包引擎240、守护服务218以及壳服务214。同样的,健康监控程序216可调用任何应用编程接口(API)以确定设备200的任何部分的状态、情况或健康。例如,健康监控程序216可定期查验或发送状态查询以检查程序、进程、服务或任务是否被激活并当前正在运行。在另一个例子中,健康监控程序216可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何条件、状态或错误。
守护服务218是连续地或在后台中运行的程序,,并且处理由设备200接收的周期性服务请求。在一些实施例中,守护服务向其他程序或进程转发请求,例如向合适的另一个守护服务218。如本领域技术人员所公知的,守护服务218可无人监护的运行,以执行连续的或周期性的系统范围功能,例如网络控制,或者执行任何期望的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其他实施例中,一个或多个守护服务218运行在内核空间。
现在参见图2B,该框图描述设备200的另一个实施例。总的来说,设备200提供以下服务、功能性或者操作的一个或者多个:用于一个或者多个客户端102和一个或者多个服务器106之间的通信的SSL VPN连接性280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一个实施例中,设备200包括由Ft.Lauderdale Florida的Citrix System公司制造的任意一个网络装置,称为CitrixNetScaler装置。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270)。例如,服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器,称为vServer、VIP服务器或者仅是VIP 275a-275n(此处也称为vServer 275)。vServer 275根据设备200的配置和操作来接收、拦截或者以其他方式处理客户端102和服务器106之间的通信。
vServer 275可以包括软件、硬件或者软件和硬件的任意组合。vServer 275包括在用户模式202、内核模式204或者设备200中的任意组合中运行的任意类型和形式的程序、服务、任务、进程或者可执行指令。vServer 275包括任意逻辑、功能、规则或者操作,以执行此处所述技术的任意实施例,诸如SSL VPN280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中,vServer275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户端102或者vServer 275并与之通信的任意程序、应用、进程、任务或者可执行指令集。例如,服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,服务270为守护进程或者网络驱动器,用于监听、接收和/或发送用于应用的通信,诸如电子邮件、数据库或者企业应用。在一些实施例中,服务270可以在特定的IP地址、或者IP地址和端口上通信。
在一些实施例中,vServer 275应用策略引擎236的一个或者多个策略到客户端102和服务器106之间的网络通信。在一个实施例中,该策略与vServer 275相关。在另一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vServer 275a-275n和通过设备100通信的任意用户或者用户组。在一些实施例中,策略引擎的策略具有基于通信的任意内容应用该策略的条件,通信的内容诸如协议地址、端口、协议类型、包中的首部或者域、或者通信的上下文,该通信的上下文诸如用户、用户组、vServer 275、传输层连接、和/或客户端102或者服务器106的标识或者属性。
在其他实施例中,设备200和策略引擎236通信或者连接,以确定远程用户或者远程客户端102访问计算环境15、应用、和/或来自服务器106的数据文件的验证和/或授权。在另一个实施例中,设备200和策略引擎236通信或者连接,以确定远程用户或者远程客户端102的验证和/或授权来使得应用传送系统190传送一个或者多个计算环境15、应用、和/或数据文件。在又一个实施例中,设备200基于策略引擎236验证和/或授权远程用户或者远程客户端102来建立VPN或者SSL VPN连接。在一个实施例中,设备200基于策略引擎236的策略来控制网络业务和通信会话的流。例如,设备200可以基于策略引擎236来控制对计算环境15、应用或者数据文件的访问。
在一些实施例中,vServer 275与客户端102经客户端代理120建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer 275监听和接收来自客户端102的通信。在其他实施例中,vServer 275与服务器106建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer 275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在另一个实施例中,vServer 275将到客户端102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,vServer 275建立到服务器106的传输层连接池并且经池化的传输层连接多路复用客户端请求。
在一些实施例中,设备200提供客户端102和服务器106之间的SSL VPN连接280。例如,第一网络104上的客户端102请求建立到第二网络104’上的服务器106的连接。在一些实施例中,第二网络104’是不能从第一网络104路由的。在其他实施例中,客户端102位于公用网络104上,并且服务器106位于专用网络104’上,例如企业网。在一个实施例中,客户端代理120拦截第一网络104上的客户端102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户端102的所拦截的通信,加密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。因此,设备200提供用于两个网络104、104’之间的客户端的端到端安全传输层连接。
在一个实施例中,设备200寄载虚拟专用网络104上的客户端102的内部网互联网协议或者内部网IP 282地址。客户端102具有本地网络识别符,诸如互联网协议(IP)地址和/或第一网络104上的主机名称。当经设备200连接到第二网络104’,对于第二网络104’上的客户端102,设备200建立、分配或者以其他方式提供内部网IP,其是网络识别符,诸如IP地址和/或主机名称。设备200在第二或者专用网络104’上监听和接收使用客户端建立的内部网IP 282指向客户端102的任意通信。在一个实施例中,设备200用作或者代表第二专用网络104上的客户端102。例如,在另一个实施例中,vServer 275监听和响应到客户端102的内部网IP 282的通信。在一些实施例中,如果第二网络104’上的计算装置100发送请求,设备200如同客户端102一样来处理该请求。例如,设备200可以响应对客户端内部网IP 282的查验。在另一个实施例中,设备可以与第二网络104上请求与客户端内部网IP 282的连接的计算装置100建立连接,诸如TCP或者UDP连接。
在一些实施例中,设备200提供一个或者多个以下加速技术288以在客户端102和服务器106之间通信:1)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议缓冲;和6)高速缓存。在一个实施例中,设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户端经互联网的重复数据访问,来为服务器106缓解由重复开启和关闭到客户端102的传输层连接所带来的多个处理负载。该技术在此处被称为“连接池”。
在一些实施例中,为了无缝拼接从客户端102经池化的传输层连接到服务器106的通信,设备200通过在传输层协议级修改序列号和确认号来翻译或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议交互。例如,在入站包(即,从客户端102接收的包)的例子中,包的源网络地址被改变到设备200的输出端口的地址,并且目的网络地址被改变到指定的服务器的地址。在出站包(即,从服务器106接收的包)的实例中,源网络地址从服务器106的地址被改变到设备200的输出端口的地址,并且目的地址从设备200的地址被改变到请求客户端102的地址。包的序列号和确认号也被翻译为到客户端102的设备200的传输层连接上的客户端102所期待的序列号和确认。在一些实施例中,传输层协议的包校验和被重新计算以计及这些翻译。
