用于在具有流量管理的连接中使用端点审计的系统和方法

文档序号:6349277阅读:366来源:国知局
专利名称:用于在具有流量管理的连接中使用端点审计的系统和方法
技术领域
本申请总的涉及数据通信网络。具体而言,本申请涉及用于在具有流量管理的连接中有选择地认证、授权和审计的系统和方法。
背景技术
公司或企业可跨越网络部署各种服务以便服务来自多个区域的用户。用户可以使用客户机来请求访问由企业提供的诸如web和应用服务器的服务。为了改善对该服务的访问,企业可以在多个不同地理位置动态地部署多个服务器以便改善流量管理,并且根据网络带宽、流量和其他因素来满足用户的需求。网络服务器或设备结合流量管理策略可提供流量管理服务。例如,企业可使用负载平衡器来管理或分布跨越这些服务器的网络流量。而且,为了确定是否对请求访问该服务的客户机准许访问,可以对操作客户机的用户进行认证。该认证过程可以是由网络中的认证服务器(例如RADIUS服务器)提供的,以及由访问请求发起的。也可以提供其他的授权、认证和审计/记账(AAA)服务以建立和监控每个客户机-服务器连接。这些AAA服务通常是由不同的网络模块提供的。而且,认证服务和流量管理服务通常是被分开实现和/或设计的。

发明内容
本方案提供为流量管理提供授权、认证和审计/记账(AAA)支持的系统和方法,通过关联策略特征并扩展握手能力来提高了两个服务集合之间的集成度和互操作性。此外,在AAA和流量管理服务之间的关联可以是动态的和/或静态的,并且可以在多种配置中被实现。—方面,用于对由流量管理虚拟服务器管理的网络流量进行认证的方法包括由流量管理虚拟服务器从访问服务器的客户机请求确定该客户机还未被认证。该请求包括第一统一资源定位符(URL)。响应于该请求,流量管理虚拟服务器可以向客户机传输响应。该响应包括第一 URL和重定向到认证虚拟服务器的指令。认证虚拟服务器可以接收来自客户机的第二请求。第二请求标识第一 URL。认证虚拟服务器接着可以对从客户机收到的证书进行认证并为该客户机建立认证会话。该认证会话可以识别一个或多个策略。而且,认证虚拟服务器可以传输第二响应以便将客户机重定向到流量管理虚拟服务器。第二响应标识该认证会话。流量管理虚拟服务器可以接收来自客户机的第三请求。第三请求包含认证会话的标识符。在一些实施例中,流量管理虚拟服务器可以确定该请求不包含认证会话的标识符。在一个实施例中,流量管理虚拟服务器可以通过隐藏的表单传输标识第一 URL的响应。流量管理虚拟服务器也可以传输包括脚本的响应以触发向认证虚拟服务器的POST请求的传输。响应于传输该响应,认证虚拟服务器可接收包含到预定的URL的POST消息的第二请求。在一些实施例中,除了对从客户机接收的证书进行认证外,认证虚拟服务器将第一 URL和流量管理虚拟服务器的域名与认证会话存在一起。在一些实施例中,响应于收到第三请求,流量管理虚拟服务器(虚拟服务器有时也称为“Werver”)可以验证由标识符识别的认证会话。流量管理vServer也可以使用该标识符识别认证会话的一个或多个策略。而且,流量管理vServer可以将认证会话的一个或多个策略的授权策略应用于第三请求。流量管理vServer也可以将认证会话的一个或多个策略的流量管理策略应用于第三请求。在又一个方面,提供对由流量管理虚拟服务器管理的网络流量的认证的系统包括流量管理虚拟服务器。流量管理虚拟服务器可以从访问服务器的客户机请求确定该客户机还没有被认证。该请求可包括第一统一资源定位符(URL)。响应于该请求,流量管理虚拟服务器可以向客户机传输包括第一 URL和重定向到用于认证的第二虚拟服务器的指令的响应。系统也可以包括接收来自客户机的第二请求的认证虚拟服务器。第二请求标识第一URL0而且,认证虚拟服务器可以对从客户机收到的证书进行认证并为该客户机建立认证会话。该认证会话可以识别一个或多个策略。此外,认证虚拟服务器可以传输第二响应以便将客户机重定向到流量管理虚拟服务器。第二响应标识该认证会话。流量管理虚拟服务器可以接收来自客户机的第三请求。第三请求包含认证会话的标识符。在又一个方面,用于从多个认证虚拟服务器中动态地选择认证虚拟服务器的方法包括由流量管理虚拟服务器从自客户机接收的访问服务器的内容的请求来确定客户机还没有被认证。流量管理虚拟服务器可识别用于从多个认证虚拟服务器选择一个认证虚拟服务器的策略以便提供对客户机的认证。流量管理虚拟服务器可以通过该策略从多个认证虚拟服务器选择认证虚拟服务器以便认证客户机。响应于该请求,流量管理虚拟服务器可以向客户机传输响应。该响应包括重定向到所选择的认证虚拟服务器的指令。在一个实施例中,流量管理虚拟服务器确定该请求不包含会话cookie。在又一个实施例中,流量管理虚拟服务器确定该请求不包含对有效的认证会话的索引。流量管理虚拟服务器可基于请求的用户来识别用于选择认证虚拟服务器的策略。流量管理虚拟服务器也可以基于所收集的关于在客户机上安装的软件的信息来识别用于选择认证虚拟服务器的策略。此外,流量管理虚拟服务器可以基于所收集的关于客户机上的操作系统的信息来识别用于选择认证虚拟服务器的策略。在一个实施例中,响应于该策略的识别,流量管理虚拟服务器从多种类型的认证虚拟服务器中选择认证虚拟服务器作为第一类型的认证虚拟服务器。在又一个实施例中,响应于该策略,流量管理虚拟服务器基于多种认证类型的一种认证类型来选择认证虚拟服务器。在又一个实施例中,流量管理虚拟服务器基于与客户机的对多种认证类型的一种认证类型的协商来选择认证虚拟服务器。在一些实施例中,流量管理虚拟服务器接收访问资源的第二请求。第二请求可包括识别对认证虚拟服务器的认证会话的索引的会话cookie。流量管理虚拟服务器也可以从由该索引识别的认证会话确定要应用于第二请求的一个或多个流量管理策略。在又一个方面,用于从多个认证虚拟服务器中动态地选择认证虚拟服务器的系统包括设备的流量管理虚拟服务器。流量管理虚拟服务器可从自客户机接收的访问服务器的内容的请求来确定客户机还没有被认证。流量管理虚拟服务器也可以识别用于从多个认证虚拟服务器选择认证虚拟服务器的策略以便提供对客户机的认证。该系统也可以包括策略引擎,其给流量管理虚拟服务器提供选择多个认证虚拟服务器的一个认证虚拟服务器的策略以便认证客户机。该系统也可包括流量管理虚拟服务器的网络引擎。网络引擎可向客户机传输对该请求的响应。该响应包括重定向到所选择的认证虚拟服务器的指令。在又一个方面,基于端点审计的结果管理经过中间设备的流量的方法包括由中间设备的认证虚拟服务器确定对客户机的端点分析扫描的结果。流量管理虚拟服务器从认证虚拟服务器获得该结果。此外,流量管理虚拟服务器可以将该结果应用于一个或多个流量管理策略以便管理经过中间设备的客户机的连接的网络流量。在一个实施例中,认证虚拟服务器从客户机接收表达式,所述表达式标识在客户机上的存在的下列的其中一个操作系统的版本、操作系统的服务包、正在运行的服务、正在运行的进程和文件。认证虚拟服务器也可以接收表达式,所述表达式标识在客户机102上的存在的下列之一,或下列的版本反病毒软件、个人防火墙软件、反垃圾邮件软件和互联网安全软件。在一些实施例中,认证虚拟服务器可以接收由客户机求值的一个或多个表达式。所述一个或多个表达式标识客户机的一个或多个属性。认证虚拟服务器可以将对标识客户机的一个或多个属性的一个或多个表达式的求值提供为结果。认证虚拟服务器也可以将所述结果提供为对流量管理虚拟服务器的一个或多个流量管理策略的输入。在一些实施例中,流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的压缩类型。流量管理虚拟服务器也可以基于对使用该结果的一个或多个流量管理策略的应用来确定用于该连接的加密类型。此外,流量管理虚拟服务器可以基于对使用该结果的一个或多个流量管理策略的应用来确定用于所述连接的一个或多个文件类型关联。流量管理虚拟服务器也可以基于经由一个或多个流量管理策略应用所述结果来确定对于所述连接使用或不使用单点登录。在又一个方面,用于基于端点审计的结果管理经过中间设备的流量的中间设备包括认证虚拟服务器。认证虚拟服务器可以确定对客户机的端点分析扫描的结果。中间设备也包括流量管理虚拟服务器,其从认证虚拟服务器获得该结果,并且将该结果应用于一个或多个流量管理策略以管理经过中间设备的客户机连接。在下面的附图和描述中详细阐述了本发明的各种实施例的细节。


本发明的前述和其它目的、方面、特征和优点,通过参考下述结合附图的描述将会更加明显并更易于理解,其中图IA是客户机经由设备访问服务器的网络环境的实施例的框图;图IB是从服务器经由设备传送计算环境到客户机的环境的实施例的框图IC是从服务器经由网络传送计算环境到客户机的环境的实施例的框图;图IE到IF是计算装置的实施例的框图;图2A是用于处理客户机和服务器之间的通信的设备的实施例的框图;图2B是用于优化、加速、负载平衡和路由客户机和服务器之间的通信的设备的又一个实施例的框图;图3是用于通过设备与服务器通信的客户机的实施例的框图;图4A-4E是在其中认证vServer可与流量管理vServer相关联的配置的实施例的框图;图5是为流量管理提供AAA支持的系统的实施例的框图;图6A-6B是用于为流量管理提供AAA支持的方法的步骤的实施例的流程图;图7A-7B是用于为流量管理提供AAA支持的方法的步骤的多个实施例的流程图;图8是基于端点审计的结果来管理经过中间设备的流量的方法的步骤的实施例的流程图。从下面结合附图所阐述的详细描述,本发明的特征和优点将更明显,其中,同样的参考标记在全文中标识相应的元素。在附图中,同样的附图标记通常表示相同的、功能上相似的和/或结构上相似的元素。
具体实施例方式为了阅读下述本发明的各种具体实施例的描述,下述对于说明书的部分以及它们各自内容的描述是有用的-A部分描述有益于本发明的实施例的网络环境和计算环境;-B部分描述用于向远程用户加速传送计算环境的系统和设备架构的实施例;-C部分描述用于加速客户机和服务器之间的通信的客户机代理的实施例;-D部分描述用于向流量管理提供认证、授权和审计支持的系统和方法的实施例。A.网络和计算环境在讨论设备和/或客户机的系统和方法的实施例的细节之前,讨论可在其中部署这些实施例的网络和计算环境是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括经由一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n(同样总的称为服务器106,或远程机器106)通信的一个或多个客户机102a-102n (同样总的称为本地机器102,或客户机10 。在一些实施例中,客户机102通过设备200与服务器106通信。虽然图IA示出了在客户机102和服务器106之间的网络104和网络104,,客户机102和服务器106可以位于同一个的网络104上。网络104和104'可以是相同类型的网络或不同类型的网络。网络104和/或104'可为局域网(LAN)例如公司内网,城域网(MAN),或者广域网(WAN)例如因特网或万维网。在一个实施例中,网络104’可为专用网络并且网络104可为公网。在一些实施例中,网络104’可为专用网并且网络104’可为公网。在又一个实施例中,网络104和104’可都为专用网。在一些实施例中,客户机102可位于公司企业的分支机构中,通过网络104上的WAN连接与位于公司数据中心的服务器106通
网络104和/或104’可以是任何类型和/或形式的网络,并且可包括任何下述网络点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光纤网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络拓扑可以是对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。如图IA所示,设备200被显示在网络104和104’之间,设备200也可被称为接口单元200或者网关200。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其它实施例中,设备200可以位于网络104'上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可在网络104上部署。在一些实施例中,多个设备200可部署在网络104’上。在一个实施例中,第一设备200与第二设备200’通信。在其它实施例中,设备200可为位于与客户机102同一或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的任一点。在一些实施例中,设备200包括由位于佛罗里达州Ft. Lauderdale的CitrixSystems公司制造的被称为Citrix Netkaler设备的任何网络设备。在其它实施例中,设备200包括由位于华盛顿州西雅图的F5 Networks公司制造的被称为W^ebAcceIerator和BigIP的任何一个产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的JuniperNetworks公司制造的DX加速设备平台和/或诸如SA700、SA2000、SA4000和SA6000的SSL VPN系列设备中的任何一个。在又一个实施例中,设备200包括由位于加利福尼亚州San Jose的Cisco Systems公司制造的任何应用加速和/或安全相关的设备和/或软件,例如Cisco ACE应用控制引擎模块服务(Application ControlEngine Module service)软件和网络模块以及Cisco AVS系列应用速度系统(ApplicationVelocity System)。在一个实施例中,系统可包括多个逻辑分组的服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中,服务器106可为地理上分散的。在一些情况中,群38可以作为单个实体被管理。在其它实施例中,服务器群38包括多个服务器群38。在一个实施例中,服务器群代表一个或多个客户机102执行一个或多个应用程序。在每个群38中的服务器106可为不同种类。一个或多个服务器106可根据一种类型的操作系统平台(例如,由华盛顿州Redmond的Microsoft公司制造的WINDOWS NT)操作,而一个或多个其它服务器106可根据另一类型的操作系统平台(例如,Unix或Linux)操作。每个群38的服务器106不需要与同一群38内的另一个服务器106物理上接近。因此,被逻辑分组为群38的服务器106组可使用广域网(WAN)连接或城域网(MAN)连接互联。例如,群38可包括物理上位于不同大陆或大陆的不同区域、国家、州、城市、校园或房间的服务器106。如果使用局域网(LAN)连接或一些直连形式来连接服务器106,则可增加群38中的服务器106间的数据传送速度。服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可以有作为应用服务器或者作为主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户机102也可称为客户端节点或端点。在一些实施例中,客户机102可以有作为客户机节点寻求访问服务器上的应用的能力, 也可以有作为应用服务器为其它客户机102a-102n提供对寄载的应用的访问的能力。在一些实施例中,客户机102与服务器106通信。在一个实施例中,客户机102可与群38中的服务器106的其中一个直接通信。在又一个实施例中,客户机102执行程序邻近应用(program neighborhood application)以与群38内的服务器106通信。在又一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户机102通过网络104与群 38中的服务器106通信。通过网络104,客户机102例如可以请求执行群38中的服务器 106a-106n寄载的各种应用,并接收应用执行结果的输出进行显示。在一些实施例中,只有主节点提供识别和提供与寄载所请求的应用的服务器106'相关的地址信息所需的功能。在一个实施例中,服务器106提供web服务器的功能。在又一个实施例中,服务器106a接收来自客户机102的请求,将该请求转发到第二服务器106b,并使用来自服务器 106b对该请求的响应来对客户机102的请求进行响应。在又一个实施例中,服务器106获得客户机102可用的应用的列举以及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个实施例中,服务器106使用web接口将对请求的响应提供给客户机 102。在一个实施例中,客户机102直接与服务器106通信以访问所识别的应用。在又一个实施例中,客户机102接收由执行服务器106上所识别的应用的执行而产生的诸如显示数据的应用输出数据。现在参考图1B,描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上,而第二设备200'部署在第二网络104'上。例如,公司可以在分支机构部署第一设备200,而在数据中心部署第二设备200'。在又一个实施例中,第一设备200和第二设备200'被部署在同一个网络104或网络104上。例如,第一设备200可以被部署用于第一服务器群38,而第二设备200可以被部署用于第二服务器群38'。在另一个实例中,第一设备200可以被部署在第一分支机构,而第二设备200 ‘被部署在第二分支机构'。在一些实施例中,第一设备200和第二设备200'彼此协同或联合工作,以加速客户机和服务器之间的网络流量或应用和数据的传送。现在参考图1C,描述了网络环境的又一个实施例,在该网络环境中,将设备200和一个或多个其它类型的设备部署在一起,例如,部署在一个或多个WAN优化设备205,205 ’ 之间。例如,第一 WAN优化设备205显示在网络104和104'之间,而第二 WAN优化设备 205'可以部署在设备200和一个或多个服务器106之间。例如,公司可以在分支机构部署第一 WAN优化设备205,而在数据中心部署第二 WAN优化设备205'。在一些实施例中,设备205可以位于网络104'上。在其它实施例中,设备205'可以位于网络104上。在一些实施例中,设备205'可以位于网络104'或网络104"上。在一个实施例中,设备205和 205'在同一个网络上。在又一个实施例中,设备205和205'在不同的网络上。在另一个实例中,第一 WAN优化设备205可以被部署用于第一服务器群38,而第二 WAN优化设备205' 可以被部署用于第二服务器群38'。在一个实施例中,设备205是用于加速、优化或者以其他方式改善任何类型和形式的网络流量(例如去往和/或来自WAN连接的流量)的性能、操作或服务质量的装置。在一些实施例中,设备205是一个性能增强代理。在其它实施例中,设备205是任何类型和形式的WAN优化或加速装置,有时也被称为WAN优化控制器。在一个实施例中,设备205 是由位于佛罗里达州Ft. Lauderdale的Citrix Systems公司出品的被称为WANkaler的产品实施例中的任何一种。在其它实施例中,设备205包括由位于华盛顿州kattle的F5 Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施例中的任何一种。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的Juniper Netfforks公司出品的WX和WXC WAN加速装置平台中的任何一种。在一些实施例中,设备205包括由加利福尼亚州San Francisco的Riverbed Technology公司出品的虹鳟(steelhead)系列 WAN优化设备中的任何一种。在其它实施例中,设备205包括由位于新泽西州Roseland的 Expand Networks公司出品的WAN相关装置中的任何一种。在一个实施例中,设备205包括由位于加利福尼亚州Cupertino的I^acketeer公司出品的任何一种WAN相关设备,例如由Packeteer提供的PacketShaper、iShared和SkyX产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州San Jose的Cisco Systems公司出品的任何WAN相关设备和/或软件,例如Cisco广域网应用服务软件和网络模块以及广域网引擎设备。在一个实施例中,设备205为分支机构或远程办公室提供应用和数据加速服务。 在一个实施例中,设备205包括广域文件服务(WAR5)的优化。在又一个实施例中,设备205 加速文件的传送,例如经由通用互联网文件系统(CIFS)协议。在其它实施例中,设备205在存储器和/或存储装置中提供高速缓存来加速应用和数据的传送。在一个实施例中,设备 205在任何级别的网络堆栈或在任何的协议或网络层中提供网络流量的压缩。在又一个实施例中,设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理,以加速WAN 连接上的应用和数据的传送。例如,在一个实施例中,设备205提供传输控制协议(TCP)优化。在其它实施例中,设备205提供对于任何会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。在又一个实施例中,设备205将任何类型和形式的数据或信息编码成网络分组的定制的或标准的TCP和/或IP的报头字段或可选字段,以将其存在、功能或能力通告给另一个设备205'。在又一个实施例中,设备205'可以使用在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205'进行通信。例如,设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如WAN加速的功能时或者为了彼此联合工作而由设备205,205' 所使用的一个或多个参数。在一些实施例中,设备200保存在设备205和205 ‘之间传达的TCP和/或IP报头和/或可选字段中编码的任何信息。例如,设备200可以终止经过设备200的传输层连接,例如经过设备205和205'的在客户机和服务器之间的一个传输层连接。在一个实施例中,设备200识别并保存由第一设备205通过第一传输层连接发送的传输层分组中的任何编码信息,并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205'。现在参考图1D,描述了用于传送和/或操作客户机102上的计算环境的网络环境。 在一些实施例中,服务器106包括用于向一个或多个客户机102传送计算环境或应用和/ 或数据文件的应用传送系统190。总的来说,客户机10通过网络104、104’和设备200与服务器106通信。例如,客户机102可驻留在公司的远程办公室里,例如分支机构,并且服务器106可驻留在公司数据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。可经由设备200和/或服务器 106传送计算环境15、应用和/或数据文件。在一些实施例中,设备200加速计算环境15或者其任何部分到客户机102的传送。在一个实施例中,设备200通过应用传送系统190加速计算环境15的传送。例如,可使用此处描述的实施例来加速从公司中央数据中心到远程用户位置(例如公司的分支机构) 的流应用(streaming application)及该应用可处理的数据文件的传送。在又一个实施例中,设备200加速客户机102和服务器106之间的传输层流量。设备200可以提供用于加速从服务器106到客户机102的任何传输层有效载荷的加速技术,例如1)传输层连接池, 2)传输层连接多路复用,幻传输控制协议缓冲,4)压缩和幻高速缓存。在一些实施例中, 设备200响应于来自客户机102的请求提供服务器106的负载平衡。在其它实施例中,设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在又一个实施例中,设备200提供从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接,诸如SSL VPN连接。