用于为了增强的安全性和可见性通过云托管或本地网络网关安全且透明地代理SAAS应用的系统和方法与流程

相关申请的交叉引用本专利申请要求在2017年4月7日提交的、名称为“systemsandmethodsforsecurelyandtransparentlyproxyingsaasapplicationsthroughacloud-hostedoron-premisenetworkgatewayforenhancedsecurityandvisibility”的美国专利申请no.15/482,423的优先权，由此通过引用将该美国专利申请的内容全部包含于此，以用于所有目的。本申请总地涉及数据通信网络。本申请尤其涉及用于为无客户机终端用户装置提供对应用的访问的系统和方法。
背景技术：
：：企业可以在网络上提供各种应用以服务各种客户机。客户机可以请求经由无客户机安全套接字层虚拟专用网络(sslvpn)会话来访问由企业的服务器提供的资源。企业可以选择允许或拒绝客户机访问资源。由于引用某些资源的地址的类型和/或性质，常规方法可能会在访问这些资源时造成限制或面临挑战。此外，访问这些资源可能会迫使客户机针对每个资源经受多次验证。技术实现要素：本公开涉及用于通过重写超文本传输协议(http)消息来经由无客户机通信会话(诸如安全套接字层虚拟专用网络(sslvpn))安全且透明地代理托管在服务器上的应用的系统和方法。在给定的基于web的资源(例如，网页、基于web的应用等)上，可以使用绝对统一资源定位符(url)或相对url来(例如，经由超链接)引用其他资源。绝对url可以使用资源的完整地址(包括协议、主机名和文件路径名)来引用资源。相对url可以由资源引用或动态地生成，并且可以使用资源的部分地址来引用另一资源，该部分地址包括例如文件路径名。在客户机处没有安装代理的情况下，可以动态地重写http请求和响应中存在的url，以通过中间装置引导应用的数据流。在不重写url来引用中间装置的情况下，数据流可能最终直接进入托管应用的云服务器。这样，对提供给客户机用户的web链接的任何点击都可能导致请求绕过中间装置进入云服务器。为了解决这个问题，本系统和方法可以利用通配符域名系统(dns)条目和/或通配符安全套接字层(ssl)证书来实现对服务器处托管的应用的透明代理。中间装置可以识别针对服务器处托管的应用的来自客户机的http请求中存在的绝对url。中间装置可以从所识别的绝对url中提取所请求的应用的域名。中间装置可以生成针对所请求的应用的域名的编码，并且存储在针对应用的编码与原始域名之间的映射。中间装置然后可以向客户机返回具有针对应用的重写的url的http重定向响应，该重写的url包括以编码为前缀的装置的主机名。可以为客户机的dns服务器配置具有装置的主机名和通配符的dns条目，以便dns服务器使用重写的url解析任何后续请求以登陆装置。在接收到http重定向响应后，客户机可以发送另一个http请求，该请求具有以编码为前缀的装置的绝对url和附加应用路径名。在将请求转发到托管资源的服务器之前，中间装置可以获取该应用的编码的映射，以识别托管该应用的服务器的原始域名。中间装置可以转而重写请求中包含的url，以用服务器的原始域名替换装置的编码和绝对url。然后，装置可以将重写的请求转发到服务器，并且可以为客户机执行登录。在一个方面，本公开涉及一种提供对应用的访问的方法。客户机和服务器中间的装置可以提供对由服务器托管的应用的访问。该访问可以经由生成针对该应用的第一超文本传输协议(http)请求的链接提供给客户机。该装置可以从客户机接收经由所提供的链接生成的第一http请求。装置可以通过将第一http请求中指示的应用的绝对统一资源定位符(url)中包括的服务器的第一主机名替换为通过组合分配给第一主机名的唯一字符串和装置的第二主机名而生成的url段，来重写第一http请求中指示的应用的绝对url。装置可以将客户机重定向到应用的重写的绝对url。客户机的域名系统(dns)服务器可以配置有dns条目。dns条目可以包括使dns服务器将重写的绝对url解析为装置的互联网协议(ip)地址的表达式。在一些实施例中，该链接可以包括在客户机上执行的浏览器中呈现的链接。在一些实施例中，可以从浏览器接收针对应用的第一http请求。在一些实施例中，该表达式包括与装置的第二主机名组合的通配符。