在另一个实施例中,设备200提供转换或者负载平衡功能284用于客户端102和服务器106之间的通信。在一些实施例中,基于层4或者应用层请求数据,设备200分发业务并且将客户端请求指向服务器106。在一个实施例中,尽管网络层或者网络包的层2标识目的服务器106,但设备200确定服务器106利用传输层包的有效载荷所承载的应用信息和数据来分发网络包。在一个实施例中,设备200的健康监控程序216监控服务器的健康来确定分发客户端请求用于哪个服务器106。在一些实施例中,如果设备200探测到服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户端请求指向或者分发到另一个服务器106。
在一些实施例中,设备200用作域名服务(DNS)解析器或者以其他方式提供对来自客户端102的DNS请求的解析。在一些实施例中,设备拦截由客户端102发送的DNS请求。在一个实施例中,设备200以设备200所寄载的或其IP地址来响应客户端的DNS请求。在此实施例中,客户端102发送用于域名的网络通信到设备200。在另一个实施例中,设备200以第二设备200’所寄载的或其IP地址来响应客户端的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户端的DNS请求。
在又一个实施例中,设备200提供用于客户端102和服务器106之间通信的应用防火墙功能性290。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙290防御拒绝服务(DoS)攻击。在其他实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236包括一个或者多个应用防火墙或者安全控制策略,用于提供保护避免不同类或者类型的基于web或者互联网的漏洞,诸如以下一个或者多个:1)缓冲溢出,2)CGI-BIN参数操纵,3)表格/隐藏域操纵,4)强制浏览(forceful browsing),5)cookie或者会话定位,6)中断的访问控制列表(ACL)或者弱的口令,7)跨站脚本(XSS),8)命令注入,9)SQL注入,10)错误触发敏感信息漏,11)密码学的不安全使用,12)服务器误配置,13)后门和调试选项,14)web站点毁损,15)平台或者操作系统漏洞,和16)零天攻击。在一个实施例中,应用防火墙290为以下一个或者多个以检查或者分析网络通信的形式来提供HTML格式域保护:1)返回所请求的域,2)不允许增加域,3)只读和隐藏域施行,4)下拉列表和单选按钮一致,5)表域最大长度施行。在一些实施例中,应用防火墙290确保没有修改cookie。在其他实施例中,应用防火墙290通过执行合法的URL以防御强制浏览。
仍在又一些实施例中,应用防火墙290保护包括在网络通信中的任意机密信息。应用防火墙290可以根据引擎236的规则或者策略来检查或者分析任意网络通信,以识别网络包的任一域中的任一机密信息。在一些实施例中,应用防火墙290识别网路通信中的信用卡号、口令、社会安全号码、名称、患者号码、接触信息和年龄的一个或者多个的出现。网络通信的编码部分可以包括这些的出现或者机密信息。基于这些出现,在一个实施例中,应用防火墙290可以在网络通信上采取策略,诸如阻止传输网络通信。在另一个实施例中,应用防火墙290可以重写、移动或者以其他方式掩蔽该所识别的出现或者机密信息。
C、客户端代理
现在看图3,描述客户端代理120的实施例。客户端102包括客户端代理120,用于经网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户端102在计算装置100上操作,该计算装置100拥有带有内核模式302以及用户模式303的操作系统,以及带有一个或多个层310a-310b的网络堆栈310。客户端102可以已经安装和/或执行一个或多个应用。在一些实施例中,一个或多个应用可通过网络堆栈310与网络104通信。诸如web浏览器的应用之一也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或执行客户端代理120,或其中任意部分。客户端代理120包括拦截机制或者拦截器350,用于拦截经由网络堆栈310来自一个或者多个应用的网络通信。
客户端102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式系统互联(OSI)通信模型的任何网络层。同样的,网络堆栈310可包括任意类型和形式的协议,这些协议用于OSI模型的任何以下层:1)物理链路层,2)数据链路层,3)网络层,4)传输层,5)会话层,6)表示层,以及7)应用层。在一个实施例中,网络堆栈310可包括在互联网协议(IP)的网络层协议上的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在Ethernet协议上承载TCP/IP协议,Ethernet协议可包括IEEE广域网(WAN)或局域网(LAN)协议的任何族,例如被IEEE 802.3覆盖的那些协议。在一些实施例中,网络堆栈310包括任何类型和形式的无线协议,例如IEEE 802.11和/或移动互联网协议。
考虑基于TCP/IP的网络,可使用任何基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用互联网文件系统(CIFS)协议(文件传输)、独立计算框架(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议,以及IP语音(VoIP)协议。在另一个实施例中,网络堆栈310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP(T/TCP),带有选择确认的TCP(TCP-SACK),带有大窗口的TCP(TCP-LW),拥塞预测协议,例如TCP-Vegas协议,以及TCP电子欺骗协议。在其他实施例中,任何类型和形式的用户数据报协议(UDP),例如IP上UDP,可被网络堆栈310使用,诸如用于语音通信或实时数据通信。
另外,网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP驱动器或网络层驱动器。网络驱动器可被包括作为计算装置100的操作系统的一部分或者作为计算装置100的任何网络接口卡或其它网络访问部件的一部分。在一些实施例中,网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分,用来支持此处描述的任何技术。在其他实施例中,设计并构建加速程序120以与网络堆栈310协同操作或工作,上述网路堆栈310由客户端102的操作系统安装或以其他方式提供。
网络堆栈310包括任何类型和形式的接口,用于接收、获得、提供或以其他方式访问涉及客户端102的网络通信的任何信息和数据。在一个实施例中,网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制、事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构,例如对象。例如,数据结构可包括涉及到网络包的信息和数据,或一个或多个网络包。在一些实施例中,数据结构包括在网络堆栈310的协议层处理的网络包的一部分,例如传输层的网络包。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。内核级别数据结构可包括在内核模式302中操作的网络堆栈310的部分获得的或涉及的数据结构,或者运行在内核模式302中的网络驱动器或其他软件,或者通过在操作系统的内核模式中运行或操作的服务、进程、任务、线程或其他可执行指令获得或接收的任何数据结构。
此外,网络堆栈310的一些部分可在内核模式302中执行或操作,例如,数据链路或网络层,而其他部分在用户模式303中执行或操作,例如网络堆栈310的应用层。例如,网络堆栈的第一部分310a可为应用提供对网络堆栈310的用户模式的访问,而网络堆栈310的第二部分310b提供对网络的访问。在一些实施例中,网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层,例如层5-7的任意层。在其他实施例中,网络堆栈310的第二部分310b包括一个或多个较低的层,例如层1-4的任意层。网络堆栈310第一部分310a和第二部分310b的每个可包括网络堆栈310的任何部分,在任意一个或多个网络层,在用户模式303、内核模式302,或其组合,或在网络层的任何部分或者指向网络层的接口点,或用户模式303和内核模式302的任何部分或指向用户模式303和内核模式302的接口点。