在又一些实施例中,设备200提供客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任一认证和授权策略,应用传送管理系统190提供将计算环境传送到远程的或者另外的用户的桌面的应用传送技术。使用这些技术,远程用户可以从任何网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送系统190可驻留在服务器106上或在其上执行。在又一个实施例中,应用传送系统190可驻留在多个服务器 106a-106n上或在其上执行。在一些实施例中,应用传送系统190可在服务器群38内执行。 在一个实施例中,执行应用传送系统190的服务器106也可存储或提供应用和数据文件。在又一个实施例中,一个或多个服务器106的第一组可执行应用传送系统190,而不同的服务器106η可存储或提供应用和数据文件。在一些实施例中,应用传送系统190、应用和数据文件中的每一个可驻留或位于不同的服务器。在又一个实施例中,应用传送系统190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。客户机102可包括用于执行使用或处理数据文件的应用的计算环境15。客户机 102可通过网络104、104’和设备200请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以将来自客户机102的请求转发到服务器106。例如,客户机102可能不具有本地存储或者本地可访问的应用和数据文件。响应于请求,应用传送系统190和/或服务器106可以传送应用和数据文件到客户机102。例如,在一个实施例中,服务器106可以把应用作为应用流来传输,以在客户机102上的计算环境15中操作。在一些实施例中,应用传送系统190包括Citrix Systems有限公司的Citrix Access Suite 的任一部分(例如 MetaFrame 或 Citrix PresentationServer ),和 / 或微软公司幵发的Microsof t WindowS终端服务中的任何一个。在一个实施例中,应用传送系统190可以通过远程显示协议或者以其它方式通过基于远程计算或者基于服务器计算来传送一个或者多个应用到客户机102或者用户。在又一个实施例中,应用传送系统190可以通过应用流来传送一个或者多个应用到客户机或者用户。在一个实施例中,应用传送系统190包括策略引擎195,其用于控制和管理对应用的访问、应用执行方法的选择以及应用的传送。在一些实施例中,策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在又一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户机102,例如执行方法。在一些实施例中,应用传送系统190 提供多个传送技术,从中选择应用执行的方法,例如基于服务器的计算、本地流式传输或传送应用给客户机120以用于本地执行。在一个实施例中,客户机102请求应用程序的执行并且包括服务器106的应用传送系统190选择执行应用程序的方法。在一些实施例中,服务器106从客户机102接收证书。在又一个实施例中,服务器106从客户机102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送系统190列举对于客户机102可用的多个应用程序。应用传送系统190接收执行所列举的应用的请求。应用传送系统190选择预定数量的方法之一来执行所列举的应用,例如响应策略引擎的策略。应用传送系统190可以选择执行应用的方法,使得客户机102接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。在又一个实施例中,应用传送系统190可以选择执行应用的方法,以通过网络104流式传输应用到客户机102。客户机102可以执行、操作或者以其它方式提供应用,所述应用可为任何类型和/ 或形式的软件、程序或者可执行指令,例如任何类型和/或形式的web浏览器、基于web的客户机、客户机-服务器应用、瘦客户端计算客户机、ActiveX控件、或者Java程序、或者可以在客户机102上执行的任何其它类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户机102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以使用任何瘦-客户端或远程显示协议来显示输出到客户机102,所述瘦客户端或远程显示协议例如由位于佛罗里达州Ft. Lauderdale的Citrix Systems公司出品的独立计算架构(ICA)协议或由位于华盛顿州Redmond的微软公司出品的远程桌面协议(RDP)。应用可使用任何类型的协议,并且它可为,例如,HTTP客户机、FTP客户机、Oscar 客户机或Telnet客户机。在其它实施例中,应用包括和VoIP通信相关的任何类型的软件, 例如软IP电话。在进一步的实施例中,应用包括涉及到实时数据通信的任一应用,例如用于流式传输视频和/或音频的应用。在一些实施例中,服务器106或服务器群38可运行一个或多个应用,例如提供瘦客户端计算或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群38作为一个应用来执行Citrix Systems有限公司的Citrix Access Suite 的任一部分(例如 MetaFrame 或 Citrix PresentationServer ),和 / 或微软公司开发的Microsof t Windows终端服务中的任何一个。在一个实施例中,该应用是位于佛罗里达州R)rt Lauderdale的CitrixSystems有限公司开发的ICA客户机。在其它实施例中,该应用包括由位于华盛顿州Redmond的Microsoft公司开发的远程桌面(RDP)客户机。另外,服务器 106可以运行一个应用,例如,其可以是提供电子邮件服务的应用服务器,例如由位于华盛顿州 Redmond 的 Microsoft 公司制造的 MicrosoftExchange, web 或 Internet 月艮务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任一类型的所寄载的服务或产品,例如位于加利福尼亚州Santa Barbara的Citrix Online Division提供的 GoToMeeting ,位于加利福尼亚州Santa Clara的WebEx有限公司提供的WebEx ,或者位于华盛顿州 Redmond 的 Microsoft 公司提供的 MicrosoftOfTice Live Meeting。
仍然参看图1D,网络环境的一个实施例可以包括监控服务器106A。监控服务器 106A可以包括任何类型和形式的性能监控服务198。性能监控服务198可以包括监控、测量和/或管理软件和/或硬件,包括数据收集、集合、分析、管理和报告。在一个实施例中,性能监控服务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任何软件、硬件或其组合。在一些实施例中,监控代理197包括诸如Visual Basic脚本或Javascript任何类型和形式的脚本。在一个实施例中,监控代理197相对于装置的任何应用和/或用户透明地执行。在一些实施例中,监控代理197相对于应用或客户机不显眼地被安装和操作。在又一个实施例中,监控代理197的安装和操作不需要用于该应用或装置的任何设备。在一些实施例中,监控代理197以预定频率监控、测量和收集数据。在其它实施例中,监控代理197基于检测到任何类型和形式的事件来监控、测量和收集数据。例如,监控代理197可以在检测到对web页面的请求或收到HTTP响应时收集数据。在另一个实例中, 监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197 可以报告或提供任何所监控、测量或收集的数据给监控服务198。在一个实施例中,监控代理197根据时间安排或预定频率来发送信息给监控服务198。在又一个实施例中,监控代理 197在检测到事件时发送信息给监控服务198。在一些实施例中,监控服务198和/或监控代理197对诸如客户机、服务器、服务器群、设备200、设备205或网络连接的任何网络资源或网络基础结构元件的进行监控和性能测量。在一个实施例中,监控服务198和/或监控代理197执行诸如TCP或UDP连接的任何传输层连接的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197 监控和测量网络等待时间。在又一个实施例中,监控服务198和/或监控代理197监控和测量带宽利用。在其它实施例中,监控服务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中,监控服务198执行应用的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197执行到应用的任何会话或连接的监控和性能测量。在一个实施例中,监控服务198和/或监控代理197监控和测量浏览器的性能。在又一个实施例中, 监控服务198和/或监控代理197监控和测量基于HTTP的事务的性能。在一些实施例中, 监控服务198和/或监控代理197监控和测量IP电话(VoIP)应用或会话的性能。在其它实施例中,监控服务198和/或监控代理197监控和测量诸如ICA客户机或RDP客户机的远程显示协议应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何类型和形式的流媒体的性能。在进一步的实施例中,监控服务198和/或监控代理197监控和测量所寄载的应用或软件即服务(Software-As-A-Service,SaaS)传送模型的性能。在一些实施例中,监控服务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其它实施例中,监控服务198和/或监控代理 197监控和测量应用层堆栈的任何部分,例如任何.NET或J2EE调用。在一个实施例中,监控服务198和/或监控代理197监控和测量数据库或SQL事务。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何方法、函数或应用编程接口(API)调用。在一个实施例中,监控服务198和/或监控代理197对经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送进行监控和性能测量。在一些实施例中,监控服务198和/或监控代理197监控和测量虚拟化应用的传送的性能。在其它实施例中,监控服务198和/或监控代理197监控和测量流式应用的传送的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量客户机/服务器应用的性能。在一个实施例中,监控服务198和/或监控代理197被设计和构建成为应用传送系统190提供应用性能管理。例如,监控服务198和/或监控代理197可以监控、测量和管理经由Citrix表示服务器(Citrix PresentationServer)传送应用的性能。在该实例中, 监控服务198和/或监控代理197监控单独的ICA会话。监控服务198和/或监控代理 197可以测量总的以及每次的会话系统资源使用,以及应用和连网性能。监控服务198和/ 或监控代理197可以对于给定用户和/或用户会话来标识有效服务器(activeserver)。在一些实施例中,监控服务198和/或监控代理197监控在应用传送系统190和应用和/或数据库服务器之间的后端连接。监控服务198和/或监控代理197可以测量每个用户会话或ICA会话的网络等待时间、延迟和容量。在一些实施例中,监控服务198和/或监控代理197测量和监控对于应用传送系统190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其它实施例中,监控服务198和/或监控代理197测量和监控诸如总的CPU使用、每个用户会话和/ 或每个进程的应用传送系统190的CPU使用。在又一个实施例中,监控服务198和/或监控代理197测量和监控登录到诸如Citrix表示服务器的应用、服务器或应用传送系统所需的时间。在一个实施例中,监控服务198和/或监控代理197测量和监控用户登录应用、服务器或应用传送系统190的持续时间。在一些实施例中,监控服务198和/或监控代理197 测量和监控应用、服务器或应用传送系统会话的有效和无效的会话计数。在又一个实施例中,监控服务198和/或监控代理197测量和监控用户会话等待时间。在又一个实施例中,监控服务198和/或监控代理197测量和监控任何类型和形式的服务器指标。在一个实施例中,监控服务198和/或监控代理197测量和监控与系统内存、CPU使用和磁盘存储器有关的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控和页错误有关的指标,诸如每秒页错误。在其它实施例中,监控服务198 和/或监控代理197测量和监控往返时间的指标。在又一个实施例中,监控服务198和/ 或监控代理197测量和监控与应用崩溃、错误和/或中止相关的指标。在一些实施例中,监控服务198和监控代理198包括由位于佛罗里达州 Ft. Lauderdale的Citrix Systems公司出品的被称为EdgeSight的任何一种产品实施例。 在又一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州I^lo Alto的Symphoniq公司出品的被称为TrueView产品套件的产品实施例的任一部分。在一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州San Francisco 的TeaLeaf技术公司出品的被称为TeaLeafCX产品套件的产品实施例的任何部分。在其它实施例中,性能监控服务198和/或监控代理198包括由位于德克萨斯州Houston的BMC 软件公司出品的诸如BMC性能管理器和巡逻产品(BMC Performance Manager and Patrol products)的商业服务管理产品的任何部分。
客户机102、服务器106和设备200可以被部署为和/或执行在任何类型和形式的计算装置上,诸如能够在任何类型和形式的网络上通信并执行此处描述的操作的计算机、 网络装置或者设备。图IE和IF描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图IE和IF所示,每个计算装置100包括中央处理单元101 和主存储器单元122。如图IE所示,计算装置100可以包括可视显示装置124、键盘1 和 /或诸如鼠标的指示装置127。每个计算装置100也可包括其它可选元件,例如一个或多个输入/输出装置130a-130b (总的使用附图标记130表示),以及与中央处理单元101通信的高速缓存存储器140。中央处理单元101是响应并处理从主存储器单元122取出的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如由加利福尼亚州Mountain View的Intel公司制造的微处理器单元;由伊利诺伊州Schaumburg的Motorola公司制造的微处理器单元;由加利福尼亚州Santa Clara的Transmeta公司制造的微处理器单元;由纽约州 White Plains 的 hterhational Business Machines 公司制造的 RS/6000 处理器; 或者由加利福尼亚州Sunnyvale的Advanced Micro Devices公司制造的微处理器单元。计算装置100可以基于这些处理器中的任何一种,或者能够按照这里所说明的那样运行的任何其它处理器。主存储器单元122可以是能够存储数据并允许微处理器101直接访问任何存储位置的一个或多个存储器芯片,例如静态随机存取存储器(SRAM)、突发SRAM或同步突发SRAM (BSRAM)、动态随机存取存储器DRAM、快速页模式DRAM (FPM DRAM)、增强型 DRAM (EDRAM)、扩展数据输出RAM (EDO RAM)、扩展数据输出DRAM (EDO DRAM)、突发式扩展数据输出 DRAM (BED0 DRAM)、增强型 DRAM (EDRAM)、同步 DRAM (SDRAM)、JEDEC SRAM、PClOO SDRAM、双数据速率 SDRAM (DDR SDRAM)、增强型 SRAM (ESDRAM)、同步链路 DRAM (SLDRAM)、直接Rambus DRAM (DRDRAM)或铁电RAM (FRAM)。主存储器122可以基于上述存储芯片的任何一种,或者能够像这里所说明的那样运行的任何其它可用存储芯片。在图IE中所示的实施例中,处理器101通过系统总线150(在下面进行更详细的描述)与主存储器122进行通信。图IE描述了在其中处理器通过存储器端口 103直接与主存储器122通信的计算装置 100的实施例。例如,在图IF中,主存储器122可以是DRDRAM。图IF描述了在其中主处理器101通过第二总线与高速缓存存储器140直接通信的实施例,第二总线有时也称为背侧总线。其他实施例中,主处理器101使用系统总线150 和高速缓存存储器140通信。高速缓存存储器140通常有比主存储器122更快的响应时间,并且通常由SRAM、BSRAM或EDRAM提供。在图IF中所示的实施例中,处理器101通过本地系统总线150与多个1/0装置130进行通信。可以使用各种不同的总线将中央处理单元 101连接到任何1/0装置130,所述总线包括VESA VL总线、ISA总线、EISA总线、微通道体系结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于1/0装置是视频显示器124的实施例,处理器101可以使用高级图形端口(AGP)与显示器IM通信。图 IF说明了主处理器101通过超传输(HyperTransport)、快速1/0或者InfiniBand直接与 1/0装置130通信的计算机100的一个实施例。图IF还描述了在其中混合本地总线和直接通信的实施例处理器101使用本地互连总线与1/0装置130进行通信,同时直接与1/0 装置130进行通信。
计算装置100可以支持任何适当的安装装置116,例如用于接收像3. 5英寸、5. 25 英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM 驱动器、多种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装像任何客户机代理120 或其部分的软件和程序的任何其它装置。计算装置100还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列,用于存储操作系统和其它相关软件,以及用于存储诸如涉及客户机代理120的任何程序的应用软件程序。或者,可以使用安装装置116 的任何一种作为存储装置128。此外,操作系统和软件可从例如可引导CD的可引导介质运行,诸如KNOPPIX ,一种用于GNU/Linux的可引导CD,该可引导CD可自knoppix. net作为 GNU/Linux分发获得。此外,计算装置100可以包括通过多种连接接口到局域网(LAN)、广域网(WAN)或因特网的网络接口 118,所述多种连接包括但不限于标准电话线路、LAN或WAN链路(例如 802.11,Tl,T3、56kb、X. 25)、宽带连接(如ISDN、帧中继、ATM)、无线连接、或上述任何或所有连接的一些组合。网络接口 118可以包括内置网络适配器、网络接口卡、PCMCIA网络卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算装置 100接口到能够通信并执行这里所说明的操作的任何类型的网络的任何其它设备。计算装置100中可以包括各种I/O装置130a-130n。输入装置包括键盘、鼠标、触控板、轨迹球、麦克风和绘图板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图IE所示,I/O装置130可以由I/O控制器123控制。I/O控制器可以控制一个或多个I/O装置,例如键盘1 和指示装置127(如鼠标或光笔)。此外,I/ 0装置还可以为计算装置100提供存储装置1 和/或安装介质116。在其它实施例中, 计算装置100可以提供USB连接以接收手持USB存储装置,例如由位于加利福尼亚州Los Alamitos,的Twintech Industry公司生产的设备的USB闪存驱动器线。在一些实施例中,计算装置100可以包括多个显示装置1对『12如或与其相连,这些显示装置各自可以是相同或不同的类型和/或形式。因而,任何一种I/O装置130a-130n 和/或I/O控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置100连接和使用多个显示装置12如-1对11。例如, 计算装置100可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示装置1对『12如接口、通信、连接或以其他方式使用显示装置。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置1对『12如接口。在其它实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置12如-1对11中的一个或多个连接。在一些实施例中,计算装置100的操作系统的任一部分都可以被配置用于使用多个显示器12如-1对11。在其它实施例中,显示装置12^-124n中的一个或多个可以由一个或多个其它计算装置提供,诸如例如通过网络与计算装置100连接的计算装置IOOa和100b。 这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算装置100的第二显示装置12 的任一类型的软件。本领域的普通技术人员会认识和理解可以将计算装置100配置成具有多个显示装置12如-1对11的各种方法和实施例。在进一步的实施例中,I/O装置130可以是系统总线150和外部通信总线之间的桥170,所述外部通信总线例如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、 Fireffire总线、Fireffire800总线、以太网总线、AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行SCSI总线。图IE和IF中描述的那类计算装置100通常在控制任务的调度和对系统资源的访问的操作系统的控制下操作。计算装置100可以运行任何操作系统,如 Microsoft Windows操作系统,不同发行版本的Unix和Linux操作系统,用于Macintosh 计算机的任何版本的MAC OS ,任何嵌入式操作系统,任何实时操作系统,任何开源操作系统,任何专有操作系统,任何用于移动计算装置的操作系统,或者任何其它能够在计算装置上运行并完成这里所述操作的操作系统。典型的操作系统包括WIND0WS 3. x.WINDOWS 95、 WINDOWS 98,WINDOWS 2000,WINDOWS NT 3. 5UffINDOffS NT 4. 0、WINDOWS CE禾口WIND0WSXP, 所有这些均由位于华盛顿州Redmond的微软公司出品;由位于加利福尼亚州Cupertino的苹果计算机出品的MacOS ;由位于纽约州Armonk的国际商业机器公司出品的OS/2 ;以及由位于犹他州Mlt Lake City的Caldera公司发布的可免费使用的Linux操作系统或者任何类型和/或形式的Unix操作系统,以及其它。