在一些实施例中，装置可以从客户机接收包括重写的绝对url的第二http请求。重写的绝对url可使dns将第二http请求定向到装置。在一些实施例中，装置可以从来自客户机的第二http请求的主机头部解码唯一字符串。在一些实施例中，装置可以对所述唯一字符串进行解码以获得所述服务器的第一主机名。该装置可以通过向所述服务器发送安全断言标记语言(saml)断言来为所述客户机的用户执行单点登录(sso)。在一些实施例中，装置可以响应于saml断言而从服务器接收验证令牌。在一些实施例中，装置可以从所述重写的绝对url中识别出标识所述应用的url部分。在一些实施例中，装置可以向所述服务器发送包括所识别的url部分的第三http请求以访问所述应用。在一些实施例中，装置可以接收对包括所识别的url部分的第三http请求的响应。在一些实施例中，装置可以通过将响应中识别的第二绝对url中的第三主机名替换为通过将分配给所述第三主机名的第二唯一字符串与所述装置的第二主机名组合而生成的第二url段，来重写所述响应中识别的第二绝对url。在一些实施例中，装置可以将用重写的第二绝对url更新的响应发送给客户机。在一些实施例中，提供唯一字符串可包括使用包括以下之一的编码方案从第一主机名生成唯一字符串：对称密钥加密或base-32编码。在另一方面，本公开涉及一种用于提供对应用的访问的系统。该系统可以包括在客户机和服务器中间的装置上执行的代理引擎。代理引擎可以提供对由服务器托管的应用的访问。该访问可以经由生成针对所述应用的第一超文本传输协议(http)请求的链接提供给客户机。代理引擎可以从客户机接收经由所提供的链接生成的第一http请求。代理引擎可以通过将第一http请求中指示的应用的绝对统一资源定位符(url)中包含的服务器的第一主机名替换为通过将分配给该第一主机名的唯一字符串与装置的第二主机名组合而生成的url段，来重写第一http请求中指示的应用的绝对url。代理引擎可以将客户机重定向到应用的重写的绝对url。客户机的域名系统(dns)服务器可以配置有dns条目。dns条目可以包括使dns服务器将重写的绝对url解析为所述装置的互联网协议(ip)地址的表达式。在一些实施例中，该链接可以包括在客户机上执行的浏览器中呈现的链接。在一些实施例中，可以从浏览器接收针对应用的第一http请求。在一些实施例中，该表达式包括与装置的第二主机名组合的通配符。在一些实施例中，代理引擎可以从客户机接收包括重写的绝对url的第二http请求。重写的绝对url可以使dns将第二http请求定向到装置。在一些实施例中，代理引擎可以从来自客户机的第二http请求的主机头部解码唯一字符串。在一些实施例中，代理引擎可以对所述唯一字符串进行解码以获得所述服务器的所述第一主机名。代理引擎可以通过向所述服务器发送安全断言标记语言(saml)断言来为所述客户机的用户执行单点登录(sso)。在一些实施例中，代理引擎可以响应于saml断言从服务器接收验证令牌。在一些实施例中，代理引擎可以从重写的绝对url中识别出标识应用的url部分。在一些实施例中，代理引擎可以将包括所识别的url部分的第三http请求发送到服务器以访问该应用。在一些实施例中，代理引擎可以接收对包括所识别的url部分的第三http请求的响应。在一些实施例中，代理引擎可以通过将响应中识别的第二绝对url中的第三主机名替换为通过将分配给第三主机名的第二唯一字符串与装置的第二主机名组合而生成的第二url段，来重写响应中识别的第二绝对url。在一些实施例中，代理引擎可以将用重写的第二绝对url更新的响应发送给客户机。在一些实施例中，代理引擎可以使用包括以下之一的编码方案从第一主机名生成唯一字符串：对称密钥加密或base-32编码。