拦截器350可以包括软件、硬件、或者软件和硬件的任意组合。在一个实施例中,拦截器350在网络堆栈310的任意点拦截网络通信,并且重定向或者发送网络通信到由拦截器350或者客户端代理120所期望的、管理的或者控制的目的地。例如,拦截器350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200,用于在第二网络104’上传输。在一些实施例中,拦截器350包括含有诸如被构建和设计来与网络堆栈310连接并一同工作的网络驱动器的任意类型的驱动器的拦截器350。在一些实施例中,客户端代理120和/或拦截器350操作在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,拦截器350包括滤波器驱动器、钩子机制、或者连接到网络堆栈的传输层的任意形式和类型的合适网络驱动器接口,诸如通过传输驱动器接口(TDI)。在一些实施例中,拦截器350连接到诸如传输层的第一协议层和诸如传输协议层之上的任意层的另一个协议层,例如,应用协议层。在一个实施例中,拦截器350可以包括遵守网络驱动器接口规范(NDIS)的驱动器,或者NDIS驱动器。在另一个实施例中,拦截器350可以包括微型滤波器或者迷你端口驱动器。在一个实施例中,拦截器350或其部分在内核模式302中操作。在另一个实施例中,拦截器350或其部分在用户模式303中操作。在一些实施例中,拦截器350的一部分在内核模式302中操作,而拦截器350的另一部分在用户模式303中操作。在其他实施例中,客户端代理120在用户模式303中操作,但通过拦截器350连接到内核模式驱动器、过程、服务、任务或者操作系统的部分,诸如以获取内核级数据结构325。在其他实施例中,拦截器350为用户模式应用或者程序,诸如应用。
在一个实施例中,拦截器350拦截任意的传输层连接请求。在这些实施例中,拦截器350执行传输层应用编程接口(API)调用以设置目的信息,诸如到期望位置的目的IP地址和/或端口用于定位。在此方式中,拦截器350拦截并且重定向传输层连接到由拦截器350或者客户端代理120控制或者管理的IP地址和端口。在一个实施例中,拦截器350为到客户端102的本地IP地址和端口的连接设置目的信息,客户端代理120正监听该本地IP地址和端口。例如,客户端代理120可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一些实施例中,客户端代理120随后将重定向的传输层通信传输到设备200。
在一些实施例中,拦截器350拦截域名服务(DNS)请求。在一个实施例中,客户端代理120和/或拦截器350解析DNS请求。在另一个实施例中,拦截器发送所拦截的DNS请求到设备200用于DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传输到客户端代理120。在一些实施例中,设备200经另一个设备200’或者DNS服务器106来解析DNS请求。
在又一个实施例中,客户端代理120可以包括两个代理120和120’。在一个实施例中,第一代理120可以包括在网络堆栈310的网络层操作的拦截器350。在一些实施例中,第一代理120拦截诸如互联网控制消息协议(ICMP)请求(例如,查验和跟踪路由)的网络层请求。在其他实施例中,第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中,第一代理120在网络堆栈310的一层通信并且与第二代理120’连接或者将所拦截的通信传输到第二代理120’。
客户端代理120和/或拦截器350可以以对网络堆栈310的任意其它协议层透明的方式在协议层操作或与之连接。例如,在一个实施例中,拦截器350可以以对诸如网络层的、传输层之下的任意协议层和诸如会话、表示或应用层协议的传输层之上的任意协议层透明的方式在网路堆栈310的传输层操作或与之连接。这允许网络堆栈310的其它协议层如意愿操作并无需修改以用于拦截器350。这样,客户端代理120和/或拦截器350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信,诸如TCP/IP上的任一应用层协议。
此外,客户端代理120和/或拦截器可以以对任意应用、客户端102的用户和与客户端102通信的诸如服务器的任意其它计算装置透明的方式在网络堆栈310操作或与之连接。客户端代理120和/或拦截器350可以以无需修改应用的方式被安装和/或执行在客户端102上。在一些实施例中,客户端102的用户或者与客户端102通信的计算装置未意识到客户端代理120和/或拦截器350的存在、执行或者操作。这样,在一些实施例中,客户端代理120和/或拦截器350以对应用、客户端102的用户、诸如服务器的另一个计算装置、或者由拦截器350连接到的协议层之上和/或之下的任意协议层透明的方式被安装、执行、和/或操作。
客户端代理120包括加速程序302、流客户端306和/或收集代理304。在一个实施例中,客户端代理120包括由Florida,Fort Lauderdale的Citrix Systems有限公司开发的独立计算结构(ICA)客户端或其任一部分,并且也指ICA客户端。在一些实施例中,客户端120包括应用流客户端306,用于从服务器106流式传输应用到客户端102。在一些实施例中,客户端代理120包括加速程序302,用于加速客户端102和服务器106之间的通信。在另一个实施例中,客户端代理120包括收集代理304,用于执行端点检测/扫描并且收集用于设备200和/或服务器106的端点信息。
在一些实施例中,加速程序302包括客户端侧加速程序,用于执行一个或多个加速技术以加速、增强或以其他方法改进客户端与服务器106的通信和/或对服务器106的访问,例如访问服务器106提供的应用。加速程序302的可执行指令的逻辑、功能和/或操作可以执行一个或多个以下的加速技术:1)多协议压缩,2)传输控制协议池,3)传输控制协议多路复用,4)传输控制协议缓冲,以及5)通过高速缓存管理器的高速缓冲。另外,加速程序302可执行由客户端102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外,加速程序302可以在传输层协议的网络包的有效载荷承载的任意协议或者多协议上执行压缩。
流客户端306包括用于接收和执行从服务器106所流式传输的应用的应用、程序、过程、服务、任务或者可执行指令。服务器106可以流式传输一个或者多个应用数据文件到流客户端306,用于播放、执行或者以其他方式引起客户端102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户端306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其他档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户端102。在另一个实施例中,客户端102解压缩、解包或者解档应用文件。流客户端306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户端306可以为可执行程序。在一些实施例中,流客户端306可以能够启动另一个可执行程序。
收集代理304包括应用、程序、进程、服务、任务或者可执行指令,用于识别、获取和/或收集关于客户端102的信息。在一些实施例中,设备200发送收集代理304到客户端102或者客户端代理120。收集代理304可以根据设备的策略引擎236的一个或者多个策略被配置。在其他实施例中,收集代理304发送在客户端102上所收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供客户端到网络104的连接的访问、验证和授权控制。
在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户端的一个或者多个属性或者特征。例如,收集代理304可以识别和确定以下任意一个或者多个客户端侧属性:1)操作系统和/或操作系统的版本,2)操作系统的服务包,3)运行的服务,4)运行的过程,和5)文件。收集代理304也可以识别和确定客户端上以下任意一个或者多个的存在或者版本:1)防病毒软件,2)个人防火墙软件,3)防蠕虫软件,和4)互联网安全软件。策略引擎236可以具有基于客户端或者客户端侧属性的任意一个或者多个属性或者特征的一个或者多个策略。
在一些实施例中,仍旧参见图3,第一程序322可以被用于自动地、静默地、透明地或者以其他方式安装和/或执行客户端代理120或其部分,诸如拦截器350。在一个实施例中,第一程序322包括插件部件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用执行。例如,第一程序包括被web浏览器应用运行和载入的ActiveX控件,例如在存储器空间或应用的上下文中。在另一个实施例中,第一程序322包括可执行指令组,该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中,第一程序322包括被设计和构造的程序以安装客户端代理120。在一些实施例中,第一程序322通过网络从另一个计算装置获得、下载、或接收客户端代理120。在另一个实施例中,第一程序322是用于在客户端102的操作系统上安装例如网络驱动器的程序的安装程序或即插即用管理器。