在其它实施例中,计算装置100可以有符合该装置的不同的处理器、操作系统和输入设备。例如,在一个实施例中,计算机100是由I^alm公司出品的Treo 180、270、1060、600 或650智能电话。在该实施例中,Treo智能电话在I3aImOS操作系统的控制下操作,并包括指示笔输入装置以及五向导航装置。此外,计算装置100可以是任何工作站、桌面计算机、 膝上型或笔记本计算机、服务器、手持计算机、移动电话、任何其它计算机、或能够通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式的计算或者电信装置。B.设备架构图2A示出设备200的一个示例实施例。提供图2A的设备200架构仅用于示例, 并不意于作为限制性的架构。如图2所示,设备200包括硬件层206和被分为用户空间202 和内核空间204的软件层。硬件层206提供硬件元件,在内核空间204和用户空间202中的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件,就设备200而言,这些结构和元件允许在内核空间204和用户空间202内的程序和服务既在内部进行数据通信又与外部进行数据通信。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元沈2,用于存储软件和数据的存储器264,用于通过网络传输和接收数据的网络端口沈6,以及用于执行与安全套接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层 206可包括用于每个处理单元262和加密处理器沈0的多处理器。处理器262可以包括以上结合图IE和IF所述的任一处理器101。例如,在一个实施例中,设备200包括第一处理器262和第二处理器沈2,。在其它实施例中,处理器262或者沈2,包括多核处理器。虽然示出的设备200的硬件层206通常带有加密处理器沈0,但是处理器260可为执行涉及任何加密协议的功能的处理器,例如安全套接字协议层(SSL)或者传输层安全 (TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并且在进一步的实施例中,可为用于执行任何安全相关协议处理的可执行指令。虽然图2中设备200的硬件层206包括了某些元件,但是设备200的硬件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件,例如此处结合图IE和IF示出和讨论的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备,并且拥有与此相关的任何硬件和/或软件元件。设备200的操作系统分配、管理或另外分离可用的系统存储器到内核空间204和用户空间204。在示例的软件架构200中,操作系统可以是任何类型和/或形式的Unix操作系统,尽管本发明并未这样限制。这样,设备200可以运行任何操作系统,如任何版本的 Microsoft Windows操作系统、不同版本的Unix和Linux操作系统、用于Macintosh计算机的任何版本的Mac OS 、任何的嵌入式操作系统、任何的网络操作系统、任何的实时操作系统、任何的开放源操作系统、任何的专用操作系统、用于移动计算装置或网络装置的任何操作系统、或者能够运行在设备200上并执行此处所描述的操作的任何其它操作系统。保留内核空间204用于运行内核230,内核230包括任何设备驱动器,内核扩展或其他内核相关软件。就像本领域技术人员所知的,内核230是操作系统的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例,内核空间 204也包括与高速缓存管理器232协同工作的多个网络服务或进程,高速缓存管理器232有时也称为集成的高速缓存,其益处此处将进一步详细描述。另外,内核230的实施例将依赖于通过设备200安装、配置或其他使用的操作系统的实施例。在一个实施例中,设备200包括一个网络堆栈沈7,例如基于TCP/IP的堆栈,用于与客户机102和/或服务器106通信。在一个实施例中,使用网络堆栈267与第一网络(例如网络108)以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户机102的TCP连接,并建立客户机102使用的到服务器106的第二传输层连接,例如, 终止在设备200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络堆栈,例如267或沈7’,并且在一个网络堆栈267可建立或终止第一传输层连接,在第二网络堆栈沈7’上可建立或者终止第二传输层连接。例如,一个网络堆栈可用于在第一网络上接收和传输网络分组,并且另一个网络堆栈用于在第二网络上接收和传输网络分组。在一个实施例中,网络堆栈267包括用于为一个或多个网络分组进行排队的缓冲器M3,其中网络分组由设备200传输。如图2所示,内核空间204包括高速缓存管理器232、高速层2_7集成分组引擎 M0、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、M0、234、236和238提高这些组件中的每个单独的和结合的性能。内核操作意味着这些组件或进程232、M0、234、236和238在设备 200的操作系统的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密操作到内核可改进加密性能,从而可减少在内核模式中的存储空间或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如,在内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线程,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另外,在任何组件或进程232、M0、235、236和238间的同步和通信在内核空间204中可被执行的更有效率。在一些实施例中,组件232、M0、234、236和238的任何部分可在内核空间204中运行或操作,而这些组件232、M0、234、236和238的其它部分可在用户空间202中运行或操作。在一个实施例中,设备200使用内核级数据结构来提供对一个或多个网络分组的任何部分的访问,例如,包括来自客户机102的请求或者来自服务器106的响应的网络分组。 在一些实施例中,可以由分组引擎240通过到网络堆栈沈7的传输层驱动器接口或过滤器获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络流量或分组。在其他实施例中,任何组件或进程232、M0、234、236和238可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中,当使用内核级数据结构时,组件232、M0、234、236和238在内核模式204中运行,而在又一个实施例中,当使用内核级数据结构时,组件232、对0、234、 236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传递到第二内核级数据结构,或任何期望的用户级数据结构。高速缓存管理器232可包括软件、硬件或软件和硬件的任何组合,以提供对任何类型和形式的内容的高速缓存访问、控制和管理,例如对象或由源服务器106提供服务的动态产生的对象。由高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式 (例如标记语言)的数据,或者通过任何协议的通信的任何类型的数据。在一些实施例中, 高速缓存管理器232复制存储在其他地方的原始数据或先前计算、产生或传输的数据,其中相对于读高速缓存存储器元件,需要更长的访问时间以取得、计算或以其他方式得到原始数据。一旦数据被存储在高速缓存存储元件中,通过访问高速缓存的副本而不是重新获得或重新计算原始数据即可进行后续操作,因此而减少了访问时间。在一些实施例中,高速缓存元件可以包括设备200的存储器沈4中的数据对象。在其它实施例中,高速缓存存储元件可包括有比存储器264更快的存取时间的存储器。在又一个实施例中,高速缓存元件可以包括设备200的任一类型和形式的存储元件,诸如硬盘的一部分。在一些实施例中,处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中,高速缓存管理器232可使用存储器、存储区或处理单元的任何部分和组合来高速缓存数据、 对象或其它内容。另外,高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任何逻辑、功能、规则或操作。例如,高速缓存管理器232包括基于无效时间周期的终止,或者从客户机102或服务器106接收无效命令使对象无效的逻辑或功能。在一些实施例中,高速缓存管理器232可作为程序、服务、进程或任务操作执行在内核空间204中,并且在其他实施例中,在用户空间202中执行。在一个实施例中,高速缓存管理器232的第一部分在用户空间202中执行,而第二部分在内核空间204中执行。在一些实施例中,高速缓存管理器232可包括任何类型的通用处理器(GPP),或任何其他类型的集成电路,例如现场可编程门阵列(FPGA),可编程逻辑设备(PLD),或者专用集成电路(ASIC)。策略引擎236可包括例如智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速缓存策略。策略引擎236, 在一些实施例中,也访问存储器以支持数据结构,例如备份表或ha sh表,以启用用户选择的高速缓存策略决定。在其它实施例中,除了对安全、网络流量、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外,策略引擎236可包括任何逻辑、规则、功能或操作以确定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其它实施例此处进一步描述。在一些实施例中,策略引擎236可以提供配置机制以允许用户识别、指定、定义或配置指导包括但不限于图2B中描述的诸如vServers 275、VPN功能观0、内联网IP功能观2、交换功能观4、DNS功能观6、加速功能观8、应用防火墙功能290和监控代理197的部件的设备的任何其它部件或功能的行为的策略。在其它实施例中,策略引擎236可以响应于任一配置的策略来进行检查、评价、实现或者以其他方式产生作用,并且还可以响应于策略来指导一个或多个设备功能的操作。加密引擎234包括用于操控诸如SSL或TLS的任何安全相关协议或其中涉及的任何功能的处理的任何逻辑、商业规则、功能或操作。例如,加密引擎234加密并解密通过设备200传输的网络分组,或其任何部分。加密引擎234也可代表客户机10加-10211、服务器 106a-106n或设备200来设置或建立SSL或TLS连接。因此,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来提供在客户机102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260 通信。在其它实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。多协议压缩引擎238包括用于压缩一个或多个网络分组协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向压缩在客户机102a-102n和服务器106a-106n间任一基于TCP/IP 的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传输协议(FTP)、超文本传输协议 (HTTP)、通用互联网文件系统(Cire)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及IP上语音(VoIP)协议。在其它实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中,提供任何标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协议压缩引擎238提供任何高性能协议的压缩,例如设计用于设备200到设备200通信的任何协议。在又一个实施例中,多协议压缩引擎238使用修改的传输控制协议来压缩任何通信的任何载荷或任何通信,例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP (TCP-Lff)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议(TCP spoofing protocol)0同样的,多协议压缩引擎238为用户加速经由桌面客户机乃至移动客户机访问应用的性能,所述桌面客户机例如Micosoft Outlook和非web瘦客户机,诸如由像Oracle、 SAP和Siebel的通用企业应用所启动的任何客户机,所述移动客户机例如掌上电脑。在一些实施例中,通过在内核模式204内部执行并与访问网络堆栈267的分组处理引擎240集成,多协议压缩引擎238可以压缩TCP/IP协议携带的任何协议,例如任何应用层协议。高速层27集成分组引擎M0,通常也称为分组处理引擎,或分组引擎,负责设备 200通过网络端口 266接收和发送的分组的内核级处理的管理。高速层2-7集成分组引擎 240可包括用于在例如接收网络分组和传输网络分组的处理期间排队一个或多个网络分组的缓冲器。另外,高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以通过网络端口 266发送和接收网络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地,配置加密引擎234 以执行分组的SSL处理,配置策略引擎236以执行涉及流量管理的功能,例如请求级内容切换以及请求级高速缓存重定向,并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。
高速层2-7集成分组引擎240包括分组处理定时器M2。在一个实施例中,分组处理定时器242提供一个或多个时间间隔以触发输入处理,例如,接收或者输出(即传输) 网络分组。在一些实施例中,高速层27集成分组引擎240响应于定时器242处理网络分组。分组处理定时器对2向分组引擎240提供任何类型和形式的信号以通知、触发或传输时间相关的事件、间隔或发生。在许多实施例中,分组处理定时器M2以毫秒级操作,例如 100ms、50ms、或25ms。例如,在一些实例中,分组处理定时器242提供时间间隔或者以其它方式使得由高速层2-7集成分组引擎MO以IOms时间间隔处理网络分组,而在其它实施例中,使高速层2-7集成分组引擎MO以5ms时间间隔处理网络分组,并且在进一步的实施例中,短到3、2或Ims时间间隔。高速层2-7集成分组引擎240在操作期间可与加密引擎234、 高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此,响应于分组处理定时器242和/或分组引擎对0,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此,在由分组处理定时器 242提供的时间间隔粒度,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作,例如,时间间隔少于或等于10ms。例如,在一个实施例中,高速缓存管理器232可响应于高速层27集成分组引擎240和/或分组处理定时器242来执行任何高速缓存的对象的无效。在又一个实施例中,高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时间间隔相同的粒度级,例如每10ms。与内核空间204不同,用户空间202是被用户模式应用或在用户模式运行的程序所使用的操作系统的存储区域或部分。用户模式应用不能直接访问内核空间204而使用服务调用以访问内核服务。如图2所示,设备200的用户空间202包括图形用户接口 (⑶1)210、命令行接口(CLI) 212、壳服务(shell service) 214、健康监控程序216以及守护 (daemon)服务218。⑶I 210和GLI212提供系统管理员或其他用户可与之交互并控制设备 200操作的装置,例如通过设备200的操作系统。⑶1210和GLI 212可包括运行在用户空间202或内核框架204中的代码。⑶1210可以是任何类型或形式的图形用户接口,可以通过文本、图形或其他形式由任何类型的程序或应用(如浏览器)来呈现。CLI 212可为任何类型和形式的命令行或基于文本的接口,例如通过操作系统提供的命令行。例如,CLI 212 可包括壳,该壳是使用户与操作系统相互作用的工具。在一些实施例中,可通过bash、csh、 tcsh或者ksh类型的壳提供GLI 212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过⑶I 210和/或CLI 212的与设备200或者操作系统的交互健康监控程序216用于监控、检查、报告并确保网络系统正常运行,以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令,为监控设备200的任何行为提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216拦截并检查通过设备200传递的任何网络流量。在其他实施例中,健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接加密引擎234,高速缓存管理器232,策略引擎236,多协议压缩逻辑238,分组引擎M0,守护服务218以及壳服务 214。因此,健康监控程序216可调用任何应用编程接口(API)以确定设备200的任何部分的状态、情况或健康。例如,健康监控程序216可周期性地查验(ping)或发送状态查询以检查程序、进程、服务或任务是否活动并当前正在运行。在又一个实施例中,健康监控程序216 可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何状况、状态或错误。守护服务218是连续运行或在背景中运行的程序,并且处理设备200接收的周期性服务请求。在一些实施例中,守护服务可向其他程序或进程(例如合适的另一个守护服务218)转发请求。如本领域技术人员所公知的,守护服务218可无人监护的运行,以执行连续的或周期性的系统范围功能,例如网络控制,或者执行任何需要的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其它实施例中,一个或多个守护服务218运行在内核空间。现在参考图2B,描述了设备200的又一个实施例。总的来说,设备200提供下列服务、功能或操作中的一个或多个用于一个或多个客户机102以及一个或多个服务器106 之间的通信的SSL VPN连通观0、交换/负载平衡观4、域名服务解析观6、加速288和应用防火墙四0。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270。例如,服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器,称为vServer 275、vS 275、VIP服务器或者仅是VIP 275a-275n (此处也称为vServer 275)。vServer275根据设备200的配置和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通信。vServer 275可以包括软件、硬件或者软件和硬件的任何组合。vServer275可包括在设备200中的用户模式202、内核模式204或者其任何组合中运行的任何类型和形式的程序、服务、任务、进程或者可执行指令。vServer275包括任何逻辑、功能、规则或者操作, 以执行此处所述技术的任何实施例,诸如SSL VPN观0、转换/负载平衡观4、域名服务解析观6、加速288和应用防火墙四0。在一些实施例中,Werver 275建立到服务器106的服务 270的连接。服务275可以包括能够连接到设备200、客户机102或者vServer 275并与之通信的任何程序、应用、进程、任务或者可执行指令集。例如,服务275可以包括web服务器、 http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,服务270是守护进程或者网络驱动器,用于监听、接收和/或发送应用的通信,诸如电子邮件、数据库或者企业应用。 在一些实施例中,服务270可以在特定的IP地址、或者IP地址和端口上通信。在一些实施例中,vServer 275应用策略引擎236的一个或者多个策略到客户机 102和服务器106之间的网络通信。在一个实施例中,该策略与vServer 275相关联。在又一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vSerVer275a-275n,和通过设备200通信的任何用户或者用户组。在一些实施例中,策略引擎的策略具有基于通信的任何内容应用该策略的条件,通信的内容诸如互联网协议地址、端口、协议类型、分组中的首部或者字段、或者通信的上下文,诸如用户、用户组、vServer 275、传输层连接、和/或客户机102或者服务器106的标识或者属性。在其他实施例中,设备200与策略引擎236通信或接口,以便确定远程用户或远程客户机102的认证和/或授权,以访问来自服务器106的计算环境15、应用和/或数据文件。在又一个实施例中,设备200与策略引擎236通信或交互,以便确定远程用户或远程客户机102的认证和/或授权,使得应用传送系统190传送一个或多个计算环境15、应用和/ 或数据文件。在又一个实施例中,设备200基于策略引擎236对远程用户或远程客户机102 的认证和/或授权建立VPN或SSL VPN连接。一个实施例中,设备200基于策略引擎236 的策略控制网络业务流量以及通信会话。例如,基于策略引擎236,设备200可控制对计算环境15、应用或数据文件的访问。在一些实施例中,Werver 275与客户机102经客户机代理120建立传输层连接, 诸如TCP或者UDP连接。在一个实施例中,vServer 275监听和接收来自客户机102的通信。在其它实施例中,Werver 275与客户机服务器106建立传输层连接,诸如TCP或者UDP 连接。在一个实施例中,vkrver275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在又一个实施例中,Werver 275将到客户机102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,WerVer275建立到服务器106的传输层连接池并经由所述池化(pooled)的传输层连接多路复用客户机的请求。在一些实施例中,设备200提供客户机102和服务器106之间的SSL VPN连接观0。 例如,第一网络102上的客户机102请求建立到第二网络104’上的服务器106的连接。在一些实施例中,第二网络104’是不能从第一网络104路由的。在其它实施例中,客户机102 位于公用网络104上,并且服务器106位于专用网络104’上,例如企业网。在一个实施例中,客户机代理120拦截第一网络104上的客户机102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户机代理102的所拦截的通信,解密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。