附图说明通过参考下述结合附图的描述，本发明的前述和其它目的、方面、特征和优点将会更加明显并更易于理解，其中：图1a是客户机经由设备访问服务器的网络环境的实施例的框图；图1b是经由设备从服务器传送计算环境到客户机的环境的实施例的框图；图1c是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图；图1d是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图；图1e到1h是计算装置的实施例的框图；图2a是用于处理客户机和服务器之间的通信的设备的实施例的框图；图2b是用于优化、加速、负载平衡和路由客户机和服务器之间的通信的设备的又一个实施例的框图；图3是用于经由设备与服务器通信的客户机的实施例的框图；图4a是虚拟化环境的实施例的框图；图4b是虚拟化环境的又一个实施例的框图；图4c是虚拟设备的实施例的框图；图5a是在多核系统中实现并行机制的方法实施例的框图；图5b是使用多核系统的系统实施例的框图；图5c是多核系统方面的另一实施例的框图；图6是集群系统的实施例的框图；图7a和7b是用于经由设备对服务器进行无客户机虚拟专用网络访问的系统的实施例的框图；图8是在客户机和服务器之间的执行url重写的设备的实施例的框图；图9是对客户机请求执行url重写的方法的实施例的步骤的流程图；图10是通过设备从服务器传输到客户机的服务器响应和修改后的服务器响应的实施例的框图；以及图11是对服务器响应执行url重写的方法的实施例的步骤的流程图；图12a是用于经由中间装置提供对托管在服务器上的应用的访问的系统的实施例的框图；图12b是用于经由多个中间装置提供对托管在服务器上的应用的访问的系统的实施例的框图；图12c是用于经由中间装置提供对托管在服务器上的应用的访问的方法的实施例的流程图；以及图12d是用于经由中间装置提供对托管在服务器上的应用的访问的方法的实施例的流程图。从下面结合附图所阐述的详细描述，本发明的特征和优点将更明显，其中，同样的参考标记在全文中标识相应的元素。在附图中，同样的附图标记通常表示相同的、功能上相似的和/或结构上相似的元素。具体实施方式为了阅读下文各种实施例的描述，下述对于说明书的部分以及它们各自内容的描述是有用的：－a部分描述可用于实施本文描述的实施例的网络环境和计算环境；－b部分描述用于将计算环境传送到远程用户的系统和方法的实施例；－c部分描述用于加速客户机和服务器之间的通信的系统和方法的实施例；－d部分描述用于对应用传送控制器进行虚拟化的系统和方法的实施例；－e部分描述用于提供多核架构和环境的系统和方法的实施例；－f部分描述用于提供集群式设备架构环境的系统和方法的实施例；－g部分描述了无客户机虚拟专用网络环境的实施例；－h部分描述了用于配置和细粒度策略驱动的web内容检测和重写的系统和方法的实施例；以及－i部分描述了用于经由中间装置访问托管在服务器上的应用的系统和方法的实施例。a.网络和计算环境在讨论设备和/或客户机的系统和方法的实施例的细节之前，讨论可在其中部署这些实施例的网络和计算环境是有帮助的。现在参见图1a，描述了网络环境的实施例。概括来讲，网络环境包括经由一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a－106n(同样总的称为服务器106，或远程机器106)通信的一个或多个客户机102a－102n(同样总的称为本地机器102，或客户机102)。在一些实施例中，客户机102通过设备200与服务器106通信。虽然图1a示出了在客户机102和服务器106之间的网络104和网络104’，客户机102和服务器106可以位于同一个的网络104上。网络104和104’可以是相同类型的网络或不同类型的网络。网络104和/或104’可为局域网(lan)例如公司内网，城域网(man)，或者广域网(wan)例如因特网或万维网。在一个实施例中，网络104可为专用网络并且网络104’可为公网。在一些实施例中，网络104可为专用网并且网络104’可为公网。在又一个实施例中，网络104和104’可都为专用网。在一些实施例中，客户机102可位于公司企业的分支机构中，通过网络104上的wan连接与位于公司数据中心的服务器106通信。网络104和/或104’可以是任何类型和/或形式的网络，并且可包括任何下述网络：点对点网络，广播网络，广域网，局域网，电信网络，数据通信网络，计算机网络，atm(异步传输模式)网络，sonet(同步光纤网络)网络，sdh(同步数字体系)网络，无线网络和有线网络。在一些实施例中，网络104可以包括无线链路，诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络拓扑可以是对于本领域普通技术人员所熟知的、可以支持本文描述的操作的任何这样的网络或网络拓扑。如图1a所示，设备200被显示在网络104和104’之间，设备200也可被称为接口单元200或者网关200。