D、细粒度客户端侧拦截
参见图4,描述用于提供细粒度客户端侧拦截的系统的实施例。在一个实施例中,图4的系统提供用于拦截客户端102的通信的更细粒度机制,该客户端102具有经由设备200到网络104’的SSL VPN连接。总的来说,设备200包括应用路由表400。应用路由表(ART)400提供网络目的描述410和/或客户端应用标识符450。在一些实施例中,应用路由表400经由网络目的描述来识别被授权由客户端102访问的服务器106上的应用或者服务270。在其他实施例中,应用路由表400经由客户端应用标识符450来识别运行在可以被授权到服务器106或者服务器106的服务270的访问级别的客户端102上的应用。设备200可以发送应用路由表400到客户端102或者客户端代理120。客户端代理120使用应用路由表400基于应用路由表400来做出是否拦截和发送客户端网络通信到设备200的决定,诸如经由到设备的SSL VPN隧道。
应用路由表400包括用于布置和存储此处所述信息的任意类型和形式的表、数据库、对象或者数据结构。在一些实施例中,应用路由表400经由设备的命令行接口212或者图形用户界面210被填充(populated)、配置、建立、编辑或者修改。在其他实施例中,设备路由表400经由客户端102、服务器106或者另一个计算装置100被填充(populated)、配置、建立、编辑或者修改。在一个实施例中,客户端102接收来自设备200的应用路由表400。例如,客户端代理120依据与设备200建立连接来接收应用路由表400。在另一个实施例中,客户端代理120从网络104上的服务器、web站点或者任意其它计算装置100来下载应用路由表400。在另一个实施例中,用户建立或者修改客户端102上的应用路由表400。
在一些实施例中,应用路由表400包括一个或者多个网络目的描述410。网络目的描述410可以包括识别以下一个或者多个的信息:目的网络标识符415、目的端口420、协议425、源网络标识符430、源端口435、和内部网应用名称440。目的网络标识符415和源网络标识符430可以包括主机或者域名称、和/或内部网协议地址。在一些实施例中,目的网络标识符415和源网络标识符430包括互联网协议地址的范围、互联网协议地址的列表和/或域或者主机名称的列表。目的端口420和源端口435识别网络通信端节点的一个或者多个端口号。例如,目的端口430可以识别用于http业务和http或者web服务器的端口80。在另一个例子中,目的端口430可以识别用于文件传输协议(ftp)的端口21。在一些实施例中,协议标识符425通过名称、号、版本或者应用来识别一个或者多个类型的协议。在其他实施例中,协议标识符425通过诸如层1-7的网络堆栈的层来识别协议。在一个实施例中,内部网应用名称440识别和目的网络标识符415和/或目的端口420相关联的应用的名称或者标识符。例如,内部网应用名称440可以识别经由目的网络标识符415和/或目的端口420访问的公司应用、数据库、或者电子邮件的名称。
在一个实施例中,网络目的描述410通过互联网协议层信息或者网络层信息来识别网络104上的应用或者服务270的位置。例如,目的网络标识符415和目的端口可以识别网络104上应用的目的地址。在一些实施例中,网络目的描述410识别授权经由设备200访问的目的地。在另一个实施例中,网络目的描述410通过互联网协议层信息或者网络层信息来识别经由网络104访问服务器106的应用或者服务270的客户端的位置。例如,目的网络标识符415和目的端口420可以识别网络上应用的目的位置。在一些实施例中,网络目的描述410识别授权经由设备200访问网络104或者服务器106的客户端。在又一个实施例中,网络目的描述通过互联网协议或者网络层信息来识别客户端102和服务器106之间的业务流的源和目的。在一个实施例中,网络目的描述410识别客户端102和授权经由设备200访问的服务器106之间的业务流。
在一些实施例中,应用路由表400包括一个或者多个客户端应用标识符450。客户端应用标识符450识别客户端102上操作或者被安装的应用,该客户端102被授权用于经由设备200访问网络104或者服务器106。在一个实施例中,客户端应用标识符450包括用于应用的可执行文件的名称,诸如应用的.exe文件的名称。例如,客户端应用标识符450可以包括名称“explorer.exe”、“out look.exe”或者“winword.exe”。在其他实施例中,客户端应用标识符450识别进程或者可执行(文件)的镜像名称。在其他实施例中,客户端应用标识符450包括脚本的名称。在又一个实施例中,客户端应用标识符450包括可以或者正在客户端上操作的进程、任务或者服务的名称。仍在另一个实施例中,客户端应用标识符450包括进程标识符、或者PID、或者PID的范围。
在一个实施例中,设备200的策略引擎236包括和应用路由表400关联的一个或者多个规则,或者其中任意部分。在一些实施例中,策略引擎236包括用于基于网络目的描述410访问、授权、和/或审核的策略。在其他实施例中,策略引擎236包括用于基于客户端应用标识符450访问、授权、和/或审核的策略。在其他实施例中,策略引擎236包括基于网络目的描述410和/或客户端应用标识符450的会话策略和/或业务管理策略。在又一个实施例中,客户端102包括用于基于网络目的描述410和/或客户端应用标识符450应用一个或者多个策略或者规则的策略引擎236。
在操作中,客户端代理120使用应用路由表400用于确定网络堆栈310上的网络通信以拦截。在一个实施例中,客户端代理120拦截具有识别或者对应于网络目的描述410的信息的网络通信。例如,对于应用路由表400的网络目的描述410的目的网络标识符415和/或目的端口420,客户端代理120可以拦截所指定的网络堆栈310上的网络包。在另一个实施例中,客户端代理120拦截网络堆栈310上的网络通信,该网络通信发起自客户端102上与应用路由表400的客户端应用标识符450相对应的应用。在其他实施例中,客户端代理120不拦截不对应于网路目的说明410或者客户端应用标识符450的网络堆栈310上的网络通信。
参见图5,描述客户端102基于由应用路由表400指定的粒度来拦截客户端102的网络通信的方法500的实施例。总的来说,该方法500,在步骤505,客户端102建立与设备200的诸如SSL VPN连接的连接。在步骤510,客户端代理120从设备200接收应用路由表400。在步骤515,客户端代理120拦截客户端102的请求。在一个实施例中,在步骤520,客户端代理120识别发起或者产生请求的应用。在步骤525,客户端代理120确定是否基于应用路由表400经由与设备200的连接发送所拦截的请求。例如,如果请求发起自客户端应用标识符450识别的应用,客户端代理120经由到设备200的连接来发送所拦截的请求。如果在步骤530客户端代理120确定允许所拦截的请求经由设备200访问网络104,客户端代理120经由到设备200的连接来发送所拦截的请求。否则客户端代理120丢弃该请求,或者允许其经由客户端102的网络堆栈310被发送。
在进一步的细节中,在步骤505,客户端代理120与设备200建立传输层连接,诸如经由传输控制协议或者用户数据报协议。在一个实施例中,客户端代理120使用任意类型和形式的隧道协议来建立与设备200的隧道连接。在另一个实施例中,客户端代理120经由设备200建立与网络104的虚拟专用网络连接。例如,客户端代理120可以与设备200建立虚拟专用网络连接来连接第一网络104上的客户端102到第二网络104’。在一些实施例中,客户端代理120与设备200建立SSL VPN连接。在又一个实施例中,客户端代理120使用传输层安全(TLS)协议建立隧道或者虚拟专用网络连接。在一个实施例中,客户端代理120使用由Florida Ft.Lauderdale的Citrix SystemInc制造的公共网关协议(CGP)来建立隧道连接。
在步骤510,客户端代理120获取或者接收来自设备200、客户端102的用户或者计算装置100的应用路由表400。在一个实施例中,客户端代理120依据与设备200建立连接来接收应用路由表400。例如,客户端代理120可以从设备200请求应用路由表400。在另一个实施例中,设备200发送应用路由表400到客户端代理120。例如,如果应用路由表400发生改变,设备200可以将改变传输或者推送到客户端代理120。在一些实施例中,客户端代理120从经由网络104可访问的客户端102或者计算装置100上的存储器加载或者打开应用路由表400。在又一个实施例中,客户端代理120从web站点诸如经由http下载应用路由表400。在进一步的实施例中,客户端代理120经由文件传输协议(FTP)传输具有应用路由表400的文件。在一个实施例中,用户在客户端102上建立或者产生应用路由表。在另一个实施例中,用户配置客户端代理120以具有应用路由表400。