同样的,设备200为两个网络104、104’ 之间的客户机102提供端到端安全传输层连接。在一个实施例中,设备200寄载虚拟专用网络104上的客户机102的内部网互联网协议或者htranetIP 282地址。客户机102具有本地网络标识符,诸如第一网络104上的互联网协议(IP)地址和/或主机名称。当经设备200连接到第二网络104’时,设备200 在第二网络104’上为客户机102建立、分配或者以其它方式提供htranetIP,其是诸如IP 地址和/或主机名称的网络标识符。使用为客户机的所建立的htranetIP^2,设备200在第二或专用网104'上监听并接收指向该客户机102的任何通信。在一个实施例中,设备 200在第二专用网络104上用作或者代表客户机102。例如,在又一个实施例中,Werver 275监听和响应到客户机102的htranetIP 282的通信。在一些实施例中,如果第二网络 104’上的计算装置100发送请求,设备200如同客户机102 —样来处理该请求。例如,设备 200可以响应对客户机htranetIP 282的查验。在又一个实施例中,设备可以与请求和客户机htranetIP 282连接的第二网络104上的计算装置100建立连接,诸如TCP或者UDP 连接。在一些实施例中,设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术观8 1)压缩;幻解压缩;幻传输控制协议池;4)传输控制协议多路复用; 5)传输控制协议缓冲;以及6)高速缓存。在一个实施例中,设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户机经因特网的重复数据访问,来为服务器106缓解由重复开启和关闭到客户机102的传输层连接所造成的大量处理负载。该技术此处称为“连接池”。在一些实施例中,为了经池化的传输层连接无缝拼接从客户机102到服务器106 的通信,设备200通过在传输层协议级修改序列号和确认号来转换或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议相互作用。例如,在到来分组 (即,自客户机102接收的分组)的情况中,所述分组的源网络地址被改变为设备200的输出端口的网络地址,而目的网络地址被改为目的服务器的网络地址。在发出分组(即,自服务器106接收的一个分组)的情况中,源网络地址被从服务器106的网络地址改变为设备 200的输出端口的网络地址,而目的地址被从设备200的网络地址改变为请求的客户机102 的网络地址。分组的序列号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在一些实施例中,传输层协议的分组校验和被重新计算以计及这些转换。在又一个实施例中,设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能观4。在一些实施例中,设备200根据层4有效载荷或应用层请求数据来分配流量并将客户机请求定向到服务器106。在一个实施例中,尽管网络分组的网络层或者层2 识别目的服务器106,但设备200利用承载为为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络分组。在一个实施例中,设备200的健康监控程序216监控服务器的健康来确定分发客户机请求到哪个服务器106。在一些实施例中,如果设备200 探测到某个服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户机请求指向或者分发到另一个服务器106。在一些实施例中,设备200用作域名服务(DNS)解析器或者以其它方式为来自客户机102的DNS请求提供解析。在一些实施例中,设备拦截由客户机102发送的DNS请求。 在一个实施例中,设备200以设备200的IP地址或其所寄载的IP地址来响应客户机的DNS 请求。在此实施例中,客户机102把用于域名的网络通信发送到设备200。在又一个实施例中,设备200以第二设备200’的或其所寄载的IP地址来响应客户机的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户机的DNS请求。在又一个实施例中,设备200为客户机102和服务器106之间的通信提供应用防火墙功能四0。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙四0防御拒绝服务(DoS)攻击。在其它实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236 包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略,例如下列的一个或多个脆弱点1)缓冲区泄出,2)CGI-BIN参数操纵,3)表单/隐藏字段操纵,4)强制浏览,5) cookie或会话中毒,6)被破坏的访问控制列表 (ACLs)或弱密码,7)跨站脚本处理(XSS),8)命令注入,9) SQL注入,10)错误触发敏感信息泄露,11)对加密的不安全使用,1 服务器错误配置,1 后门和调试选项,14)网站涂改, 15)平台或操作系统弱点,和16)零天攻击。在一个实施例中,对下列情况的一种或多种,应用防火墙四0以检查或分析网络通信的形式来提供HTML格式字段的保护1)返回所需的字段,幻不允许附加字段,幻只读和隐藏字段强制(enforcement),4)下拉列表和单选按钮字段的一致,以及幻格式字段最大长度强制。在一些实施例中,应用防火墙四0确保cookie 不被修改。在其它实施例中,应用防火墙290通过执行合法的URL来防御强制浏览。在其他实施例中,应用防火墙290保护在网络通信中包含的任何机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中,应用防火墙290在网络通信中识别信用卡号、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。基于这些出现,在一个实施例中,应用防火墙290 可以对网络通信采取策略行动,诸如阻止发送网络通信。在又一个实施例中,应用防火墙 290可以重写、移动或者以其它方式掩盖该所识别的出现或者机密信息。仍然参考图2B,设备200可以包括如上面结合图ID所讨论的性能监控代理197。 在一个实施例中,设备200从如图ID中所描述的监控服务198或监控服务器106中接收监控代理197。在一些实施例中,设备200在诸如磁盘的存储装置中保存监控代理197,以用于传送给与设备200通信的任何客户机或服务器。例如,在一个实施例中,设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其它实施例中,设备200在建立与客户机102的传输层连接时发送监控代理197。在又一个实施例中,设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中,设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中,设备 200发送监控代理197到第二设备200'或设备205。在其它实施例中,设备200执行监控代理197。在一个实施例中,监控代理197测量和监控在设备200上执行的任何应用、程序、进程、服务、任务或线程的性能。例如,监控代理197可以监控和测量vServers 275A 275N的性能与操作。在又一个实施例中,监控代理197测量和监控设备200的任何传输层连接的性能。在一些实施例中,监控代理197测量和监控通过设备200的任何用户会话的性能。在一个实施例中,监控代理197测量和监控通过设备200的诸如SSL VPN会话的任何虚拟专用网连接和/或会话的性能。在进一步的实施例中,监控代理197测量和监控设备200的内存、CPU和磁盘使用以及性能。在又一个实施例中,监控代理197测量和监控诸如SSL卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任何加速技术观8的性能。在一些实施例中,监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换观4的性能。在其它实施例中,监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。C.客户机代理现参考图3,描述客户机代理120的实施例。客户机102包括客户机代理120,用于经由网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户机102在计算装置100上操作,该计算装置100拥有带有内核模式302以及用户模式303的操作系统,以及带有一个或多个层310a-310b的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一些实施例中,一个或多个应用可通过网络堆栈310与网络104通信。所述应用之一,诸如web浏览器,也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或执行客户机代理120,或其中任何部分。客户机代理120包括拦截机制或者拦截器350,用于从网络堆栈310拦截来自一个或者多个应用的网络通信。客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式系统互联(OSI)通信模型的任何网络层。这样,网络堆栈310可包括用于任何以下OSI 模型层的任何类型和形式的协议1)物理链路层;幻数据链路层;幻网络层;4)传输层;5)会话层);6)表示层,以及7)应用层。在一个实施例中,网络堆栈310可包括在因特网协议 (IP)的网络层协议上的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在以太网协议上承载TCP/IP协议,以太网协议可包括IEEE广域网(WAN)或局域网(LAN)协议的任何族,例如被IEEE 802. 3覆盖的这些协议。在一些实施例中,网络堆栈310包括任何类型和形式的无线协议,例如IEEE 802. 11和/或移动因特网协议。考虑基于TCP/IP的网络,可使用任何基于TCP/IP的协议,包括消息应用编程接口(MAPI) (email)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用因特网文件系统 (CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议 (WAP)、移动IP协议,以及IP语音(VoIP)协议。在又一个实施例中,网络堆栈310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP (T/TCP),带有选择确认的TCP (TCP-SACK),带有大窗口的TCP (TCP-Lff),例如TCP-Vegas协议的拥塞预测协议, 以及TCP欺骗协议。在其他实施例中,网络堆栈310可使用诸如IP上UDP的任何类型和形式的用户数据报协议(UDP),例如用于语音通信或实时数据通信。另外,网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP 驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操作系统的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组件的一部分被包括。在一些实施例中, 网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分,用来支持此处描述的任何技术。在其它实施例中,设计并构建加速程序302以与网络堆栈310协同操作或工作,上述网络堆栈310由客户机102的操作系统安装或以其它方式提供。网络堆栈310包括任何类型和形式的接口,用于接收、获得、提供或以其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例中,与网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制,事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构,例如对象。例如,数据结构可以包括与网络分组相关的信息和数据或者一个或多个网络分组。在一些实施例中,数据结构包括在网络堆栈 310的协议层处理的网络分组的一部分,例如传输层的网络分组。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。 内核级数据结构可以包括获得的或与在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作系统的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任何数据结构。此外,网络堆栈310的一些部分可在内核模式302执行或操作,例如,数据链路或网络层,而其他部分在用户模式303执行或操作,例如网络堆栈310的应用层。例如,网络堆栈的第一部分310a可以给应用提供对网络堆栈310的用户模式访问,而网络堆栈310的第二部分310a提供对网络的访问。在一些实施例中,网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层,例如层5-7的任何层。在其它实施例中,网络堆栈310的第二部分310b包括一个或多个较低的层,例如层1-4的任何层。网络堆栈310的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分,位于任何一个或多个网络层,处于用户模式203、内核模式202,或其组合,或在网络层的任何部分或者到网络层的接口点, 或用户模式203和内核模式202的任何部分或到用户模式203和内核模式202的接口点。拦截器350可以包括软件、硬件、或者软件和硬件的任何组合。在一个实施例中, 拦截器350在网络堆栈310的任一点拦截网络通信,并且重定向或者发送网络通信到由拦截器350或者客户机代理120所期望的、管理的或者控制的目的地。例如,拦截器350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200,用于在第二网络104上发送。在一些实施例中,拦截器350包括含有诸如被构建和设计来与网络堆栈310 对接并一同工作的网络驱动器的驱动器的任一类型的拦截器350。在一些实施例中,客户机代理120和/或拦截器350操作在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,拦截器350包括过滤器驱动器、钩子机制、或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口,诸如通过传输驱动器接口(TDI)。在一些实施例中, 拦截器350连接到诸如传输层的第一协议层和诸如传输协议层之上的任何层的另一个协议层,例如,应用协议层。在一个实施例中,拦截器350可以包括遵守网络驱动器接口规范 (NDIS)的驱动器,或者NDIS驱动器。在又一个实施例中,拦截器350可以包括微型过滤器或者微端口驱动器。在一个实施例中,拦截器350或其部分在内核模式202中操作。在又一个实施例中,拦截器350或其部分在用户模式203中操作。在一些实施例中,拦截器350 的一部分在内核模式202中操作,而拦截器350的另一部分在用户模式203中操作。在其它实施例中,客户机代理120在用户模式203操作,但通过拦截器350连接到内核模式驱动器、进程、服务、任务或者操作系统的部分,诸如以获取内核级数据结构225。在其它实施例中,拦截器350为用户模式应用或者程序,诸如应用。在一个实施例中,拦截器350拦截任何的传输层连接请求。在这些实施例中,拦截器350执行传输层应用编程接口(API)调用以设置目的地信息,诸如到期望位置的目的地 IP地址和/或端口用于定位。以此方式,拦截器350拦截并重定向传输层连接到由拦截器 350或客户机代理120控制或管理的IP地址和端口。在一个实施例中,拦截器350把连接的目的地信息设置为客户机代理120监听的客户机102的本地IP地址和端口。例如,客户机代理120可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一些实施例中,客户机代理120随后将重定向的传输层通信传送到设备200。在一些实施例中,拦截器350拦截域名服务(DNS)请求。在一个实施例中,客户机代理120和/或拦截器350解析DNS请求。在又一个实施例中,拦截器发送所拦截的DNS 请求到设备200以进行DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传送到客户机代理120。在一些实施例中,设备200经另一个设备200’或者DNS服务器 106来解析DNS请求。在又一个实施例中,客户机代理120可以包括两个代理120和120’。在一个实施例中,第一代理120可以包括在网络堆栈310的网络层操作的拦截器350。在一些实施例中,第一代理120拦截网络层请求,诸如因特网控制消息协议(ICMP)请求(例如,查验和跟踪路由)。在其它实施例中,第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中,第一代理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦截的通信传送到第二代理120’。客户机代理120和/或拦截器350可以以对网络堆栈310的任何其它协议层透明的方式在协议层操作或与之对接。例如,在一个实施例中,拦截器350可以以对诸如网络层的传输层之下的任何协议层和诸如会话、表示或应用层协议的传输层之上的任何协议层透明的方式在网络堆栈310的传输层操作或与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修改以使用拦截器350。这样,客户机代理120和/或拦截器350 可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信,诸如TCP/IP上的任一应用层协议。此外,客户机代理120和/或拦截器可以以对任何应用、客户机102的用户和与客户机102通信的诸如服务器的任何其它计算装置透明的方式在网络堆栈310上操作或与之对接。客户机代理120和/或拦截器350可以以无需修改应用的方式被安装和/或执行在客户机102上。在一些实施例中,客户机102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/或拦截器350的存在、执行或者操作。同样,在一些实施例中, 相对于应用、客户机102的用户、诸如服务器的另一个计算装置、或者在由拦截器350连接的协议层之上和/或之下的任何协议层透明地来安装、执行和/或操作客户机代理120和 /或拦截器350。客户机代理120包括加速程序302、流客户机306、收集代理304和/或监控代理197。在一个实施例中,客户机代理120包括由佛罗里达州FortLauderdale的Citrix Systems有限公司开发的独立计算架构(ICA)客户机或其任一部分,并且也指ICA客户机。 在一些实施例中,客户机代理120包括应用流客户机306,用于从服务器106流式传输应用到客户机102。在一些实施例中,客户机代理120包括加速程序302,用于加速客户机102 和服务器106之间的通信。在又一个实施例中,客户机代理120包括收集代理304,用于执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。在一些实施例中,加速程序302包括用于执行一个或多个加速技术的客户机侧加速程序,以加速、增强或者以其他方式改善客户机与服务器106的通信和/或对服务器106 的访问,诸如访问由服务器106提供的应用。加速程序302的可执行指令的逻辑、函数和/ 或操作可以执行一个或多个下列加速技术1)多协议压缩,幻传输控制协议池,幻传输控制协议多路复用,4)传输控制协议缓冲,以及幻通过高速缓存管理器的高速缓存。另外, 加速程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外,加速程序302可以对作为传输层协议的网络分组的有效载荷所承载的任一协议或者多协议执行压缩。流客户机306包括应用、程序、进程、服务、任务或者可执行指令,所述应用、程序、 进程、服务、任务或者可执行指令用于接收和执行从服务器106所流式传输的应用。服务器 106可以流式传输一个或者多个应用数据文件到流客户机306,用于播放、执行或者以其它方式引起客户机102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户机306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其它档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户机102。在又一个实施例中,客户机102解压缩、解包或者解档应用文件。流客户机306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户机306可以为可执行程序。在一些实施例中,流客户机306可以能够启动另一个可执行程序。收集代理304包括应用、程序、进程、服务、任务或者可执行指令,用于识别、获取和/或收集关于客户机102的信息。在一些实施例中,设备200发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略引擎236的一个或多个策略来配置收集代理304。在其它实施例中,收集代理304发送在客户机102上收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供客户机到网络104 的连接的访问、认证和授权控制。在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户机的一个或者多个属性或者特征。例如,收集代理304可以识别和确定任何一个或多个以下的客户机侧属性1)操作系统和/或操作系统的版本,2)操作系统的服务包,3)运行的服务,4)运行的进程,和幻文件。收集代理304还可以识别并确定客户机上任何一个或多个以下软件的存在或版本1)防病毒软件;幻个人防火墙软件;3)防垃圾邮件软件,和4) 互联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任何一个或多个属性或特性的一个或多个策略。在一些实施例中,客户机代理120包括如结合图ID和2B所讨论的监控代理197。 监控代理197可以是诸如Visual Basic或Java脚本的任何类型和形式的脚本。在一个实施例中,监控代理197监控和测量客户机代理120的任何部分的性能。例如,在一些实施例中,监控代理197监控和测量加速程序302的性能。在又一个实施例中,监控代理197监控和测量流客户机306的性能。在其它实施例中,监控代理197监控和测量收集代理304的性能。在又一个实施例中,监控代理197监控和测量拦截器350的性能。在一些实施例中, 监控代理197监控和测量客户机102的诸如存储器、CPU和磁盘的任何资源。监控代理197可以监控和测量客户机的任何应用的性能。在一个实施例中,监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例中,监控代理197监控和测量经由客户机代理120传送的任何应用的性能。在其它实施例中,监控代理197测量和监控应用的最终用户响应时间,例如基于web的响应时间或HTTP响应时间。监控代理197 可以监控和测量ICA或RDP客户机的性能。在又一个实施例中,监控代理197测量和监控用户会话或应用会话的指标。在一些实施例中,监控代理197测量和监控ICA或RDP会话。 在一个实施例中,监控代理197测量和监控设备200在加速传送应用和/或数据到客户机 102的过程中的性能。在一些实施例中,仍参见图3,第一程序322可以用于自动地、静默地、透明地或者以其它方式安装和/或执行客户机代理120或其部分,诸如拦截器350。在一个实施例中, 第一程序322包括插件组件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用执行。例如,第一程序包括由web浏览器应用载入和运行的ActiveX控件,例如在存储器空间或应用的上下文中。在又一个实施例中,第一程序322包括可执行指令组,该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中,第一程序322包括被设计和构造的程序以安装客户机代理120。在一些实施例中,第一程序322通过网络从另一个计算装置获得、下载、或接收客户机代理120。在又一个实施例中,第一程序322是用于在客户机102 的操作系统上安装如网络驱动的程序的安装程序或即插即用管理器。D.对流量管理的认证、授权和审计(AAA)支持