在一些实施例中，设备200可位于网络104上。例如，公司的分支机构可在分支机构中部署设备200。在其他实施例中，设备200可以位于网络104’上。例如，设备200可位于公司的数据中心。在又一个实施例中，多个设备200可在网络104上部署。在一些实施例中，多个设备200可部署在网络104’上。在一个实施例中，第一设备200与第二设备200’通信。在其他实施例中，设备200可为位于与客户机102同一或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的任一点。在一些实施例中，设备200包括由位于佛罗里达州ft.lauderdale的citrixsystems公司制造的被称为citrixnetscaler设备的任何网络设备。在其他实施例中，设备200包括由位于华盛顿州西雅图的f5networks公司制造的被称为webaccelerator和bigip的任何一个产品实施例。在又一个实施例中，设备205包括由位于加利福尼亚州sunnyvale的junipernetworks公司制造的dx加速设备平台和/或诸如sa700、sa2000、sa4000和sa6000的sslvpn系列设备中的任何一个。在又一个实施例中，设备200包括由位于加利福尼亚州sanjose的ciscosystems公司制造的任何应用加速和/或安全相关的设备和/或软件，例如ciscoace应用控制引擎模块服务(applicationcontrolenginemoduleservice)软件和网络模块以及ciscoavs系列应用速度系统(applicationvelocitysystem)。在一个实施例中，系统可包括多个逻辑分组的服务器106。在这些实施例中，服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中，服务器106可为地理上分散的。在一些情况中，群38可以作为单个实体被管理。在其他实施例中，服务器群38包括多个服务器群38。在一个实施例中，服务器群代表一个或多个客户机102执行一个或多个应用程序。在每个群38中的服务器106可为不同种类。一个或多个服务器106可根据一种类型的操作系统平台(例如，由华盛顿州redmond的microsoft公司制造的windowsnt)操作，而一个或多个其它服务器106可根据另一类型的操作系统平台(例如，unix或linux)操作。每个群38的服务器106不需要与同一群38内的另一个服务器106物理上接近。因此，被逻辑分组为群38的服务器106组可使用广域网(wan)连接或城域网(man)连接互联。例如，群38可包括物理上位于不同大陆或大陆的不同区域、国家、州、城市、校园或房间的服务器106。如果使用局域网(lan)连接或一些直连形式来连接服务器106，则可增加群38中的服务器106间的数据传送速度。服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中，服务器106可以有作为应用服务器或者作为主应用服务器工作的能力。在一个实施例中，服务器106可包括活动目录。客户机102也可称为客户端节点或端点。在一些实施例中，客户机102可以有作为客户机节点寻求访问服务器上的应用的能力，也可以有作为应用服务器为其它客户机102a-102n提供对寄载的应用的访问的能力。在一些实施例中，客户机102与服务器106通信。在一个实施例中，客户机102与群38中的服务器106的其中一个直接通信。在又一个实施例中，客户机102执行程序邻近应用(programneighborhoodapplication)以与群38内的服务器106通信。在又一个实施例中，服务器106提供主节点的功能。在一些实施例中，客户机102通过网络104与群38中的服务器106通信。通过网络104，客户机102例如可以请求执行群38中的服务器106a-106n寄载的各种应用，并接收应用执行结果的输出进行显示。在一些实施例中，只有主节点提供识别和提供与寄载所请求的应用的服务器106’相关的地址信息所需的功能。在一个实施例中，服务器106提供web服务器的功能。在又一个实施例中，服务器106a接收来自客户机102的请求，将该请求转发到第二服务器106b，并使用来自服务器106b对该请求的响应来对客户机102的请求进行响应。