在步骤515,客户端代理120在网络堆栈310上拦截客户端102的请求。在一个实施例中,客户端代理120拦截来自客户端102上的应用的请求以打开传输层连接。在另一个实施例中,客户端代理120为已建立的传输层连接拦截应用的请求。在一些实施例中,客户端代理120拦截发往客户端102的第一网络104的网络包。在另一个实施例中,客户端代理120拦截发往由到设备200的VPN连接所提供的第二网络104’的网络包。在一个实施例中,客户端代理120在网络堆栈310的传输层的接口拦截传输层网络包,诸如经由传输驱动接口(TDI)。在其他实施例中,客户端代理120在网络堆栈310的层4或者传输层或者之下的任意层拦截网络包,诸如网络或者IP层。在又一些实施例中,客户端代理120在层4或者之上的层拦截网络包,诸如网络堆栈310的应用层。
在一些实施例中,在步骤520,客户端代理120通过任意适合的装置和/或机制来识别发起或者产生所拦截的请求的应用。在一个实施例中,客户端代理120经由系统级或者内核模式功能调用来确定应用的标识符。在一个实施例中,客户端代理120经由应用编程接口(API)确定应用的过程ID(PID)和/或名称,该应用与拦截请求的连接或者上下文相关联。在一些实施例中,客户端代理120在客户端代理120经由网络堆栈310拦截应用的连接请求时确定应用的标识符。在其他实施例中,客户端代理120经由所拦截请求的有效载荷的检查来确定应用的标识符。在一个实施例中,客户端代理120在存储器中存储应用标识符,诸如数据结构、对象、表、文件或者数据库。在另一个实施例中,客户端120将应用的标识符和应用的传输层连接相关联并且保持这种关联,诸如经由客户端代理120建立的到设备200的传输层连接。
在步骤525,客户端代理120使用应用路由表400来确定拦截客户端102的哪个网络通信并且经由与设备200所建立的连接发送。在一些实施例中,客户端代理120在第一网络104上拦截客户端102的网络通信,并且通过传输层连接或者应用层协议经由设备200发送到第二网络104’。通过仅拦截对应于应用路由表400的网络目的描述410和/或客户端应用标识符450的客户端的那些网络通信,客户端代理120提供经由到第二网络104’的隧道或者连接发送网络通信的更安全机制和更细粒度控制。在一个实施例中,客户端代理120检查或者分析所拦截的请求,以确定以下一个或者多个信息:目的IP地址、目的端口、源IP地址、和源端口。在一些实施例中,客户端代理120获取该请求的网络包的网络层或者IP相关的信息中的任一个。
在一个实施例中,客户端代理120比较所拦截的请求的信息和应用路由表400的网络目的描述410。如果所拦截的请求匹配网络目的描述410,在步骤530,客户端代理120经由到设备200的连接来发送所拦截的请求。在其他实施例中,如果所拦截的请求不对应于网络目的描述410,在步骤535,客户端代理120不经由到设备200的连接来发送所拦截的请求。在一些实施例中,客户端代理120丢弃所拦截的请求。在另一个实施例中,客户端代理120不拦截请求,而是允许其经由客户端102的网络堆栈310通过。在一些例子中,客户端102经由客户端的第一网络104发送请求,而不是经由到设备200的连接。
在一个例子中,客户端代理120从所拦截的请求确定应用的标识符。在一些实施例中,客户端代理120查询和请求的连接或者上下文相关联的应用。在另一个实施例中,客户端代理120经由系统API调用来确定应用的名称和/或PID。在一些实施例中,客户端代理120从请求的网络包的检查或者分析来确定应用。例如,在一个实施例中,客户端代理120使用网络包的有效载荷的信息来识别应用。
在一个实施例中,在步骤525,客户端代理120比较所拦截的请求的信息与应用路由表400的客户端应用标识符450。如果应用识别出的发起或者发送所拦截的请求匹配客户端应用标识符450,在步骤530,客户端代理120经由到设备200的连接发送所拦截的请求。在其他实施例中,如果所拦截的请求不对应于客户端应用标识符450,客户端代理120不经由到设备200的连接发送所拦截的请求。在一些实施例中,客户端代理120丢弃所拦截的请求,在另一个实施例中,客户端代理120不拦截请求,而是允许其经由客户端102的网络堆栈310传送。在一些例子中,客户端102经由客户端的第一网络104发送该请求,而不是到设备200的连接。
在一些实施例中,应用路由表400识别客户端代理120不应该拦截的网络目的描述410和/或客户端应用标识符450。同样,在一个实施例中,上述描述的方法500被用于基于应用路由表400中的信息确定未经由设备发送的网络包或者客户端请求。在另一个实施例中,客户端代理120如果不对应于网络目的描述410或者客户端应用标识符450,则经由设备200发送客户端102或者应用的任意网络通信。
使用上述方法500,客户端代理120拦截并发送符合细微控制的应用说明的客户端102的那些网络包。以此方式并且在一些实施例中,客户端代理120和设备200提供更安全的网络隧道机制以连接客户端102到专用网络104’。在一个实施例中,客户端代理120拦截具有特定网络层并路由信息的网络包,并且转换经由层4的网络包的传输或者经由传输层连接的应用层信息到设备200。
参见图6,描述了用于基于应用的标识来施加策略以控制应用经由设备200的访问方法的实施例的步骤。总的来说,在步骤605,客户端代理120建立与设备200的连接。在步骤610,客户端代理120拦截客户端102上的应用的请求,在步骤615,识别做出请求的客户端上的应用。在步骤620,客户端代理120发送应用的标识符到设备200。在步骤625,客户端代理120发送所拦截的应用的请求到设备200。在步骤630,基于应用的标识和相关的策略,设备200确定访问级别以提供客户端102的应用。在步骤635,在一个实施例中,设备200授予应用经由设备对网络104或者服务器106的其中之一的访问级别。在另一个实施例中,在步骤640,设备200拒绝应用经由设备对网络104或者服务器106的访问级别。
在详细描述中,在步骤605,客户端102诸如经由客户端代理120,来建立与设备200的连接。在一些实施例中,客户端代理120建立与设备200的传输层连接,诸如经由传输控制协议或者用户数据报协议。在一个实施例中,客户端代理120使用任意类型和形式的隧道协议来建立与设备200的隧道连接。在另一个实施例中,客户端代理120经由设备200建立与网络104的虚拟专用网络连接,诸如SSL VPN或者TLSVPN连接。在又一个实施例中,客户端代理120使用由Ft.Lauderdale的CitrixSystem Inc制造的通用网关协议(CGP)来建立隧道连接。
在步骤610,客户端代理120在网络堆栈310上拦截应用的请求。在一个实施例中,客户端代理120拦截请求以打开经由设备200到服务器106的传输层连接。在另一个实施例中,客户端代理120经由与设备200的所建立的传输层连接拦截到服务器的应用的请求。在一些实施例中,客户端代理120拦截发往客户端102的第一网络104的网络包。在另一个实施例中,客户端代理120拦截发往通过到设备200的VPN连接所提供的第二网络104’的网络包。在一个实施例中,客户端代理120在位于网络堆栈310的传输层的接口拦截传输层网络包,诸如经由传输驱动接口(TDI)。在其他实施例中,客户端代理120在网络堆栈310的层4或者传输层之下的任意层拦截网络包,诸如网络或者IP层。仍在另一个实施例中,客户端代理120在网络堆栈310的层4或者之上拦截网络包,诸如网络堆栈310的应用层。
在步骤615,客户端代理120识别产生或者发起所拦截的请求的应用。在一个实施例中,客户端代理120经由系统层或者内核模式功能调用确定应用的标识符。在一个实施例中,客户端代理120经由应用编程接口(API)确定应用的过程ID(PID)和/或名称,该应用与拦截请求的连接或者上下文相关联。在一些实施例中,客户端代理120在客户端代理120拦截经由网络堆栈310的应用的连接请求时确定应用的标识符。在其他实施例中,客户端代理120经由所拦截请求的有效载荷的检查来确定应用的标识符。在一个实施例中,客户端代理120从数据结构、对象、表、文件或者数据库查询或者询问应用的标识符。在另一个实施例中,客户端代理120将应用的标识符和经由代理120到设备200的应用的传输层连接相关联并且保持这种关联。