在流量管理系统的一些实施例中,客户机102传输访问由一个或多个服务器106 提供的服务270的请求。该请求可以由提供流量管理功能的中间设备(例如设备200)进行拦截和处理。通过举例且考虑到不同的流量管理和负载平衡产品,设备200可以是由 Citrix System公司出品的被称为NeUcaler的产品实施例、由F5网络公司出品的BigIP 装置、由Radware有限责任公司出品的AppDirector设备,或者由Cisco System公司或 NortelNetwork公司出品的设备中的任何一个。设备200可以具有一个或多个虚拟服务器 275A-275N,所述虚拟服务器275A-275N被配置、构建或设计为提供如上文结合图2A描述的各种网络通信功能。设备200可以包括一个或多个流量管理vServer 275tv或与其通信,所述流量管理vServer 275tv提供在一个或多个网络104、104’上的客户机102与一个或多个服务器 106之间的流量管理(TM)功能。在一些实施例中,设备200包括一个或多个认证(AuthN) vServer 275av或与其通信,所述认证vServer 275av提供用于控制客户机102对服务 270的访问的认证服务。为了给流量管理特征提供AAA支持,流量管理vServer 275tv和认证vServer275av可以通信以便处理客户机-服务器访问和流量的任意方面。流量管理 vServer 275tv和认证vServer 275av的任何一个也可以驻留在一个或多个设备200或服务器106中并通过一个或多个网络104、104’通信。此外,可以通过其各自的宿主服务器在结构上或者在逻辑上分层次地连接或布置任何数量的流量管理vServer 275tv和认证 vServer 275av,以便提供流量管理和认证服务。流量管理vServer流量管理vServer 275tv可以是用于执行流量管理活动的任何类型的虚拟服务器,包括负载平衡(LB)、内容交换(⑶)和高速缓存重定向(CR)。例如,在一些实施例中,高速缓存重定向Server识别用于重定向到另一个服务器的可缓存的和不可缓存的消息,所述另一个服务器可以是vServeH例如,LB Server)、高速缓存服务器或源服务器。通过有选择地重定向流量,可以从高速缓存检索一些请求的内容,例如经常访问的内容。在这些实施例的一个中,高速缓存重定向识别对于HTTP事务的可缓存的和不可缓存的请求。高速缓存重定向可以通过解析每个请求的HTTP头部和URL识别对于HTTP事务的可缓存的和不可缓存的请求。另一方面,内容交换可包括各种操作技术,所述各种操作技术用于以可优化网络使用的方式使数据从一个或多个源到达端点。流量管理vServer 275tv可包括上文结合图2B所描述的vServer275的任意实施例,并提供任何类型的功能和特征。流量管理vServer 275tv可根据一个或多个TM策略的集合来操作。而且,TM vServer 275tv可包括策略引擎236或用策略引擎236进行操作, 所述策略引擎236例如上文结合图2A所描述的策略引擎236的任意实施例。在一些实施例中,可以将来自一个或多个TM vServer 275tv的一个或多个流量管理特征与一组或多组 TM策略进行组合。在一个实施例中,可以在互相之间不冲突的范围内来组合一个或多个特征。举例说明,在一个实施例中,由TM Werver支持的特征和/或流量管理策略可包括,但不限于〇401认证方法支持,例如基本认证(Basic-Authentication);〇对非HTTP客户机的认证支持;〇对在认证和流量管理vServer之间的任何类型或形式的复杂的和/或灵活的关联的支持,■除了被关联到LB vServer之外,认证vServer也可被关联到CS或CR vServer ;■支持认证和流量管理vServer之间多对多的关系;■允许基于策略动态地选择认证vServer ;■允许对使用哪种类型的认证的交互性决策。认证Werver可决定执行哪种类型的认证。也允许客户机与认证Werver就该客户机能选择的认证的类型进行协商。〇会话同步(Session Sync)以支持在主动的/主动配置的设备(例如CITRIX Netscaler设备)之间的外部认证。这在一些实施例中可支持认证vServer驻留在一个设备(其中可以定义或控制认证行为)而流量管理vServer驻留在另一个设备上的需求,也就是属于同一域的流量管理vServer为了负载分布的目的可散布在多个设备上但仍使用单点登录(SSO)认证。例如,在一个实施例中,在一个设备上认证的用户(例如,由于访问在该设备上的流量管理vServer并被重定向到用于认证服务的另一个设备)可单点登录到属于同一域的任何其他设备上的任何流量管理vServer。〇支持对于端用户的可定制的会话管理门户网页;〇支持与其他模块的集成■应用防火墙(AppFirewall),包括XML支持■集成缓存■压缩网络引擎流量管理vServer 275tv可包括和/或操作网络引擎M0。网络引擎240可以是硬件和软件的组合。网络引擎240可包含来自上文结合图2A所描述的集成的分组引擎 240的任意实施例的一个或多个特征。网络引擎240可包括用于接收和传输网络流量的收发器。在一些实施例中,网络引擎240也可包含硬件接口,例如来自设备200,以与网络104 和其他网络组件连接。在一个实施例中,网络引擎240与客户机102和/或认证vServer 275av相接口。网络引擎240可执行任何类型或形式的数据处理,例如压缩、加密、加速、缓冲、检索、转换、重定向,以及协议处理。此外,网络引擎可访问和/或更新所存储的会话表, 例如AAA-TM会话表。网络引擎240可以包括策略引擎236或与策略引擎236通信并访问一个或多个策略。在一个实施例中,网络引擎240可提供和/或应用所访问的一个或多个策略。在一些实施例中,网络引擎240可提供流量管理vServer 275tv的一些或全部功能。认证 vServer认证vServer 275av可以是执行AAA服务的授权、认证和审计/记账特征的任意组合的虚拟服务器。在一些实施例中,认证vServer 275av可包括上文结合图2B所描述的VSerVer275的任意实施例,并提供任何数量和类型的功能和特征。而且,认证vServer 275av可包括上文结合图2A所描述的策略引擎236的任意实施例或用其进行操作。在一些实施例中,认证vServer275av可包括虚拟专用网(VPN) vServer的任意实施例和/或特征, 用于对访问TM vServer 275tv和/或服务270的用户进行认证。在这些实施例的一个中, VPN Werver可以是轻量级的vServer。在一些实施例中,认证vServer 275av可以驻留于一个或多个认证服务器上或与其通信,所述一个或多个认证服务器例如在一个或多个网络104、104'上聚集或分布的远程访问远程认证拨入用户服务(RADIUQ服务器、防火墙、访问控制服务器以及认证、授权和审计/记账(AAA)服务器。认证vServer 275av可支持灵活的基于策略的规则。认证vServer 275av也可根据不同的访问请求方案提供任何AAA服务。认证vServer 275av可根据一个或多个认证策略568的集合来进行操作。认证策略568也可以包括至少一个授权策略和/或至少一个审计/记账(此后总的称为“审计”)策略。在一些实施例中,可以由在流量管理vServer 275tv上配置的授权策略执行授权。在这些实施例的一些中,认证vServer 275av仅提供认证相关的服务。进一步地,认证策略568可包括至少一个VPN策略。在一些实施例中,可以通过将现有的VPN特征(例如VPN策略和数据结构)与其他认证特征相组合来实现对流量管理的认证支持。在一些实施例中,可被包含到对流量管理的AAA支持中的VPN特征包括但不限于■单点登录(SSO)服务■ Cookie 代理■动态的每用户/组感知的流量管理策略(例如,集成缓存、AppFirewall等)■基于表单的SSO■接受从Microsoft ADFS到来的SSO断言■接受从Netegrity到来的SSO断言。例如,基于安全和标记语言(SAML)的支持。■接受从其他认证或互联网下载管理(IDM)供应商到来的SSO断言。■对自定制的/自主开发的/ 一次性认证系统的可扩展的认证认证vServer 275av可支持任何数量、类型和形式的认证和/或授权服务器,例如活动目录(AD)、轻量级目录访问协议(LDAP)、RADIUS、RSAkcureID、终端访问控制器访问-控制(TACACS)和TACACS+、WINDOWS NT LAN管理器(NTLM)和智能卡登录。在一些实施例中,多个认证vServer可支持两个或多个不同类型的认证。在这些实施例的一个中,可以依据认证vServer275av支持的认证类型(例如,TACACS+)来选择该认证vServer 275av0 通过认证vServer可用的认证类型可以被一个或多个认证和/或授权服务器支持。例如, 两个RADIUS服务器可以支持RADIUS vServer 0可基于一个或多个因素,例如地理上的接近性、网络流量和每个服务器上的处理负载来将一个或两个RADIUS服务器(例如,静态地或动态地)绑定到或分配给该认证vServer。在一些实施例中,基于一个或多个策略的应用将一个或多个认证服务器关联或分配或绑定到认证vServer 27fev。例如,可以在结构上或逻辑上以级联的形式布置所述一个或多个认证服务器。可以基于上下文动态地或以其他方式支持和定制各种认证配置,例如双因素认证 (T-FA)或双重密码认证。认证vServer 275av也可支持基于证书的认证。在一些实施例中,来自一个或多个认证vServer 275av的AAA特征可能会同一组或多组AAA或认证策略组合在一起。可以将认证vServer 275av关联到、或分配给或绑定到下面将要讨论的多个不同配置中的一个或多个TMWerver 275tv。认证服务器275av可以通过预定义的绑定与 TM vServer275tv静态地关联,或者基于一个或多个策略与TM vServer 275tv动态地关联。现参考图4A,描述了用于将认证vServer 275av关联到一个或多个TMvkrver 275tv的系统的实施例。认证vServer 275av可以被静态地绑定到一个TM Werver或者由多个包括静态和/或非静态绑定的TM vServer共享。
现参考图4B,描述了用于将认证vServer 275av关联到一个或多个TMvkrver 275tv的系统的两个实施例。在一个实施例中,第一认证vserver275avl可以被关联到多个 TM vServer 275tvl、275tv2,而第二认证 vServer275av2 可以被关联到一个 TM vServer 275tv3。可以依赖于诸如流量管理域的大小、负载和诸如就近分组的地理上的考虑的因素来创建这样的分组或分配。在一些实施例中,其中多个认证vServer 275av与TM vServer 275tv配置在一起,跟踪和/或验证过程可确保一直在该TM vServer 275tv和所选择的认证vServer 275av之间处理客户机请求。例如,该TM vServer 275tv可以验证重定向消息是从在该 TM vServer 275tv收到初始的客户机请求时所选择的同一认证vServer 275av接收的。现参考图4C,描述了用于将一个或多个认证vServer 275av关联到TMvkrver 275tv的系统的实施例。总的来说,该系统包括一个或多个策略、多个认证vServer 275avl_N,和TM vServer 275tv。可以基于一个或多个策略将认证vServer 275av动态地分配给TM vServer 275tv。可以在运行时将一个或多个策略绑定到TM vServer 275tv。而且,可以在运行时经由一个或多个策略将一个或多个认证vServer 275av的任何一个或多个分配给该TMWerver 275tv以建立认证会话。在一些实施例中,一个或多个策略可包括AppFW策略。AppFW策略和与AppFW模块一起操作,所述AppFW模块在由Citrix Systems公司出品的设备的环境中有时也被称为 AppSecure模块。AppSecure模块可包括用于执行任何类型和形式的内容重写(例如,URL重写)的逻辑、功能或操作。在一些实施例中,AppSecure模块可执行对在客户机和服务器之间的请求和/或响应的任何类型或形式的内容注入。AppSecure模块可将诸如JavMcript 的脚本注入到对客户机的响应中以执行任何类型和形式的期望的功能。在一个实施例中, AppFW策略可以被设计和构造来重写请求和响应的URL以便重定向到特定的认证vServer 275av或以其他方式与其关联。例如,可以由TM Werver对在认证会话期间所接收的消息中的链接(例如,URL)进行修改,这样将该链接指向特定认证vServer 275av0认证vServer 275av可以被关联到任何形式或类型的TM vServer 275tv,包括 CR、CS和LB Server的任意组合或分层布置。在该分层结构中可以将流量的单位(例如消息或分组)从第一 TM Server重定向到另一个TMvServer。这个过程可以发生在该分层结构的多个层次上,直到最终的TMWerver被指定为管理该流量为止。在一些实施例中,其中将多个认证vServer 275av关联到TM vServer的分层结构。与最具体的TM vServer关联的认证vServer 275av优先提供AAA功能。然而,在一些其他实施例中,优先考虑与处于分层结构顶部的TM vServer 275tv关联的认证vServer275av。可以将管理响应于客户机请求的全部流量的TM vSerer 275tv指定为分层结构的顶部。在其他实施例中,可以通过一个或多个策略来确定任一认证vServer 275av的优先级,该一个或多个策略例如与处于分层结构顶部的TM vServer 275tv关联的策略。现参考图4D,描述了用于给流量管理提供AAA支持的系统的实施例。总的来说,该系统包括与多个认证vServer 275av关联的、并且以分层配置布置的多个CR、CS和 LB TM vServer.该系统可包括上文结合图4A-4C描述的配置的任意组合和实施例。在一些实施例中,分层配置支持内容感知的流量管理和认证。例如,在一个实施例中,在 CR Werver275crv处收到的流量可以被分为可缓存的和不可缓存的流量。该流量可以包括在一个或多个客户机102、服务器106和中间设备之间的任何类型和形式的消息,包括请求和响应。在一些实施例中,可缓存的流量被定向到CS WerVer275CSV2,而不可缓存的流量被定向到CS vServer275csvl0 CS vServer275csvl可将不可缓存的流量分布到 LB Werver2751bvll、2751bvl2 上,而 CS Werver275csv2 可在 LB vServer2751bv2U 2751bv22之间分布可缓存的流量。在图4D的进一步的细节中,举例说明分层配置的一个实施例,该配置包括在LB vServer2751bvlU2751bv21 和 CS vServer275csvl 处动态地关联的认证 vServer ;在 LB vServer2751bvl2、CS vServer275csv2 和 CRvServer275crv 处静态地关联的认证 vServer ; 以及关联到LBvServer2751bv22的非认证vServer。例如,如果LB Werver2751bvl2被选择来执行流量管理,那么关联到LB vServer2751bvl2的认证vServer可提供AAA特征。在又一个实施例中,如果未关联到任何认证vServer 275av的TM Werver被选择来执行流量管理,那么可通过与该TM Werver的父亲关联的认证vServer 275av来提供AAA特征。例如,如果选择了 LBvServer2751bv22,那么关联到CS vServer275csv2的认证vServer可提供AAA特征。如果在分层结构中TM Werver在同一层或不同层上有多个父亲,则例如,根据认证vServer的可用性、地理上或逻辑上的接近度,和/或一个或多个策略,多个父亲的其中一个可提供关联的认证vServer 275av0现参考图4E,描述了用于给流量管理提供AAA支持的系统的另一个实施例。在进一步的细节中,图4E示出了在其中可以由多个TM Werver共享一个认证vServer
的实施例。在一些实施例中,为系统配置了单个认证vServer 27fev,这样可以不要求跟踪和/或验证过程,和/或将该认证vServer 275av绑定到TM vServer 275tv的策略。在一些实施例中,父TMWerver可将所有流量管理责任定向到子TM vServer以便关联认证vServer275av。例如,CS vServer275csv2可以将所有的流量管理责任定向到 LBvServer2751b21而不是LB vServer2751bv220在一些其他实施例中,可以在没有AAA支持的情况下管理被定向到不与任何认证vServer 275av关联的TM vServer的流量管理责任,或者可以将其重定向到与认证vServer 275av关联的另一个TM vServer。现参考图5,描述了用于为流量管理提供AAA支持的系统500的实施例。总的来说,系统500包括与一个或多个认证vServer (此后总的称为“认证vServer”)关联的一个或多个TM vServer 275tv (此后,总的称为“TM Werver”)。可以任何方式来布置这些vServer,例如根据上文结合图4A-E描述的配置的任意实施例。TM Werver根据一个或多个流量管理策略586在客户机102和服务器群582中的一个或多个服务器106之间提供流量管理服务。可以由认证vServer根据一个或多个认证策略568为任何客户机-服务器流量提供AAA服务。此外,收集代理304可以为TM Werver和认证vServer之一或全部获取来自客户机102的信息。尽管在图5所示的实施例中只描述了一个客户机102、收集代理304、应用服务器群582和存储装置560,但应理解该系统可提供这些组件中任意个或每个的多个。收集代理收集代理304可包括上文结合图3描述的收集代理304和/或结合图2B描述的监控代理197的任何实施例或组件。可以从驻留在设备200、存储装置560和/或网络104 中的任何其他机器或存储装置中的任何脚本或程序来生成收集代理304。在一些实施例中,将脚本和/或程序传输到客户机102并生成收集代理304。在一些其他实施例中,收集代理 304执行于设备200或网络中的任何其他机器中并且远程地轮询、请求或收集来自客户机 102的信息。收集代理304、脚本和/或程序可以是用于收集诸如客户机102的端点装置的属性的端点审计(EPA)系统或解决方案的部分。EPA可以包含端点分析、端点扫描和端点检测的一个或多个。EPA解决方案可在做出AAA和/或流量管理决策之前在客户机102上执行一系列安全、身份和装置完整性检查。例如,EPA解决方案可以扫描客户机102的文件和注册表设置,并且检查没有引入未授权的、非法的或没有许可证的可执行代码(包括间谍软件、恶意软件和木马)。EPA解决方案在用于系统500的实施例中时,也可以包含上文结合图3所描述的端点检测和扫描技术和/或组件的任何实施例的全部或部分。EPA解决方案的一个实施例是CITRIX访问网关高级端点分析软件开发工具包(端点分析SDK)。EPA解决方案的其他实施例包括来自EPA FACTORY和EXTENTRIX的解决方案。在图5的进一步的细节中,设备200可操作或执行TM vServer和认证vServer的其中一个、二者、或二者都不操作或执行。在一些实施例中,认证vServer在第一设备或第一组设备200a上执行,而TM Werver在第二设备或第二组设备200b上执行。在一个实施例中,设备200被配置、设计和构造来使用私有的或定制的协议和/或通信模型。在又一个实施例中,设备200可以支持一个或多个协议和/或通信模型。设备200可包括一个或多个策略引擎236或与其通信。在一些实施例中,流量管理和/或认证服务各自操作或执行于一个或多个设备200的用户空间202和内核空间204的其中一个或者用户空间202和内核空间204的组合。如结合图4A-E所讨论的,TMvServer和认证vServer可驻留于网络104 上的一个或多个服务器106和/或中间设备200。TM vServer和/或认证vServer可包括一个或多个策略引擎236或与其通信。策略引擎一个或多个策略引擎236可各自驻留于系统500的任意组件上。所述一个或多个策略引擎236的每一个可以是上文结合图2A所描述的策略引擎236的任意实施例。而且, 每个策略引擎236可被静态地或动态地绑定到一个或多个策略或者策略的集合,例如流量管理策略586和认证策略568。此外,一个或多个策略引擎236可以识别用于TM vServer 和认证vServer的一个或多个策略。在一些实施例中,一个或多个策略引擎236应用一个或多个策略用于TM vServer或认证vServer并且将该应用的一个或多个结果发送到TM vServer或认证vServer。在其他实施例中,一个或多个策略引擎236可以将一个或多个所识别的策略发送到TM vServer和/或认证vServer。存储装置设备200可包括存储装置560。存储装置560可以是上文结合图IE所描述的存储装置、上文结合图IF所描述的主存储器122或高速缓存140,以及上文结合图2A所描述的存储器264的任意实施例。存储装置560可存储任何类型或形式的信息,包括持续性信息 (例如,在认证会话期间持续的客户机信息)和临时信息(在运行期间生成的中间数据)。 在一些实施例中,存储装置560可存储一个或多个URL,例如与客户机请求关联的URL。存储装置560也可以存储机器或vServer275的域名、地址、定位符、索引或其他标识符,例如 TM Werver的域名。存储装置560也可以存储一个或多个策略,例如流量管理策略586和认证策略568。而且,存储装置560可存储跟踪AAA和流量管理事务或记录AAA和流量管理事务日志的AAA-TM会话表。策略流量管理策略586、认证策略568和一个或多个策略引擎236 (此后总称为“策略” 或“策略引擎236”)可包括响应于一组输入和/或条件而被应用和/或输出的任何形式和类型的策略、规则、程序、要求、指令、指南和建议。一些流量管理策略586和/或认证策略 568可以例如在连接会话或认证会话期间无限期地持续或在固定时间段内持续。一些流量管理策略586和/或认证策略568可以是持续的,直到事件发生为止。一些流量管理策略 586和认证策略568可以是静态的,其是由管理员预定义的或由机器生成的。一些流量管理策略586和认证策略568可以是动态的,例如,根据包括网络、流量模式、服务器负载、访问频率和访问历史的条件的任意组合的条件而适应性改变或调整。而且,可以由其他策略修改和/或生成这些策略的一些。流量管理策略586和认证策略568可驻留于网络104的任何地方的一个或多个存储装置中。这样的存储装置可以是结合图IE所描述的存储、结合图IF所描述的主存储器 122或高速缓存140,结合图2A所描述的存储器沈4、以及结合图5所描述的存储装置560 的任意实施例。在一些实施例中,流量管理策略586和认证策略568可一起驻留在例如设备200和/或存储装置560中。在其他实施例中,这些策略可包括地理上或逻辑上分开的策略组,例如根据上文结合图4A-4E所描述的配置而分布的策略。流量管理策略586可包括直接或间接影响流量管理活动和/或决策的任何策略。 例如,流量管理策略586可包括与非流量管理策略(例如,认证策略568)联合应用的策略以做出流量管理决策。而且,流量管理策略586可包括与下列内容相关的任何策略1)流量路由、重定向、寻址、分布,幻服务器、服务器群、网关、客户机、vServer、设备或其他网络组件的选择和分配,幻流量数据加密、压缩、加速、缓冲和其他类型的处理,4)流量溢出支持, 5)网络或网络组件失效支持,6)流量数据收集、分析、报告,以及7)服务水平的管理。认证策略568可包括直接或间接影响AAA活动和/或决策的任何策略。例如,认证策略568可包括与非AAA策略(例如,流量管理策略586)联合应用的策略以做出AAA决策。在一些实施例中,认证策略568可包括与安全和访问控制特征关联的任何策略,所述安全和访问特征例如安全套接字层(SSL)、虚拟专用网(VPN)、防火墙、加密、水印、安全密钥、 用户或客户注册、上下文的访问级别,以及EPA。认证策略568可支持由认证vServer和所关联的认证服务器580所支持的特征的全部或任意子集。在一些实施例中,将授权和/或审计/记账策略与认证策略分开组织,逻辑上分区或物理上存储于不同的存储装置中。一个或多个认证、授权和/或审计/记账策略可以在这些策略的另一个之前、之后被使用或与这些策略的另一个联合使用。在特定的条件发生或满足时,或者被另一策略调用时,可以使用这些AAA策略的任何一个。而且,这些AAA策略的任何一个可以与AAA或认证vServer相关联或者绑定到AAA或认证vServer。此外,例如,根据上文结合图4A-4E描述的配置的任意实施例,这些AAA策略的任何个可以经由AAA 或认证vServer与TM vServer相关联或者绑定到TM vServer 可以响应于来自客户机102的请求来使用与TM Werver相关联的或绑定到TM vServer的授权策略。在一些实施例中,可以在客户机102已被认证后使用授权策略。在这些实施例的一个中,可以在客户机102已被认证后将绑定到TM vServer的授权策略应用于相关的流量。授权策略可以被关联或绑定到用户、组、Server或全局级别。在一些实施例中,可以支持或优选绑定到某些级别的授权策略。例如,在一个实施例中,由于所有流量被定向到TM vServer,所以可以容易地支持在TM Werver级别对授权策略的支持。由于冲突、冗余、协同或其他,第一级授权策略的存在或缺席也可以影响对第二级授权策略的支持。例如,如果已经支持诸如内容过滤策略的组级别的策略,这可能与vServer级别的策略相冲突或优于vServer级别的策略。例如,在一些实施例中,可以从关于各种流量管理特征的已有的或替代的全局授权策略的角度来评估支持组级别的策略的决策,例如用于VPN特征的默认授权组。在一些实施例中,认证、授权和审计特征是分开的和/或由不同的Werver提供的。例如,在一个实施例中,认证策略可以被绑定到认证vServer并且在认证会话建立期间被应用于验证用户证书。在会话建立之后,该会话可与认证策略解除关联,同时可以引入被绑定到给定的用户或组的授权策略。接着可以在运行时评估这些授权策略以对照每个给定的请求来做出决定。因此,在一些实施例中,在认证和授权策略之间可能没有重叠。审计策略可以具有大体上类似于认证或授权策略的属性或特性。审计策略可以被绑定到一个或多个TM vServer、认证会话、和流量管理会话。审计策略可以支持由任何形式或类型的AAA或认证vServer和服务器提供的特征。所支持的审计特征可包括,但不限于对下列内容的支持■对在包括TCP、UDP和HTTP的多个协议中的流量管理端用户的全面的或定制的审计跟踪;■对系统管理员和流量管理端用户的完整的或定制的审计跟踪,例如记录命令和跟踪基于角色的管理;■ SYSLOG和/或高性能TCP记录;■记录系统事件;■支持丰富的细节;■可脚本化的或可定制的记录格式;■不同粒度的基于策略的审计;以及■专用于TM的AAA的审计。可以以用户、组、vServer、全局或其他级别设置策略,或者为多个级别设置策略。 在本发明的各种实施例中,可以支持特定级别或特定的级别组。在一些实施例中,可以将用于策略级别的任何现有的框架(例如,认证策略的框架)扩展到不同的策略集合(例如,流量管理策略)。例如,在一个实施例中,用于支持流量管理的新的认证策略可以通过继承相关的用户或组的定义和数据库来对现有的用于审计策略的用户框架或组框架产生影响。可以分层顺序或扁平地(flat)来指定策略间的优先级。在一些实施例中,有用于策略的扁平的优先级空间。对于诸如流量管理策略的某些策略,可以在配置时确定将要被评估的策略的顺序。例如,可以在确定后维护这样的策略的有序列表,并将其应用于多个认证会话。可以在运行时确定一些其他策略的优先级顺序。策略所属的策略级别可以确定是在运行时还是在配置期间确定优先级顺序。在图5的进一步的细节中,上文所讨论的策略和Werver可作用于处理访问服务器106的客户机请求。在涉及客户机102、TM vServer和认证vServer之间的多个请求和响应的多个事务上处理该请求。请求和响应可以是任意通信协议(私有的或其他的)中的任何类型或形式的消息。在一些实施例中,该消息可以是HTTP、HTTPS或类似协议的形式。 这些消息可包括任何类型或形式的信息,例如与客户机102、所请求的资源、设备200,以及认证会话567相关联的信息。请求511在一些实施例中,客户机102发起请求511,所述请求被拦截或路由到TM vServer.该请求511可包括URL 5450 URL 545可以是指向将要连接的服务器106的资源或标识符的指针。在一些实施例中,请求511中可以不包括URL 5450请求511也可包括诸如中间设备或设备200的地址的信息,以及识别要使用的策略和/或认证服务器的信息。此外,请求511可包括指示客户机102是否已被认证和/或是否需要已认证的访问的信息。例如,在一些实施例中,请求511中可以包括域会话cookie。如果域会话cookie是有效的,则这可以指示已经对发送请求511的客户机102和/或用户进行了认证。如果域会话cookie是无效的,或者如果与域会话cookie相关联的关联的认证会话已过期,则可以执行认证或者重新认证。域会话 cookie域会话cookie可以给有效的认证会话提供认证会话信息,例如索引或标识符 5460域会话cookie可用于跟踪经过流量管理vServer的已认证的流量的状态信息。在一个实施例中,如果在流量管理vServer收到的请求511包括有效的域会话cookie,那么关联的认证会话567将会被“刷新”或者在另一个预定时间段内处于活动状态。在一个实施例中,域会话cookie包括一个或多个下列信息· Cookie 名· Cookie值〈认证会话索引〉 域 < 流量管理vServer域> 路径 到期时间< 值/未设置/默认>在一些实施例中,可以在认证之前创建认证会话567。在这些实施例的一个中,域会话cookie的暴露会引起某些安全问题,并且由流量管理vServer接收的流量将必须被安全地保护。在这些实施例的另一个中,域会话cookie的暴露不引起安全问题。在其他实施例中,认证会话是在认证时或认证后被创建的。例如,在这些实施例的一个中,认证会话是响应于认证而被创建的。响应 521再参考图5,在进一步的细节中,TM Werver可响应于请求511而发出响应521。 在一些实施例中,响应521是200 OK HTTP响应。响应511可包括用于在客户机102处显示的页面或表单。响应511也可包括任何数目、类型和形式的字段、按钮和用于显示和/或用户交互的其他部件。响应521可包括URL 5450在一些实施例中,其中请求511不包括任何URL,响应521可包括可能由TM vServer生成的URL 545 该URL 545可以是至少部分地从请求511中所包含的信息和/或一个或多个流量管理策略545的应用中生成的。URL 545可以以隐藏的表单或隐藏的字段的方式被包含在响应521中。在一些实施例中,将这样的隐藏的字段或表单的输入类型指定为“HIDDEN”。与隐藏的表单或字段关联的文档(例如 Html文档)在其被显示在浏览器中时可能不显示该隐藏的表单或字段,也不显示该隐藏的表单或字段的值或内容。在一些实施例中,面对该文档的用户不会与该隐藏的表单或字段交互。响应521也可包括加载时提交事件句柄。加载时提交事件句柄可以包括在预定事件出现时发起或触发消息的命令的任何集合,或者任何形式或类型的脚本或程序。例如,当用户点击“提交”按钮时,可以触发提交隐藏的表单或字段的消息。响应521可包括将请求511重定向到认证服务器的指令514。指令514可以是由 TM vServer生成的、至少部分地从请求511中所包含的信息和/或一个或多个流量管理策略M5的应用而生成的。指令514可包括任何类型或形式的命令(例如HTTP命令),或者任何类型或形式的程序代码。此外,可以根据客户机102的类型或能力来定制指令514。在一些实施例中,指令514可包含脚本516或者被包含在脚本516中。客户机102可执行脚本516,或者在客户机102处收到脚本516时,该脚本516可自动执行。脚本可以是事件句柄。在其他实施例中,脚本516可独立于指令和/或服务于不同的目的。脚本516可触发、 生成或以其他方式由客户机102发起第二或另外的请求512。请求512在一些实施例中,请求512用于将URL 545和/或其他信息传递或重定向到诸如认证vServer的目的地。在其他实施例中,在将URL 545和/或其他信息传递到目的地的过程中,302响应可代替响应521。请求512可包括重定向位置头部。该重定向位置头部可包括任何类型或形式的信息,例如用于检索登录页面的信息。在一个实施例中,重定向位置头部可具有下面的格式位置:<http I https> //<vpn_vServer> <port>/vpn/index, html在一些实施例中,请求512是由用户动作触发的,例如与客户机102处收到的响应 521关联的在提交按钮上的鼠标点击。在其他实施例中,当客户机102处收到响应521时, 请求512自动地触发。在一个实施例中,脚本516可将请求512生成为POST(发布)消息。 在一些实施例中,例如与302重定向消息可在其HTTP头部包含的内容相比,POST消息能够包含更多的内容,例如,诸如较长的URL。POST消息可包括URL520。请求512的URL520可以是指向任何类型或形式的脚本、可执行文件、程序或资源的指针。在一些实施例中,URL520 可指向脚本或可执行文件的目录、目录树或者脚本或可执行文件的位置。在这些实施例的一个中,URL520是指向CGI可执行文件的指针。URL520可指向包含CGI可执行文件的CGI 二进制目录或目录树。URL520可包含字符串,例如“/cgi/tm”。该字符串可指示响应521 是来自TM Werver的重定向消息。在一些实施例中,诸如“/cgi/tm”的URL字符串可以是硬编码的、预定的或动态生成的。URL520也可以是不同于URL的一些其他类型或形式的指针或指示器。请求512可包括任何类型或形式的信息,例如与客户机102、任何所请求的资源、 设备200,认证会话567和请求511相关联的信息。该请求512也可包含URL 5450在一些实施例中,请求512可在该请求512的主体中包含URL 5450请求512也可包含客户机和/ 或用户证书518。在一些实施例中,证书518用于认证客户机102和/或用户。在各种实施例中,证书518、URL 545和URL520的一个或多个可以是可选的或者必须的。这些证书518、 URL 545和URL520的一个或多个可以驻留在请求512的主体中、请求512的POST请求行中、请求512的头部或其他部分中。在一个实施例中,请求512包括但不限于下列属性的任何一个或多个 请求行P0ST/cgi/tm 主机 < 认证vServer标识符或定位符>參主体url = <URL 545>请求512可包括任何类型或形式的标记或cookie,例如AAA cookie。AAA cookie 是由TM vServer、客户机102或系统500的任何其他模块生成的,和/或依据一个或多个策略586/568生成的。AAA cookie可用于在认证过程中执行对任何类型和形式的状态和/ 或数据的跟踪。AAA cookie可包括一个或多个属性,并且每个属性可包括任何类型或形式的信息,例如关于认证vServer和关联的认证会话567的信息。可以在认证期间重复利用 AAAcookie。当认证会话567到期时,AAA cookie会到期。在一些实施例中,AAAcookie是仅对认证vServer 275av的域有效,并且可能在发送到TM Werver的请求中是不可用的。 在一个实施例中,AAA coolie包括但不限于下列属性· Cookie 名· Cookie 值 域< 认证 vServer〉眷路径 到期时间认证会话在一些实施例中,认证会话567可以是响应于请求512而被创建的。当进行连接或资源请求时,以及在一些实施例中在认证会话已过期之后,认证vServer 275av可建立认证会话来认证客户机102和/或用户。认证会话567可表示任何类型或形式的连接、通道、会话、集合或事务单元。此外,认证会话567可支持任何会话层服务和协议。认证会话也可以大体上类似于任何现有类型的安全的、认证的和/或加密的会话、通道或连接或者包含其特征。在一些实施例中,认证会话567是VPN会话。如果认证会话567是由VPNWerver 或服务器创建的,则其可以是VPN会话。在一些实施例中,认证会话567基本上类似于VPN 会话和/或包含VPN会话的特征。例如,在一个实施例中,可以通过集成轻量级的VPN框架来提供认证,这样可以包含未来的VPN增强,例如安全保证标记语言(SAML)和活动目录联合服务(ADFS)。在又一个实施例中,认证会话567包括另外的字段,例如存储所关联的 TMvServer的域名和URL 545的字段。可以在认证vServer 275av收到从TM Werver重定向的第一客户机请求之后马上创建认证会话。在一些实施例中,该会话的创建可以发生在认证之前。然而,VPN vServer 可以在完成认证后创建VPN会话。这个区别的原因在于在认证之前创建认证会话以存储TM vServer的域名和由客户机向TMWerver发起的初始请求的URL的其中一个或者全部。在一些实施例中,可能需要或提供防止拒绝服务(DOS)攻击的对认证会话的保护,例如防止发送填满AAA-TM会话表的消息的黑客,防止拒绝合法用户的访问。在一些实施例中,认证会话可能被刷新,或在另一个指定的时间段内被激活。在这些实施例的一个中,如果在流量管理vServer处收到的请求511中发现有效的域会话cookie,则认证会话可以在另一指定时间段内处于活动状态。如果认证会话没有被刷新,则其可能超时,并且客户机102可能必须被重新认证(例如,重新登录)。会话超时有时也可以被称为被动超时。认证会话567可以通过用户的明确的退出(例如,点击退出按钮或链接)而终止或者当该会话超时时终止。在一些实施例中,一旦用户退出,认证会话(例如, 在诸如CITIRX Netscaler设备的设备200上的认证会话)就变为无效的。用户可能必须要被重新认证以进入有效的认证会话。在一个实施例中,可以支持对用户退出的CGI支持。 例如,可以在“/cgi/logout”路径中找到处理该退出的可执行文件,并将其链接到例如退出按钮。在又一个实施例中,可以支持包括退出功能的完整的会话管理页面,并在客户机102 处显示该页面。也可以定制该完整的会话管理页面。可以从存储装置中检索该完整的会话管理页面并且/或者在到客户机102的消息中包含该页面。在一些实施例中,对流量管理的AAA支持可提高认证登录速率和/或增加并发会话的数量。例如,这些认证登录速率和并发会话的数量可能比典型的VPN应用高。这也可能增加存储器消耗。为了抵消这样的增加,管理员可设置较小的会话超时值,例如用于认证会话567的较小的默认超时值。认证会话567可以与或者不与流量管理会话(未示出)共存和/或互操作。在一个实施例中,在认证会话之后开始流量管理会话。在又一个实施例中,流量管理会话启动一个或多个认证会话和/或与其交互。例如,为了在流量流过期间审计/记账的目的,流量管理会话也可以与认证会话互操作、访问AAA反馈和/或作出或更新流量管理决策。在一些实施例中,用于认证和/或支持流量管理的VPN的安全模型可能使会话建立和认证令牌收集发生在安全通道(SSL)上,但可能不要求流量管理内容是安全的。认证和/或VPN支持可以保护流量管理vServer而不管穿过该流量管理vServer的流量。响应 522例如如果客户机102的认证是成功的,则生成对客户机102的第二响应522,以使得认证会话567是可利用的。第二响应522可标识到客户机102的认证会话567。认证 vServer可生成第二响应522并且将该响应522传输到客户机102。第二响应522可以在第二响应522的主体中、第二响应522的POST消息结构中、在域会话cookie、头部或第二响应522的任何其他部分中包含认证会话标识符546或信息。在一些实施例中,认证会话标识符546可以被称为认证会话索引M6。认证索引546可以用于标识有效的认证会话。在一些实施例中,第二响应522可以是HTTP 302消息,或任何其他类型或形式的重定向消息。在一些实施例中,第二响应522可以在认证后将客户机请求重定向回到TM vServer.在一个实施例中,第二响应包括但不限于下列信息和/或结构的任何一个或多个■位置头部格式 位置< 协议 >//<traffic_management_vServer> [〈端口〉]/<url><协议 > 和 < 端口〉可取决于流量管理vServer IP和服务端口 ;<traffic_management_vServer> 可以从认证会话中复制,并且可能最初来自于域 cookie ;<url> 可以从认证会话中复制,并且可能源自于对流量管理vServer的初始请求。
■域会话 cookie:· Cookie 名· Cookie值< 认证会话索引> 域〈流量管理vServer域〉 路径 到期时间< 值/未设置/默认>请求513请求513可以是由客户机102向TM vServer发送的。在一个实施例中,请求513 可以是重定向的第二响应522,带有或不带有对第二响应522的任何改变。在又一个实施例中,请求513大体上类似于请求511。例如,请求513可包含来自请求511的信息以及认证信息。请求513可标识认证会话567。在一些实施例中,请求513标识有效的认证会话 567。请求513可以在请求513的主体中、请求513的POST消息结构中、或者在请求513的头部或其他部分中包含认证会话标识符546或信息。先前的消息(请求或响应)之后的响应521、522和请求512、513的任何一个中可以包含在任意先前的消息中包含的任何信息。例如,响应521可包含在请求511中包含的全部或一些信息。在一些实施例中,任一随后的消息可以是任意先前的消息的修改或更新。 例如,可以通过封装请求512、修改请求512的头部或地址,和/或在请求512中添加新的信息来生成响应522。而且,可以根据一个或多个流量管理、认证或其他策略从另一个消息生成和/或修改这些消息的每一个。系统500可以提供诸如web接口的接口。该接口可包括来自上文结合图2A所讨论的⑶I210、CLI212、壳服务214的任意实施例的特征。流量管理系统的管理员可以利用多个命令来安装和配置在本公开中所讨论的系统和方法。可以通过命令行接口来输入命令, 例如上文结合图2A所描述的CLI212。举例说明,在一些实施例中,对于各种功能,可以使用下列命令的一些或全部(a)添加认证虚拟服务器add authentication vServer<vServer name><serviceType><IPAddress>[<port>]· <vServer name)认证虚拟服务器的名称。· <serviceType> 服务的类型,例如,SSL。眷<port> 端口号,例如,443。(b)设置/注销CR/CS/LB虚拟服务器set/unset cr|cs|lb vServer<vServer name>-authentication[on|offj-authenticationURL< iAilE vServer 的 FQDN> [<port>]· <vServer name)认证虚拟服务器的名称。· -authentication[on I off]:该开关能启用或禁用对于流量管理vServer的认证功能。· <认证vServer的FQDN> 认证vServer的域名或IP地址。· <port> 监听认证vServer的服务端口,其应该是与在认证vServer上指定的端口相同的。端口号,例如,443。(c)将策略绑定到认证虚拟服务器bind authentication vServer<vServer name>-policy<authNpolicy>|<sessionPolicy>(d)将策略绑定到CR/CS/LB虚拟vServerbind cr|cs|lb vServer〈vServer name>-policy<auditPolicy> | <authorizationPolicy>***(e)设置参数set tm sessionParameterset vpn parameteradd/rm/set tm sessionPolicy/sessionActionadd/rm/set vpn sessionPolicy/sessionActionset tm session parameter[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)][-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][ssoCredential(PRIMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][_ntDomain〈string>][- (pre)authenticationPolicy/(pre)authenticationActions〈string>]set aaa param[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)][-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][-ssoCredential(PRLMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][_ntDomain〈string>][-(pre) authenticationPolicy/(pre)authenticationActions〈string>]set aaa sessionparams[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)]