在步骤620,客户端代理120发送应用的标识符到设备200,诸如名称或者PID。在一个实施例中,客户端代理120经由在步骤605建立的连接发送应用的标识符到设备200,例如应用的传输层连接。在一些实施例中,客户端代理120经由网络包的首部或者域来发送应用的标识符到设备200。在又一个实施例中,客户端代理120发送设备200的标识符作为发送到设备200的网络包的有效载荷的部分。在其他实施例中,客户端代理120经由客户端代理120和设备200之间的控制或者通信信道发送应用的标识符。例如,客户端代理120和设备200可以通过用于交换信息而建立的传输层连接(诸如TCP或者UDP)来传输信息。在一些实施例中,客户端代理120可以做出对设备200的远程过程或者功能调用,以为设备200识别应用。在一个实施例中,设备200关联应用的标识符到设备200所建立的应用的连接。在又一个实施例中,设备200依据经由设备200的应用的连接请求或者通过检查或者分析经由设备200的应用的网络业务的内容来确定应用的标识。
在步骤625,客户端代理120发送所拦截的应用的请求到设备200。请求可以是来自应用的任意类型和形式的网络通信。在一个实施例中,客户端代理120发送客户端102上的应用的连接请求到设备200。例如,应用可以请求打开与设备200或者经由设备200到服务器106的传输层、SSL或者TLS连接。在其他实施例中,客户端代理120可以拦截将经由到设备200的连接发送的应用的网络通信,并且发送所拦截的网络通信到设备200。在一个实施例中,随着所拦截请求的发送,客户端代理120发送应用的标识。在其他实施例中,设备200已经从客户端代理120接收到用于到设备200的连接的应用的标识。
在步骤630,基于应用的标识和相关的策略,设备200确定访问级别以提供客户端102的应用。对于在步骤625发送的所拦截的请求,设备200从与应用关联的策略确定访问级别以提供到应用。在一个实施例中,设备200从客户端代理120接收所拦截的请求,并且查询用于和该请求或者用于发送该请求的连接相关联的应用的策略。在一些实施例中,用于由策略引擎236提供的应用的策略识别授权、访问和/或审核的类型以应用到所拦截的请求。在一些其他实施例中,设备200可以基于应用的标识来确定审核的内容、审核日志的位置和审核的类型和级别,用于执行。
通过应用的名称、应用的类型或者通过应用的模式匹配名称,诸如以“ms*.exe”开始,或者以诸如“*.pl”的特定文件类型扩展名结束的应用,策略可以与一个或者多个应用的列表相关联。在一些实施例中,对于应用,策略识别授权的类型以执行。例如,策略可以指示从该应用请求一个证书,用来在网络104’上发送所拦截的请求或发送所拦截的请求到服务器106。在另一个实施例中,策略可以指示应用可以需要双因素(two-factor)或者二次验证以准许经由设备200访问。在一些实施例中,策略可以基于应用的请求的类型来指示验证的类型。例如,诸如双因子验证的第一验证类型对到服务器106的打开连接请求可以是必需的,并且第二验证类型用于查询服务器106上的受保护目录。
在另一个实施例中,策略识别经由设备200对网络104’或者服务器106的访问级别。在一个实施例中,策略通过应用的标识符来识别访问被准许或者拒绝。例如,设备200可以通过具有特定名称的应用来拒绝或者准许访问,诸如“out look.exe”或者“msword.exe”。在另一个实施例中,除非应用的标识符匹配未经由策略的给定访问的一个或者多个应用的列表,否则设备200可以准许访问所有的应用。在一些实施例中,除非应用的标识符匹配经由策略的给定访问的一个或者多个应用的列表,否则设备200可以拒绝访问所有的应用。在又一个实施例中,基于应用的标识符,设备200可以提供或者分配多个访问级别的其中之一给拦截的请求或者应用。例如,第一应用可以被分配经由设备对网络104或者服务器106的隔离的或受限的访问级别。在另一个实施例中,基于应用的名称,第二应用可以被分配给用户组,诸如分配命名为“perforce.exe”的应用到工程用户组,或者商业的名称或者RRP应用到商业用户组。
基于步骤630的策略确定,在步骤635,在一个实施例中,设备200准许应用经由设备对网络104或者服务器106的其中之一的访问级别。在一些实施例中,基于应用提供的验证,诸如接收或者没有接收证书,以及应用的标识,设备200可以分配设备200的访问级别,诸如降级或者升级访问级别。在一个实施例中,设备200准许通过应用访问,并且发送所拦截的请求到其目的。在另一个实施例中,设备200准许在接收第一请求时通过应用的访问,并且随后在将策略采用到第一请求之后,设备200允许通过应用持续访问。在一些实施例中,设备200将基于应用的策略施加到经由设备200发送的每一个所拦截的请求。在又一些实施例中,设备200将基于应用的策略施加到应用的请求的类型。
在另一个实施例中,在步骤640,设备200拒绝应用经由设备对网络104或者服务器106的访问级别。在一些实施例中,设备200根据基于应用的策略拒绝通过应用的任意访问,并且丢弃所拦截的请求。在其他实施例中,设备200降低通过应用的访问级别,并且根据分配的访问级别发送所拦截的请求。在一个实施例中,设备200在每一请求的基础上拒绝通过应用的访问。依据应用的一些请求,设备200拒绝访问,而设备200依据其他请求准许访问。例如,设备可以基于请求的类型来施加每个请求策略。
在一些实施例中,在步骤630、635和/或640,基于应用的标识和任意临时信息,诸如请求的时间、应用经由设备建立连接的时间、和/或任意临时策略规则,设备200可以做出验证、授权或者审核策略决策。例如,设备200可以在特定时间周期被授权用于访问。如果设备在授权时间周期之外接收到所拦截的请求,设备200可以具有策略来拒绝对于所拦截请求的访问。此外,基于应用的策略可以与用户或者组策略组合来做出附加的访问、授权和验证策略决策,来提供或者不提供通过设备的访问级别。
考虑到上述的客户端代理和设备的结构、功能和操作,客户端代理提供对客户端经由设备发送的网络通信的控制的细粒度,诸如经SSL VPN连接。客户端代理120可以通过应用名称或者网络或者IP层信息的任意部分和组合(诸如目的和源IP地址以及目的和源端口)来拦截通信。以此方式,客户端代理120能够被配置来拦截特定的网络业务模式,诸如从特定应用到特定应用的业务,和/或特定源端点到特定目的端点之间的业务。通过在客户端或者其附近拦截和过滤网络业务,避免了不必要的网络业务被设备处理,并且避免了设备需要施加策略以保护网络。这给由设备保护的网络提供附加的安全性,而客户端代理不发送不期望的网络业务到设备。此外,以每次应用为基础,并且甚至以对于每次应用的每次请求为基础,设备提供验证、授权和审核策略的更细粒度的控制。
Claims (26)
1.一种用于设备基于应用的标识对客户端上的所述应用经由虚拟专用网络连接对资源的访问级别进行允许或者拒绝的方法,所述方法包括步骤:
(a)由设备建立第一网络上的客户端的应用和第二网络上的服务器之间的虚拟专用网络连接;
(b)由所述设备接收所述应用的标识符;
(c)由所述设备基于所述应用的标识符将所述虚拟专用网络连接与授权策略相关联;
(d)由设备接收来自客户端上的应用经由所述虚拟专用网络连接对第二网络上的资源访问的请求;并且
(e)由所述设备基于所述应用的标识符从所述授权策略来确定允许或者拒绝所述应用访问资源。
2.权利要求1的方法,包括由所述设备拒绝由所述应用访问所述资源。
3.权利要求2的方法,包括由所述设备发送指示访问资源被拒绝的通信到客户端或者应用的其中之一。
4.权利要求1的方法,包括由所述设备允许由所述应用访问资源。
5.权利要求4的方法,包括由所述设备在第二网络上发送所述请求。
6.权利要求1的方法,包括由所述客户端上的代理发送所述应用的名称到所述设备。
7.权利要求1的方法,包括由所述客户端上的代理经所述设备建立到所述第二网络的虚拟专用网络连接。
8.权利要求1的方法,其中,所述应用的标识符包括所述应用的名称。
9.权利要求1的方法,包括由所述客户端的代理拦截从所述应用连接到所述服务器的连接请求。
10.权利要求9的方法,由所述代理从所述连接请求来确定所述应用的标识符。
11.权利要求1的方法,包括由所述授权策略指定应用的名称和访问或者拒绝的授权。
12.权利要求1的方法,包括由所述设备将应用的授权策略与客户端的用户相关联。
13.权利要求1的方法,包括由所述设备基于所述客户端的用户来识别所述应用的所述授权策略。
14.一种用于基于应用的标识对客户端上的所述应用对经由虚拟专用网络连接对资源的访问级别进行允许或者拒绝的系统,所述系统包括:
用于由设备建立第一网络上的客户端的应用和第二网络上的服务器之间的虚拟专用网络连接的装置;
用于由所述设备接收应用的标识符的装置;
用于由所述设备基于所述应用的标识符将所述虚拟专用网络连接与授权策略相关联的装置;
用于由设备接收来自客户端上的应用经由所述虚拟专用网络连接对第二网络上的资源访问的请求的装置;并且
用于由所述设备基于所述应用的标识符从所述授权策略来确定允许或者拒绝所述应用访问资源的装置。
15.权利要求14的系统,包括用于由所述设备拒绝所述应用访问资源的装置。
16.权利要求15的系统,包括用于由所述设备发送指示访问资源被拒绝的通信到客户端或者应用的其中之一的装置。
17.权利要求14的系统,包括用于由所述设备允许所述应用访问资源的装置。