[-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][-ssoCredential(PRIMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][-ntDomain<string>][ - (pre) authenticationPolicy / (pre) authenticationActions<string>]{定义TM会话的会话行为}set vpn param[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)][-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][-ssoCredential(PRIMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][-ntDomain<string>][-(pre) authenticationPolicy / (pre)
authenticationActions<string>]定义VPN会话的会话行为}(f)显示统计show aaa session{显示会话和它们的统计,包括VPN、流量管理和/或系统}现参考图6A和6B,显示了描述对由流量管理虚拟vServer管理的网络流量进行认证的方法的步骤的实施例的流程图600。总的来说,在步骤601,流量管理vServer接收来自客户机102的与服务器106建立连接的请求511。请求511包括第一统一资源定位符 (URL) 5450在步骤603,流量管理虚拟服务器确定客户机102是否已经被认证。在步骤605, 流量管理虚拟服务器识别用于从多个认证虚拟服务器275av中选择一个认证虚拟服务器 275av的策略以便提供对客户机102的认证。在步骤607,流量管理虚拟服务器通过该策略从多个认证虚拟服务器275av中选择一个认证虚拟服务器27fev。在步骤609,流量管理虚拟服务器向客户机102传输对请求511的响应521。响应521包括URL 545和重定向到认证虚拟服务器的指令514。在步骤611,响应521触发来自客户机102的、到认证虚拟服务器275av的请求512。在步骤613,认证虚拟服务器接收来自客户机102的请求512。 第二请求识别URL 545并指示从流量管理虚拟服务器的重定向。在步骤615,认证虚拟服务器为客户机102建立认证会话567。该认证会话567识别一个或多个策略568。在步骤 617,认证虚拟服务器将URL 545和流量管理虚拟服务器275tv的域名与认证会话567存在一起。在步骤619,认证虚拟服务器对从客户机102接收的证书进行认证。在步骤621,流量管理虚拟服务器将认证会话567的一个或多个策略568应用到请求511。在步骤623,认证虚拟服务器向客户机102传输响应522以将客户机102重定向到流量管理虚拟服务器。 该响应522标识认证会话567。在步骤625,流量管理虚拟服务器接收来自客户机102的请求513。请求513包含认证会话567的标识符M6。在步骤627,流量管理虚拟服务器验证由该标识符546识别的认证会话567。在步骤629,流量管理虚拟服务器将认证会话567的一个或多个策略568应用到请求513。在步骤631,流量管理虚拟服务器将由一个或多个策略568授权的流量从客户机102转发到服务器106。在步骤601的进一步的细节中,流量管理vServer从客户机102接收与服务器106 建立连接的请求511。请求511可包括统一资源定位符(URL) 545。在一些实施例中,请求 511是访问资源的请求。请求511可以是来自客户机的多个请求中的最初的请求511,并且可能包含或不包含URL 545。流量管理vServer可通过在客户机102和服务器106或服务器群582之间的另一个中间设备(例如设备200)接收请求511。请求511可以被拦截和/或重定向到流量管理vServer。请求511也可以被重定向和/或编址到执行流量管理vServer 的设备200或服务器106。在一些实施例中,请求511中可以不编制到流量管理vServer。 可以根据一个或多个策略(诸如来自流量管理策略586的策略)将请求511定向到流量管理vServer。此外,可以经由上文结合图4A-4E描述的配置的任意实施例将请求511从一个或多个流量管理vserver275tmv输送、路由、重定向或委派到流量管理vServer 275tv。在步骤603的进一步的细节中,流量管理虚拟服务器确定客户机102是否已经被认证。流量管理vServer可以通过应用一个或多个策略,例如来自与流量管理虚拟服务器关联的流量管理策略和/或认证策略568的策略,来确定客户机102和/或用户是否已经被认证。在一些实施例中,请求511可包含指示客户机102和/或用户是否是已认证的信息。 特定信息的缺席也可能指示客户机102和/或用户是否是已认证的。流量管理vServer可确定该请求不包含诸如域会话cookie的会话cookie。在一些实施例中,流量管理vServer 可确定该请求不包含对有效的认证会话的标识符或索引M6。在一个实施例中,因为请求 511不包含域会话cookie和/或对有效的认证会话的索引,流量管理vServer可确定客户机102和/或用户没有被认证。请求511中的有效的域会话cookie和/或对有效的认证会话的索引可指示客户机102和/或用户是已认证的。在一个实施例中,流量管理vServer 检查请求511中所识别的或者通过会话域cookie所识别的认证会话是有效的或未过期的。 在一些实施例中,如果请求511包含有效的域会话cookie并且所关联的认证会话是有效的且未到期,那么流量管理vServer确定客户机102和/或用户是已认证的。流量管理vServer也向客户机102请求信息。所请求的信息可用于确定客户机 102和/或用户是否是已认证的。例如,流量管理vServer可启动客户机102的端点分析扫描。在一些实施例中,流量管理vServer可以向客户机102传输脚本和/或程序以收集信息,或者执行脚本和/或程序以向客户机102轮询或请求信息。在一些实施例中,流量管理 vServer可传输和/或激活在客户机102中的收集代理304来为流量管理vServer收集信息。所收集的信息可以是上文结合收集代理304以及图3A和图5所讨论的任何类型或形式的信息。流量管理vServer接着可以响应于接收和/或分析所收集的信息来确定客户机 102是否已被认证。在一些实施例中,流量管理vServer可能不能够确定客户机102是否已经被认证。 在这些实施例的一个中,流量管理vServer可以将客户机102看作是已认证的。在这些实施例的又一个中,流量管理vServer可以将客户机102看作是未被认证的。流量管理vServer 可以通过应用诸如流量管理策略586和认证策略568的一个或多个策略来将客户机102看作是已认证的或未被认证的。取决于客户机102是否已经被认证,流量管理vServer可执行相同的动作或不同的动作。可以通过应用一个或多个策略来确定动作。在一个实施例中, 如果客户机102是已认证的,则该方法可转到步骤621,在流量管理操作之前应用一个或多个认证策略568。在又一个实施例中,如果客户机102是未被认证的,该方法转到步骤605 以发起认证。在步骤605,流量管理虚拟服务器识别用于从多个认证虚拟服务器选择一个认证虚拟服务器的策略以便执行对客户机102的认证。在选择认证vServer中可以选择和应用一个或多个策略,例如流量管理策略586。在一些实施例中,可能仅有一个认证虚拟服务器是可用的,或者仅支持一个认证虚拟服务器,并且可能不要求识别该认证服务器的策略。在一个实施例中,请求511包含用于选择认证虚拟服务器的策略的信息。在又一个实施例中, 请求511提供用于选择认证虚拟服务器的策略。在又一个实施例中,流量管理虚拟服务器部分地基于从客户机102收集的信息来识别该策略。而且,可以从流量管理策略586、认证策略568或任何其他策略来识别该策略。通过策略引擎可以应用任意策略,所述策略引擎例如上文结合图2A所讨论的的策略引擎236的任意实施例。在一个实施例中,流量管理虚拟服务器基于与请求关联的用户来识别选择认证 vServer的策略。在又一个实施例中,流量管理虚拟服务器基于从客户机102收集的信息来识别选择认证vServer的策略。流量管理虚拟服务器可基于从客户机102收集的任何类型或形式的信息来识别策略。流量管理虚拟服务器可启动EPA来从客户机102收集用于识别策略的信息。流量管理虚拟服务器可以通过发送收集代理304到客户机102或者与位于客户机102的收集代理304通信来从客户机102接收用于识别策略的信息。在一个实施例中,流量管理虚拟服务器基于所收集的关于在客户机102上安装的软件的信息来识别用于选择认证vServer的策略。在又一个实施例中,流量管理虚拟服务器基于所收集的关于在客户机102上的操作系统的信息来识别用于选择认证vServer的策略。在一些实施例中,流量管理vServer可以经由所关联的策略引擎236来对与策略相关的任意动作进行操作。例如,在流量管理vServer中的或者与流量管理vServer通信的策略引擎236可以代表流量管理vServer来识别用于选择认证vServer的策略。在步骤607的进一步的细节中,流量管理vServer通过该策略选择多个认证 vServer的一个认证vServer以认证客户机。响应于策略的识别,流量管理vServer选择认证vServer。在一个实施例中,流量管理vServer从与该流量管理vServer关联的多个 vServer中选择认证vServer。在又一个实施例中,流量管理vServer从多个vServer中选择认证vServer作为第一类型的认证vServer。流量管理vServer可基于由该认证vServer 支持的认证类型来选择认证vServer。例如,认证类型可包括活动目录(AD)、轻量级目录访问协议(LDAP)、RADIUS和RSA SecureID0流量管理Werver也可以基于由认证vServer提供的认证类型所支持的特征(例如,SS0)和/或选项来选择认证vServer。可以为由策略识别的特定的认证类型选择认证vServer。流量管理vServer也可以基于与客户机102就任何类型的需求和/或选项的协商来选择认证vServer。在一个实施例中,流量管理vServer 基于与客户机102的对认证类型的协商来选择认证vServer。可以从多个认证类型来协商认证类型。在一些实施例中,流量管理vServer基于由客户机支持的认证类型来选择认证 vServerο在一些实施例中,流量管理vSerer可不应用任何策略就选择认证虚拟服务器。例如,流量管理vServer可以与上文结合图4A和4B所描述的认证vServer静态地相关联。在一个实施例中,请求511提供识别或选择认证vServer的信息。在又一个实施例中,流量管理vServer使用从客户机102收集的信息来识别或选择认证虚拟服务器。流量管理vServer 选择一个或多个认证vServer来认证客户机102和/或用户。此外,一个或多个认证服务器580可以与每个所选择的认证vServer静态地或动态地相关联以便对客户机102和/或用户进行认证。在一些实施例中,通过应用例如来自认证策略568的一个或多个策略,可以进行动态的关联。在步骤609的进一步的细节中,流量管理虚拟服务器向客户机102传输对请求511 的响应521。流量管理虚拟服务器可以将包括URL 545和/或重定向到认证虚拟服务器的指令514的响应521传输到客户机102。在一些实施例中,流量管理vServer可以经由隐藏的表单或字段来传输标识URL 545的响应521。流量管理vServer也可以传输包括加载时提交事件句柄和/或用于在客户机102上显示和/或用户交互的页面或表单的响应521。 如果客户机102和/或用户未被认证或者如果不能确定客户机102和/或用户是已认证的, 则流量管理vServer可传输响应521。在一些实施例中,流量管理vServer通过任何类型或形式的修改、变换和/或转换将请求511转变为响应521。在其他实施例中,流量管理vServer部分地基于请求511的内容来生成响应521。也可以通过除了流量管理vServer之外的模块,例如设备200的组件, 来生成和/或修改响应521。此外,可以通过应用诸如来自流量管理策略和/或认证策略 568的策略的一个或多个策略来生成和/或修改响应521。在一些实施例中,响应521包括脚本516,所述脚本516触发从客户机102向认证虚拟服务器传输请求521。在一些实施例中,流量管理vServer可以通过网络引擎240来操作或执行任何动作。流量管理vServer也可以就任何这样的动作来指导网络引擎M0。例如,网络引擎MO 可生成和/或向客户机102传输响应521以重定向到所选择的认证vServer。网络引擎MO 可以代表流量管理vServer生成包括客户机102重定向到所选择的认证vServer的指令的响应521。在步骤611,响应于响应521的接收,响应521触发从客户机102到认证虚拟服务器的请求512。在一个实施例中,请求512是响应于收到响应521而被触发的。在又一个实施例中,请求512是由用户动作触发的,例如在客户机102上显示的提交按钮上的点击。 客户机102可以接收被包含在触发请求512的响应521中的一个或多个命令、脚本和/或程序。客户机102也可以具有响应于响应521的接收来触发请求512的一个或多个脚本和/或程序。在一些实施例中,由客户机102接收的或在客户机102处可利用的一个或多个脚本和/或程序触发向认证虚拟服务器的POST请求512的传输。客户机102和/或一个或多个脚本和/或程序也可以生成用于包含在请求512中的指针或URL520。例如,在请求512是POST请求的情况下,指针或URL520可被包含在请求512的POST字段中。在一些实施例中,指针或URL指示到CG I可执行文件的路径。客户机102和/或一个或多个脚本和/或程序可以生成对用于包含在请求512中的CGI可执行脚本的一个或多个输入或值。 请求512也可包含一个或多个命令、脚本和/或程序。在一些实施例中,客户机102将请求 512传输到认证vServer。请求512也可以例如通过设备200和/或流量管理vServer被路由或重定向到认证vServer。在步骤613的进一步的细节中,认证虚拟服务器接收来自客户机102的请求512, 该请求512识别URL 545并指示从流量管理vServer的重定向。在一些实施例中,认证 vServer接收到预定的URL和/或URL 545的、包括POST消息的请求512。响应于收到请求512,认证vServer可以从该请求512中提取指针或URL520。认证vServer可以根据所提取的指针或URL520来检索或请求可执行文件。此外,认证vServer可以执行该可执行文件,无论有没有被包含在请求512中的输入或值。在又一个实施例中,认证vServer可以执行一个或多个命令、脚本和/或程序。所述一个或多个命令、脚本和/或程序可以被包含在请求512中或者认证vServer 275av中、从存储装置560中进行检索,或者是根据一个或多个认证策略568而生成的。而且,认证vServer可以根据一个或多个认证策略568来选择用于执行的一个或多个命令、脚本、程序和/或可执行文件。在一些实施例中,认证vServer在请求512中寻找AAA cookie。如果AAA cookie 是可利用的并且是有效的,那么认证vServer可转到步骤615或任何其他认证步骤。如果 AAA cookie是不可用的或者是无效的,那么认证vServer可以确定请求512是否是属于特定类型的消息并且是有效的。在一些实施例中,认证vServer可确定请求512是否是POST 消息。如果该消息是有效的,那么认证vServer可以依照步骤615进行处理。在一些实施例中,如果该消息是POST消息,则其是有效的。在这些实施例的一个中,如果认证Werver 确定POST消息包含预定的URL,例如“/cgi/tm”,则该消息是有效的。或者,如果该消息被确定为是无效的和/或不是POST消息,则认证vServer可以拒绝客户机请求。认证vServer 可以通过发送任何类型和形式的消息来拒绝客户机请求。在一些实施例中,认证vServer 通过HTTP403禁止消息或503服务不可用消息来拒绝客户机请求。在各种实施例中,认证 vServer可以执行生成拒绝客户机请求的消息、将该消息发送到客户机102和关闭到客户机102的连接中的一个或多个步骤。在步骤615的进一步的细节中,认证虚拟服务器为客户机102建立认证会话567。 认证会话567可以识别一个或多个策略568。由认证vServer建立的认证会话可以是VPN会话。在一些实施例中,认证vServer在认证客户机102和/或用户之前建立认证会话567。 在其他实施例中,认证vServer在对客户机102和/或用户进行认证时或者认证之后建立认证会话567。认证vServer可以使用任何类型或形式的数据结构、对象或应用处理接口 (API)来创建或建立认证会话567。例如,认证vServer可以建立或创建会话表,例如在存储装置560中的AAA-TM会话表。认证vServer也可以创建和/或存储会话cookie (例如AAA 会话cookie)和/或与认证会话567关联的其他信息。在一些实施例中,认证vServer与服务器106或其他机器102通信或进行握手以便建立认证会话567。可以由流量管理vServer 基于客户机请求来识别服务器106或其他机器102。在一些其他实施例中,认证vServer建立认证会话567从而为连接到已被流量管理vServer识别的服务器106或其他机器102做准备。认证vServer也可以建立认证会话567从而为认证客户机102和/或用户做准备。在一些实施例中,可以通过执行由指针或URL520指示的可执行文件来建立认证会话567。请求512可将诸如输入和值的信息传递到认证vserver275av以建立认证会话 567。通过执行在请求512中接收的、驻留在认证vServer 275av中的、从存储装置560中检索的,或者根据一个或多个认证策略568而生成的一个或多个命令、脚本和/或程序也可以建立认证会话567。在步骤617,认证虚拟服务器将URL 545和流量管理虚拟服务器275tv的域名与认证会话567存在一起。认证vServer可以存储URL 545和与认证会话567关联的流量管理虚拟服务器的域名的其中一个或两者。此外,认证vServer可存储来自请求512或其他的、 与认证会话567关联的任何类型或形式的信息。认证vServer 275av可以响应于收到请求 512来存储这些信息的任何内容。认证vServer 275av可以响应于应用一个或多个策略(例如来自认证策略568的策略)来存储这些信息的任何内容。此外,认证vserver275av可以通过执行由指针或URL520指示的可执行文件来存储这些信息的任何内容。认证会话567 也可以通过执行在请求512中包含的、驻留在认证vServer 275av中的、从存储装置560中检索的,或者根据一个或多个认证策略568而生成的一个或多个命令、脚本和/或程序来存储这些信息中的任何内容。认证vServer可存储与客户机请求、客户机102、用户和/或上文结合图5所描述的系统500的任何其他组件相关联的任何信息。可将这些信息存储在存储装置560中,或者网络104上的一个或多个存储装置之间。在一些实施例中,认证会话567将这些信息的一些或全部存储在会话表中,例如AAA-TM会话表。认证vServer 275av可以向任何存储装置传输或传送这些信息以用于存储。在步骤619的进一步的细节中,认证虚拟服务器认证从客户机102接收的证书。认证vServer可以根据由认证vServer使用或配置的认证类型(例如,LDAP、RADIUQ来进行认证。认证vServer也可以与任何类型或形式的服务器或系统通信来执行该类型的认证。 例如,在一些实施例中,认证vServer可以执行由绑定到或分配给认证vServer的一个或多个认证和/或授权服务器580支持的类型的认证。此外,认证vServer可根据由流量管理 vServer和/或一个或多个策略识别的认证类型来进行认证。认证vServer也可以使用任何常规的、私有的和/或定制的认证技术和过程来执行客户机102和/或用户的认证。认证vServer可以响应于收到请求512来执行认证。认证vServer也可以响应于应用一个或多个策略(例如来自认证策略568的策略)来执行认证。此外,认证vServer可以通过执行由指针或URL520识别的可执行文件来进行认证。认证会话567也可以通过执行在请求 512中包含的、在认证vServer中的、从存储装置560中检索的,或者根据一个或多个认证策略568而生成的一个或多个命令、脚本和/或程序来进行认证。认证vServer可识别或提取客户机证书518和/或来自请求512的任何类型或形式的信息。而且,认证vServer 275av可以从客户机102和/或用户请求和/或收集任何类型或形式的认证和/或授权信息。该信息可包括用户标识、密码、对质问问题的回答、认证密钥、会话表索引和会话cookie中的一个或多个。可以在与客户机上的密码管理器、会话表和/或数据库(例如,在存储装置560和/或RADIUS服务器中维护的)和用户输入中的一个或多个的通信中来收集该信息。认证vServer可启动客户机102的端点分析或扫描。 在一些实施例中,认证vServer可以向客户机102传输脚本和/或程序以收集信息,或者可执行脚本和/或程序以向客户机102轮询或请求信息。在一个实施例中,收集代理304为认证vServer收集信息。认证vServer也可以执行任何类型或形式的预认证动作。在一些实施例中,可以根据一个或多个认证策略568来进行预认证动作。在一些实施例中,认证vServer将客户机102或客户机请求重定向到登录页面或其他网页。可以使用HTTP 302消息或任何其他类型的消息来发起该重定向。在一些实施例中,认证vServer生成重定向消息并将其传输到客户机102。在一个实施例中,认证vServer 275av通过指针或URL(例如,“/vpn/index. html”)将客户机102或客户机请求重定向到页面。在一些实施例中,可以通过访问页面来执行一些或全部的预认证动作。该页面可以驻留在认证vServer、存储装置560或上文结合图5所描述的系统500的任何其他组件中, 或者可以由认证vServer、存储装置560或上文结合图5所描述的系统500的任何其他组件来提供该页面。在其他实施例中,认证vServer给客户机102发送或提供页面或消息以发起认证。响应于收到重定向消息,客户机102可以向认证服务器发送重定向请求。在一个实施例中,客户机发送包括“GET/vpn/index. html”命令的重定向请求。响应于该重定向请求,认证服务器可以发送包括页面(例如登录页面)的响应。客户机102可以将证书和/ 或其他信息输入到该页面并通过该页面向认证服务器发送登录请求。认证vServer可接收并处理该登录请求。在一些实施例中,认证vServer 275av尝试本地或者远程地对客户机 102和/或用户进行认证。例如,在一个实施例中,认证vServer 275av通过应用一个或多个认证策略和/或使用在存储装置560中存储的认证信息来本地执行认证。在又一个实施例中,认证vServer通过将客户机和/或用户信息传输到一个或多个远程认证服务器580 来执行认证。可以部分地基于认证配置的类型或形式、和/或一个或多个认证策略568的应用来选择远程认证和/或本地认证。如果认证不成功,例如,如果认证步骤(615、617和619)的任何一个是不成功的, 则客户机请求将会被拒绝、忽略,或者重新执行认证,其中重新执行认证可以有或没有另外的步骤。认证vServer可以通过向客户机102发送任何类型和形式的消息来拒绝客户机请求。在一些实施例中,认证vServer通过HTTP403消息来拒绝客户机请求。在一些实施例中,如果在诸如步骤615、617和619的认证步骤的任何一个中的认证是不成功的,则认证 vServer可以执行生成拒绝客户机请求的消息、将该消息发送到客户机102和关闭到客户机102的连接中的一个或多个步骤。认证vServer可终止认证会话567,如果有的话。此外,认证vServer 275av可从存储装置中删除所存储的流量管理vServer 275tv的域名和 / 或 URL 545 ο如果认证是成功的,则认证vServer可为该流量管理会话设置域会话cookie。在一些实施例中,一旦成功认证,该方法可转到步骤623或621。在步骤621的进一步的细节中,流量管理虚拟服务器或认证虚拟服务器将认证会话567的一个或多个策略应用于请求。在一些实施例中,该步骤在流量管理vServer已经确定客户机102和/或用户已经被认证之后发生。也可以在由认证vServer成功认证客户机102和/或用户后进行该步骤。在一些实施例中,流量管理vServer将客户机请求传输或者重定向到认证vServer。流量管理vServer或认证虚拟vServer可以将一个或多个策略(例如来自认证策略568的策略)应用于客户机请求。流量管理vServer或认证虚拟 vServer可以在诸如请求511的客户机消息上,或者在(例如,来自存储装置560的)所存储的与客户机请求相关联的信息上应用一个或多个策略。流量管理vServer或认证虚拟服务器可以识别与已认证的客户机102和/或用户相关联的认证会话567。此外,可以由与流量管理vServer相关联的认证vServer来识别认证会话567和/或一个或多个策略。在步骤623,认证虚拟服务器向客户机102传输响应以便将客户机102重定向到流量管理虚拟服务器。在一些实施例中,认证vServer用上文结合图5所描述的响应522 来生成并传输响应。认证vServer可以将流量管理会话的会话cookie插入到响应522 中。而且,认证vServer可以将关于认证会话567的标识符546或信息插入到响应522中。 认证vServer可将关于认证会话567的标识符546或信息插入到在响应中所包含的会话 cookie (例如,域会话cookie)。认证vServer可以将标识认证会话567的响应522发送到客户机102。在一些实施例中,认证vServer将响应522作为重定向消息(例如,HTTP 302 消息)传输到客户机102以将客户机请求重定向到流量管理vServer。此外,认证vServer 可以在发送响应522后终止它与客户机102的连接。在步骤625的进一步的细节中,流量管理虚拟服务器接收来自客户机102的另一个请求513。请求513可包含认证会话567的标识符或索引M6。客户机102可以响应于收到响应522来生成请求513。客户机102可从响应522中提取标识符546或关于认证会话 567的信息,并将标识符546或关于认证会话567的信息插入到请求513中。在一些实施例中,客户机102将响应522进行修改或以其他方式处理到请求513中。客户机102可以将请求513直接传输到流量管理vServer,或者直接传输到用于重定向到流量管理vServer的设备200。在一些实施例中,客户机102可以通过在客户机102上执行的或代表客户机102 执行的一个或多个应用来执行任何动作,诸如处理响应和生成请求。这些动作中的任何动作的执行可以是自动化的和/或包括用户交互。由客户机发送的请求可以是用于例如经由应用的使用来访问服务器的任何类型的请求。在步骤627的进一步的细节中,流量管理虚拟服务器验证由索引或标识符546识别的认证会话567。流量管理vServer可以从请求513中提取或识别索引546或关于认证会话567的信息。在一些实施例中,流量管理vServer使用该索引546或信息来识别认证会话567。此外,流量管理vServer可以验证该认证会话标识符546或信息。在一些实施例中,流量管理vServer使用该标识符546或信息识别认证会话的一个或多个策略。流量管理vServer可以通过使用在存储装置560中存储的信息、从客户机102收集的信息,以及/ 或者应用来自所关联的流量管理策略586和/或认证策略568的一个或多个策略来执行该验证。流量管理vServer可以验证认证会话567仍是活动的和/或就客户机102和/或用户而言是已认证的。在一些实施例中,流量管理vServer不验证认证会话567。响应于验证认证会话 567的失败,流量管理或认证vServer可以通过向客户机102发送任何类型和形式的消息来拒绝客户机请求。在一些实施例中,流量管理或认证vServer通过HTTP403消息来拒绝客户机请求。流量管理或认证vServer可以执行生成拒绝客户机请求的消息、将该消息发送到客户机102和关闭到客户机102的连接中的一个或多个步骤。流量管理或认证vServer可以终止认证会话567。此外,流量管理或认证vServer可以从存储装置560中删除所存储的流量管理vServer的域名和/或URL 5450流量管理或认证vServer也可以(例如从存储装置560)更新和/或删除一个或多个会话表,例如AAA-TM会话表。在一些实施例中,流量管理vServer可以使用经过验证的认证会话567来执行EPA 和/或获得客户机102和/或用户信息。例如,在认证时,流量管理vServer可使用认证会话567来自动地和/或安全地收集客户机102和/或用户信息。在一些实施例中,流量管理vServer使用认证会话567来识别一个或多个策略586、568。对于经过流量管理vServer 的任何通信,流量管理vServer可以使用关于客户机或从认证vServer可用的会话的任何信息,例如任何收集的端点信息。在一些实施例中,可以从经由认证vServer(例如经由已认证的会话)可用的任何数据、值或信息中获得或导出策略表达式的任一部分的值。在一些实施例中,对策略的条件、动作或规则的输入可以是来自由认证vServer所存储的端点收集的信息的值。这样,流量管理vServer可使用端点或认证会话信息来为任一请求定向流量。例如,在经过流量管理vServer的应用流量的通信中,流量管理vServer可使用端点或已认证的会话信息来基于请求做出流量控制决策。例如,如果客户机有或没有软件,那么流量管理 vServer可做出特定的流量管理决策。如果客户机是由特定类型的认证而不是另一类型的认证所认证的,则流量管理vServer也可做出特定的流量管理决策。在步骤629,流量管理虚拟服务器将认证会话567的一个或多个策略586、568应用于请求513。流量管理vServer可以应用一个或多个策略586、568,例如来验证URL M5、将 URL 545与认证会话567相关联,或者为客户机102确定资源或服务器106。在一些实施例中,流量管理vServer可以将认证会话的一个或多个策略的授权策略应用于请求513。流量管理vServer可以应用授权策略来识别来自已认证的客户机102的授权的流量。在一些其他实施例中,流量管理vServer可以将认证会话的一个或多个策略的流量管理策略应用于请求513。流量管理策略可以确定与授权的客户机102相关联的流量是加密的和/或压缩的。流量管理vServer可以为客户机102应用一个或多个策略586、568来将URL 545 验证为指向资源或服务器106的指针。流量管理vServer也可以将一个或多个策略586、 568应用于来自已认证的客户机102和/或用户的至少一些随后的请求以验证这些请求。 一旦经过一个或多个策略586、568的验证,这些请求就成为授权的流量的部分。在步骤631,流量管理虚拟服务器将由一个或多个策略586、568授权的流量从客户机102转发到服务器106。可以由URL M5、由流量管理vServer,或者通过应用一个或多个策略586、568来识别服务器106。在一些实施例中,流量管理vServer将由一个或多个策略568验证的请求从客户机102转发到服务器106。在一个实施例中,流量管理vServer 可以将授权的流量或经验证的请求转发到服务270或服务器106。在又一个实施例中,流量管理vServer可以经由一个或多个流量管理会话来转发授权的流量或经验证的请求。在一些实施例中,认证会话可以持续到流量管理会话被终止为止。在其他实施例中,在流量管理会话期间可以创建和/或终止多个认证会话,例如以便验证或授权部分流量。在各种实施例中,一个或多个步骤可以是可选的、必须的和/或被重排序,而不限于所描述的方法。
在一个实施例中,方法600包括流量管理虚拟服务器,其从访问服务器的客户机请求确定客户机102尚未被认证,所述请求包括URL M5 (步骤60 ,向客户机102传输对请求511的响应521,所述响应521包括URL 545和重定向到认证虚拟服务器的指令(步骤 609),由认证虚拟服务器接收来自客户机102的请求512,该第二请求识别URL 545 (步骤 613),对从客户机收到的证书进行认证,为客户机建立认证会话,所述认证会话识别一个或多个策略(步骤619),向客户机102传输响应522以便将客户机102经由URL 545重定向到流量管理虚拟服务器,所述响应522识别认证会话567(步骤62 ,以及由流量管理虚拟服务器275tv接收来自客户机102的请求513,请求513包括认证会话567的标识符M6 (步骤 625)。在又一个实施例中,方法600包括由流量管理虚拟服务器从自客户机102的接收的访问服务器106的内容的请求511确定客户机102尚未被认证(步骤603),识别用于从多个认证虚拟服务器选择一个认证虚拟服务器的策略以提供对客户机102的认证(步骤 605),通过该策略选择多个认证虚拟服务器的一个认证虚拟服务器以认证客户机102(步骤607),以及向客户机102传输对请求511的响应,所述响应521包括重定向到所选择的认证虚拟服务器275av的指令(步骤609)。在又一个实施例中,方法600包括流量管理虚拟服务器,其从客户机102接收与服务器106建立连接的请求511 (步骤601),确定客户机102已被认证(步骤60 ,将该请求转发到认证vServer以便将认证会话567的一个或多个策略应用于请求511(步骤621), 认证vServer向客户机102传输响应522以便将客户机102重定向到流量管理虚拟服务器 (步骤62 ,流量管理虚拟服务器接收来自客户机102的请求513(步骤62 ,验证由标识符546识别的认证会话567 (步骤627),将该认证会话567的一个或多个策略568应用于请求513 (步骤629),以及经由认证会话567将由一个或多个策略568授权的流量从客户机 102转发到由URL 545识别的服务器(步骤631)。现参考图7A,描述了给流量管理提供AAA支持的方法的又一个实施例。在进一步的细节中,图7A示出了其中是在与一个或多个认证vServer通信的流量管理vServer处对流量进行处理的实施例。图7A的步骤可代表方法600的步骤的一部分。简而言之,流量管理虚拟服务器接收来自客户机102的、与服务器106建立连接的请求511 (步骤601),在请求511中寻找会话cookie以确定客户机102是否已经被认证(步骤60 ,如果该cookie 以及其识别的认证会话都是有效的,则将该请求转发到认证vServer以应用认证策略(步骤621),由认证vServer重定向回到流量管理虚拟服务器(步骤62 。如果cookie和/ 或其识别的认证会话是无效的,则流量管理vServer识别认证vServer以认证该客户机并将客户机请求重定向到该认证vServer (步骤60 ,上文结合图6A和6B讨论了每个步骤的细节。现参考图7B,仍描述了给流量管理提供AAA支持的方法的又一个实施例。在进一步的细节中,图7B示出了其中客户机请求是在与流量管理vServer关联的认证vServer处进行处理的。图7A的步骤可代表方法600的步骤的一部分。上文结合图6A和6B描述了每个步骤的细节。简而言之,认证vServer接收来自客户机102的请求512并且在该请求 512中寻找AAAcookie (步骤613)。如果该cookie是可用的并且是有效的,则认证vServer 对客户机102执行认证(步骤615-619)。如果认证成功,则认证vServer将客户机请求重定向回到流量管理虚拟服务器(步骤62 。如果认证失败,客户机请求被拒绝。另一方面, 如果该cookie是不可用的或无效的,则认证vServer确定请求512是否是有效的POST消息(步骤613)。如果请求512是有效的POST消息,则建立认证会话567并执行认证(步骤 615-619)。如果请求512不是有效的POST消息,则客户机请求被拒绝。上文结合图6A和 6B描述了每个步骤的细节。现参考图8,示出了将端点审计用于流量管理的方法的步骤的实施例的流程图 800。简而言之,在步骤801,中间设备200的认证虚拟服务器确定对客户机102的端点分析扫描的结果。在步骤803,流量管理虚拟服务器从认证虚拟服务器获得该结果。在步骤 805,流量管理虚拟服务器将该结果应用于一个或多个流量管理策略586以管理经过该中间设备200的客户机102连接的网络流量。在步骤801的进一步的细节中,中间设备200的认证虚拟服务器确定对客户机102 的端点分析扫描的结果。分配给或绑定到认证vServer的一个或多个认证和/或授权服务器580可代表认证vServer来确定端点分析扫描的结果。在一些实施例中,认证vServer 响应于事件来启动对客户机102的端点分析扫描。该事件可以是任何类型和形式的事件, 例如收到客户机请求或客户机流量、客户机102的属性的改变、服务水平的改变或网络中断。该事件也可以是来自流量管理vServer或不同的AAA vServer (例如审计vServer)的请求。在一些其他实施例中,认证vServer基于预定频率来启动端点分析扫描。用于启动端点分析扫描的预定频率可以根据调度表来运行。可以基于过去的历史,例如网络流量和/ 或客户机请求的过去的历史,来预先确定该频率。也可以通过例如在过去的历史上应用一个或多个策略和/或公式来预先确定该频率。此外,可基于审计/记账需要来预先确定该频率。在一些实施例中,该频率是在数据库和/或会话表中进行存储和/或维护的。数据库和/或会话表驻留于网络104中的一个或多个存储装置(例如,存储装置560)中。在一些实施例中,认证vServer可以向客户机102传输脚本和/或程序以执行端点分析扫描,或者执行脚本和/或程序以向客户机102轮询或请求信息。在一个实施例中, 收集代理304为认证vServer收集信息。认证vServer和/或流量管理vServer可将收集代理304发送到客户机304以便执行端点分析扫描。端点分析扫描可作为认证vServer的一个或多个AAA动作的部分(例如,预先认证动作)而被启动。端点分析扫描也可以作为流量管理vServer的一个或多个流量管理动作的部分而被启动。此外,流量管理vServer 或认证Werver可响应于一个或多个策略586、568的应用来启动端点分析扫描。认证vServer接收端点分析扫描的结果,其可包括任何类型或形式的客户机信息。在一些实施例中,该结果包括表达式,该表达式可包括任何类型或形式的字符串、等式、 列表或命令。认证vServer可接收由客户机102求值的一个或多个表达式。所接收的一个或多个表达式可识别客户机102的一个或多个属性。该结果可识别下列的一个或多个在客户机102上的存在操作系统的版本、操作系统的服务包、正在运行的服务、正在运行的进程、和文件。该结果也可识别下列的存在或版本的一个或多个在客户机102上的存在反病毒软件、个人防火墙软件、反垃圾邮件软件和互联网安全软件。在一些实施例中,收集代理304可将结果传输到认证vServer和/或流量管理 vServer.在一些其他实施例中,传输到客户机102的脚本和/或程序可以在客户机102上执行并将结果传输到认证vServer和/或流量管理vServer。客户机102、所接收的脚本或所接收的程序可以将包含所收集的结果的收集代理304传输回到认证vServer。在其他实施例中,客户机102将结果传输到认证vServer和/或流量管理vServer。客户机102也可以将结果发送到设备200或中间设备200,以便被重定向到认证vServer和/或流量管理vServer。可以根据客户机102的通信协议或者在从客户机102发出之前,对结果进行加密、压缩、格式化和/或以其他方式进行处理。在认证vServer和/或流量管理vServer 处收到这些结果后,可以对这些结果进行处理以提取任何需要的信息。此外,认证vServer 可根据一个或多个AAA或认证策略586来处理和/或评价这些结果。在步骤803的进一步的细节中,流量管理虚拟服务器从认证虚拟服务器获得该结果。流量管理vServer可根据另一个预定的频率来接收该结果。该频率可大体上类似于、 或包括上文结合步骤801所描述的频率的任何实施例。在一些实施例中,该频率是由认证 vServer和/或一个或多个认证策略来预先确定的。在一个实施例中,认证vServer将全部或部分结果转发到流量管理vServer。认证vServer可在向流量管理vServer转发之前处理全部或部分结果。在一些实施例中,认证vServer向流量管理vServer提供对标识客户机102的一个或多个属性的一个或多个表达式的求值。认证vServer可根据一个或多个 AAA或认证策略586来转发全部或部分结果。认证vServer也可以将全部或部分结果提供为对流量管理vServer的一个或多个流量管理策略586的输入。在步骤805的进一步的细节中,流量管理虚拟服务器将该结果应用于一个或多个流量管理策略586以管理经过中间设备200的客户机102的连接的网络流量。流量管理 vServer可根据另一个预定的频率来应用该结果。该频率可大体上类似于、或包括上文结合步骤803所描述的频率的任何实施例。流量管理vServer可以将来自认证vServer的全部或部分结果应用于一个或多个流量管理策略586。流量管理vServer也可以在应用策略 586之前对来自认证vServer的全部或部分结果进行进一步的处理。流量管理vServer可基于对使用该结果的一个或多个流量管理策略586的应用来确定对于连接的压缩类型。而且,流量管理vServer可基于对使用该结果的一个或多个流量管理策略586的应用来确定对于连接的加密类型。流量管理vServer也可以基于对使用该结果的一个或多个流量管理策略586的应用来确定对于连接的一个或多个文件类型关联。此外,流量管理vServer可以基于通过一个或多个流量管理策略应用该结果来确定对于连接是否使用单点登录。基于所述确定,流量管理vServer可作出一个或多个流量管理和/或AAA决策以管理来自客户机102的经过中间设备200的流量。在一些实施例中,方法800可以与图6A和6B的方法600联合运用。例如,方法 800的实施例可以作为方法600的步骤607或629的部分而被实现。应该理解,此处描述的系统可提供多个组件或每个组件并且这些组件可以在单独机器上提供,或者在一些实施例中,可在分布式系统的多个机器上提供。此外,上述系统和方法可作为一件或多件产品上所体现的或在其中的一个或多个计算机可读程序或可执行指令而被提供。所述产品可以是软盘、硬盘、CD-ROM,闪存卡、PROM、RAM、ROM或磁带。通常,计算机可读程序可以任何编程语言来实现,如LISP、PERL、C、C++、C#、PROLOG,或者诸如 JAVA的任何字节码语言。软件程序或可执行指令可以作为目标代码被存储在一件或多件产品上或其中。尽管已经参考特定的实施例具体地显示和描述了本发明,但本领域技术人员应理解在不脱离由如下的权利要求限定的本发明的精神和范围的情况下,可以进行形式和细节上的各种变化。
权利要求
1.一种基于端点分析的结果管理经过中间设备的流量的方法,所述方法包括a)由中间设备的认证虚拟服务器确定对客户机的端点分析扫描的结果;b)由中间设备的流量管理虚拟服务器从认证虚拟服务器获得所述结果;以及c)由流量管理虚拟服务器将所述结果应用于一个或多个流量管理策略以便管理经过中间设备的客户机的连接的网络流量。
2.根据权利要求1所述的方法,其中步骤(a)还包括由认证虚拟服务器从客户机接收表达式,所述表达式标识下列的其中一个在客户机上的存在操作系统的版本、操作系统的服务包、正在运行的服务、正在运行的进程和文件。
3.根据权利要求1所述的方法,其中步骤(a)还包括由认证虚拟服务器从客户机接收表达式,所述表达式标识下列的其中一个的存在或版本之一反病毒软件、个人防火墙软件、反垃圾邮件软件和互联网安全软件。
4.根据权利要求1所述的方法,其中步骤(a)还包括由认证虚拟服务器接收由客户机求值的一个或多个表达式,所述一个或多个表达式标识客户机的一个或多个属性。
5.根据权利要求1所述的方法,其中步骤(b)还包括由认证虚拟服务器将对标识客户机的一个或多个属性的一个或多个表达式的求值提供为所述结果。
6.根据权利要求1所述的方法,其中步骤(b)还包括由认证虚拟服务器将所述结果提供为对流量管理虚拟服务器的一个或多个流量管理策略的输入。
7.根据权利要求1所述的方法,其中步骤(c)还包括由流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的压缩类型。
8.根据权利要求1所述的方法,其中步骤(c)还包括由流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的加密类型。
9.根据权利要求1所述的方法,其中步骤(c)还包括由流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的一个或多个文件类型关联。
10.根据权利要求1所述的方法,其中步骤(C)还包括由流量管理虚拟服务器基于经由该一个或多个流量管理策略应用所述结果来确定对于所述连接使用或不使用单点登录。
11.一种用于基于端点分析的结果管理经过中间设备的流量的中间设备,所述中间设备包括认证虚拟服务器,用于确定对客户机的端点分析扫描的结果;流量管理虚拟服务器,用于从认证虚拟服务器获得所述结果,并将所述结果应用于一个或多个流量管理策略以便管理经过中间设备的客户机的连接。
12.根据权利要求10所述的中间设备,其中认证虚拟服务器从客户机接收表达式,所述表达式标识下列的其中一个在客户机上的存在操作系统的版本、操作系统的服务包、正在运行的服务、正在运行的进程和文件。
13.根据权利要求10所述的中间设备,其中认证虚拟服务器从客户机接收表达式,所述表达式标识下列的其中一个的存在或版本之一反病毒软件、个人防火墙软件、反垃圾邮件软件和互联网安全软件。
14.根据权利要求10所述的中间设备,其中认证虚拟服务器接收由客户机求值的一个或多个表达式,所述一个或多个表达式标识客户机的一个或多个属性。
15.根据权利要求10所述的中间设备,其中认证虚拟服务器将对标识客户机的一个或多个属性的一个或多个表达式的求值提供为所述结果。
16.根据权利要求10所述的中间设备,其中认证虚拟服务器将所述结果提供为对流量管理虚拟服务器的一个或多个流量管理策略的输入。
17.根据权利要求10所述的中间设备,其中流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的压缩类型。
18.根据权利要求10所述的中间设备,其中流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的加密类型。
19.根据权利要求10所述的中间设备,其中流量管理虚拟服务器基于对使用所述结果的一个或多个流量管理策略的应用来确定用于所述连接的一个或多个文件类型关联。
20.根据权利要求10所述的中间设备,其中流量管理虚拟服务器基于经由一个或多个流量管理策略应用所述结果来确定对于所述连接使用或不使用单点登录。
全文摘要
本发明提供了基于端点审计的结果管理经过中间设备的流量的系统和方法。中间设备的认证虚拟服务器确定对客户机的端点分析扫描的结果。响应于所述确定,流量管理虚拟服务器可从认证虚拟服务器获得该结果。此外,流量管理虚拟服务器可以将该结果应用于一个或多个流量管理策略以便管理经过中间设备的客户机的连接的网络流量。在一些实施例中,认证虚拟服务器可以接收由客户机求值的一个或多个表达式。所述一个或多个表达式标识客户机的一个或多个属性。流量管理虚拟服务器也可以基于对使用该结果的一个或多个流量管理策略的应用来确定用于该连接的压缩或加密类型。
文档编号G06F21/00GK102577302SQ201080021938
公开日2012年7月11日 申请日期2010年2月24日 优先权日2009年3月20日
发明者A·仇达瑞, A·库玛, J·哈里斯, P·古伯塔, P·阿加瓦, R·塔库, 李 瑞 申请人:思杰系统有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1