18.权利要求17的系统,包括用于由所述设备在第二网络上发送所述请求的装置。
19.权利要求14的系统,包括用于由所述客户端上的代理发送所述应用的名称到所述设备的装置。
20.权利要求14的系统,包括用于由所述客户端上的代理经所述设备建立到所述第二网络的虚拟专用网络连接的装置。
21.权利要求14的系统,其中,所述应用的标识符包括所述应用的名称。
22.权利要求14的系统,包括用于由所述客户端的代理拦截从所述应用连接到所述服务器的连接请求的装置。
23.权利要求22的系统,包括用于由所述代理从所述连接请求确定所述应用的标识符的装置。
24.权利要求14的系统,包括用于由所述授权策略指定应用的名称和访问或者拒绝的授权的装置。
25.权利要求14的系统,包括用于由所述设备将应用的授权策略与客户端的用户相关联的装置。
26.权利要求14的系统,包括用于由所述设备基于所述客户端的用户来识别所述应用的所述授权策略的装置。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/462,321 US8495181B2 (en) | 2006-08-03 | 2006-08-03 | Systems and methods for application based interception SSI/VPN traffic |
| US11/462,329 | 2006-08-03 | ||
| US11/462321 | 2006-08-03 | ||
| US11/462,321 | 2006-08-03 | ||
| US11/462329 | 2006-08-03 | ||
| US11/462,329 US8869262B2 (en) | 2006-08-03 | 2006-08-03 | Systems and methods for application based interception of SSL/VPN traffic |
| CN200780037175.8A CN101636998B (zh) | 2006-08-03 | 2007-08-02 | 用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780037175.8A Division CN101636998B (zh) | 2006-08-03 | 2007-08-02 | 用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103384250A true CN103384250A (zh) | 2013-11-06 |
| CN103384250B CN103384250B (zh) | 2017-04-26 |
Family
ID=38904791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310292412.2A Active CN103384250B (zh) | 2006-08-03 | 2007-08-02 | 用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| CN (1) | CN103384250B (zh) |
| AU (1) | AU2007281166B2 (zh) |
| HK (1) | HK1140883A1 (zh) |
| WO (1) | WO2008017011A2 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092691A (zh) * | 2014-07-15 | 2014-10-08 | 北京奇虎科技有限公司 | 免root权限的联网防火墙的实现方法及客户端 |
| CN104144126A (zh) * | 2014-08-19 | 2014-11-12 | 北京奇虎科技有限公司 | 通过图像处理实现流量优化的方法及系统、客户端 |
| CN105049431A (zh) * | 2015-06-30 | 2015-11-11 | 深圳市深信服电子科技有限公司 | 数据访问控制方法和装置 |
| CN109150751A (zh) * | 2017-06-16 | 2019-01-04 | 阿里巴巴集团控股有限公司 | 一种网络控制方法及装置 |
| CN109543470A (zh) * | 2018-11-01 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种存储设备安全访问方法及系统 |
| CN109951575A (zh) * | 2017-12-20 | 2019-06-28 | 新智数字科技有限公司 | 拦截指定域名的方法和系统 |
| CN110958227A (zh) * | 2015-02-04 | 2020-04-03 | 英特尔公司 | 用于虚拟化网络的可扩缩安全架构的技术 |
| CN114584334A (zh) * | 2020-11-30 | 2022-06-03 | 夏普株式会社 | 信息处理装置及控制方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729543B (zh) * | 2009-12-04 | 2012-10-03 | 同济大学 | 利用异地Socks5技术改善移动SSL VPN性能的方法 |
| US9237168B2 (en) * | 2012-05-17 | 2016-01-12 | Cisco Technology, Inc. | Transport layer security traffic control using service name identification |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002079949A2 (en) * | 2001-03-30 | 2002-10-10 | Netscreen Technologies, Inc. | Internet security system |
| EP1418730A2 (en) * | 2002-11-06 | 2004-05-12 | AT&T Corp. | Virtual private network crossovers based on certificates |
| US20050265351A1 (en) * | 2004-05-27 | 2005-12-01 | Hewlett-Packard Development Company, L.P. | Network administration |
| US20060005240A1 (en) * | 2004-06-30 | 2006-01-05 | Prabakar Sundarrajan | System and method for establishing a virtual private network |
| CN1787533A (zh) * | 2004-12-10 | 2006-06-14 | 阿尔卡特公司 | 虚拟专用网连接的方法和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US7096495B1 (en) * | 2000-03-31 | 2006-08-22 | Intel Corporation | Network session management |
| US7260599B2 (en) * | 2003-03-07 | 2007-08-21 | Hyperspace Communications, Inc. | Supporting the exchange of data by distributed applications |
| US8572249B2 (en) * | 2003-12-10 | 2013-10-29 | Aventail Llc | Network appliance for balancing load and platform services |
| CA2521563C (en) * | 2004-09-28 | 2016-10-18 | Layer 7 Technologies Inc. | System and method for bridging identities in a service oriented archite cture |
| US7818781B2 (en) * | 2004-10-01 | 2010-10-19 | Microsoft Corporation | Behavior blocking access control |
-
2007
- 2007-08-02 CN CN201310292412.2A patent/CN103384250B/zh active Active
- 2007-08-02 AU AU2007281166A patent/AU2007281166B2/en not_active Ceased
- 2007-08-02 WO PCT/US2007/075035 patent/WO2008017011A2/en active Application Filing
-
2010
- 2010-07-27 HK HK10107195.6A patent/HK1140883A1/xx not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002079949A2 (en) * | 2001-03-30 | 2002-10-10 | Netscreen Technologies, Inc. | Internet security system |
| EP1418730A2 (en) * | 2002-11-06 | 2004-05-12 | AT&T Corp. | Virtual private network crossovers based on certificates |
| US20050265351A1 (en) * | 2004-05-27 | 2005-12-01 | Hewlett-Packard Development Company, L.P. | Network administration |
| US20060005240A1 (en) * | 2004-06-30 | 2006-01-05 | Prabakar Sundarrajan | System and method for establishing a virtual private network |
| CN1787533A (zh) * | 2004-12-10 | 2006-06-14 | 阿尔卡特公司 | 虚拟专用网连接的方法和系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092691A (zh) * | 2014-07-15 | 2014-10-08 | 北京奇虎科技有限公司 | 免root权限的联网防火墙的实现方法及客户端 |
| CN104144126A (zh) * | 2014-08-19 | 2014-11-12 | 北京奇虎科技有限公司 | 通过图像处理实现流量优化的方法及系统、客户端 |
| CN104144126B (zh) * | 2014-08-19 | 2018-01-23 | 北京奇虎科技有限公司 | 通过图像处理实现流量优化的方法及系统、客户端 |
| CN110958227A (zh) * | 2015-02-04 | 2020-04-03 | 英特尔公司 | 用于虚拟化网络的可扩缩安全架构的技术 |
| US11533341B2 (en) | 2015-02-04 | 2022-12-20 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| CN105049431A (zh) * | 2015-06-30 | 2015-11-11 | 深圳市深信服电子科技有限公司 | 数据访问控制方法和装置 |
| CN105049431B (zh) * | 2015-06-30 | 2019-02-15 | 深信服科技股份有限公司 | 数据访问控制方法和装置 |
| CN109150751B (zh) * | 2017-06-16 | 2022-05-27 | 阿里巴巴集团控股有限公司 | 一种网络控制方法及装置 |
| CN109150751A (zh) * | 2017-06-16 | 2019-01-04 | 阿里巴巴集团控股有限公司 | 一种网络控制方法及装置 |
| CN109951575A (zh) * | 2017-12-20 | 2019-06-28 | 新智数字科技有限公司 | 拦截指定域名的方法和系统 |
| CN109951575B (zh) * | 2017-12-20 | 2022-06-10 | 新智数字科技有限公司 | 拦截指定域名的方法和系统 |
| CN109543470A (zh) * | 2018-11-01 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种存储设备安全访问方法及系统 |
| CN114584334A (zh) * | 2020-11-30 | 2022-06-03 | 夏普株式会社 | 信息处理装置及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2007281166A1 (en) | 2008-02-07 |
| CN103384250B (zh) | 2017-04-26 |
| WO2008017011A2 (en) | 2008-02-07 |
| WO2008017011A3 (en) | 2008-07-03 |
| AU2007281166B2 (en) | 2011-12-15 |
| HK1140883A1 (en) | 2010-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101636998B (zh) | 用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 | |
| CN101523865B (zh) | 用于使用http-察觉的客户端代理的系统和方法 | |
| CN101523866B (zh) | 用于分层全局负载平衡的系统和方法 | |
| CN101523806B (zh) | 用于使用动态响应时间来确定网络服务的响应度的方法和设备 | |
| CN103384250A (zh) | 用于ssl/vpn业务的基于应用的拦截和授权的系统和方法 | |
| CN102577302B (zh) | 用于在具有流量管理的连接中使用端点审计的系统和方法 | |
| CN105450674B (zh) | 用于配置和细粒度策略驱动web内容检测和重写的系统和方法 | |
| US8819809B2 (en) | Method and appliance for authenticating, by an appliance, a client to access a virtual private network connection, based on an attribute of a client-side certificate | |
| CN101981888B (zh) | 用于ssl vpn免客户机访问的策略驱动的细粒度url编码机制 | |
| CN103873486B (zh) | 用于负载平衡实时流传输协议的系统和方法 | |
| CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| CN103560905B (zh) | 用于配置、应用和管理网络装置的面向对象策略表达式的系统和方法 | |
| US8397287B2 (en) | Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| US9253193B2 (en) | Systems and methods for policy based triggering of client-authentication at directory level granularity | |
| CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
| CN102224722B (zh) | 用于对象速率限制的系统和方法 | |
| CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| US8356101B2 (en) | Systems and methods for managing a plurality of user sessions in a virtual private network environment | |
| CN102301338B (zh) | 用于基于健康的溢出的系统和方法 | |
| CN101523850A (zh) | 用于提供多模式传输层压缩的系统和方法 | |
| US20050251856A1 (en) | Network access using multiple authentication realms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1191153 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1191153 Country of ref document: HK |