在又一个实施例中，服务器106获得客户机102可用的应用的列举以及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个实施例中，服务器106使用web接口将对请求的响应提供给客户机102。在一个实施例中，客户机102直接与服务器106通信以访问所识别的应用。在又一个实施例中，客户机102接收由执行服务器106上所识别的应用而产生的诸如显示数据的应用输出数据。现参考图1b，描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上，而第二设备200’部署在第二网络104’上。例如，公司可以在分支机构部署第一设备200，而在数据中心部署第二设备200’。在又一个实施例中，第一设备200和第二设备200’被部署在同一个网络104或网络104上。例如，第一设备200可以被部署用于第一服务器群38，而第二设备200可以被部署用于第二服务器群38’。在另一个实例中，第一设备200可以被部署在第一分支机构，而第二设备200’被部署在第二分支机构’。在一些实施例中，第一设备200和第二设备200’彼此协同或联合工作，以加速客户机和服务器之间的网络流量或应用和数据的传送。现参考图1c，描述了网络环境的又一个实施例，在该网络环境中，将设备200和一个或多个其它类型的设备部署在一起，例如，部署在一个或多个wan优化设备205,205’之间。例如，第一wan优化设备205显示在网络104和104’之间，而第二wan优化设备205’可以部署在设备200和一个或多个服务器106之间。例如，公司可以在分支机构部署第一wan优化设备205，而在数据中心部署第二wan优化设备205’。在一些实施例中，设备205可以位于网络104’上。在其他实施例中，设备205’可以位于网络104上。在一些实施例中，设备205’可以位于网络104’或网络104"上。在一个实施例中，设备205和205’在同一个网络上。在又一个实施例中，设备205和205’在不同的网络上。在另一个实例中，第一wan优化设备205可以被部署用于第一服务器群38，而第二wan优化设备205’可以被部署用于第二服务器群38’。在一个实施例中，设备205是用于加速、优化或者以其他方式改善任何类型和形式的网络流量(例如去往和/或来自wan连接的流量)的性能、操作或服务质量的装置。在一些实施例中，设备205是一个性能增强代理。在其他实施例中，设备205是任何类型和形式的wan优化或加速装置，有时也被称为wan优化控制器。在一个实施例中，设备205是由位于佛罗里达州ft.lauderdale的citrixsystems公司出品的被称为wanscaler的产品实施例中的任何一种。在其他实施例中，设备205包括由位于华盛顿州seattle的f5networks公司出品的被称为big-ip链路控制器和wanjet的产品实施例中的任何一种。在又一个实施例中，设备205包括由位于加利福尼亚州sunnyvale的junipernetworks公司出品的wx和wxcwan加速装置平台中的任何一种。在一些实施例中，设备205包括由加利福尼亚州sanfrancisco的riverbedtechnology公司出品的虹鳟(steelhead)系列wan优化设备中的任何一种。在其他实施例中，设备205包括由位于新泽西州roseland的expandnetworks公司出品的wan相关装置中的任何一种。在一个实施例中，设备205包括由位于加利福尼亚州cupertino的packeteer公司出品的任何一种wan相关设备，例如由packeteer提供的packetshaper、ishared和skyx产品实施例。在又一个实施例中，设备205包括由位于加利福尼亚州sanjose的ciscosystems公司出品的任何wan相关设备和/或软件，例如cisco广域网应用服务软件和网络模块以及广域网引擎设备。在一个实施例中，设备205为分支机构或远程办公室提供应用和数据加速服务。在一个实施例中，设备205包括广域文件服务(wafs)的优化。在又一个实施例中，设备205加速文件的传送，例如经由通用互联网文件系统(cifs)协议。在其他实施例中，设备205在存储器和/或存储装置中提供高速缓存来加速应用和数据的传送。在一个实施例中，设备205在任何级别的网络堆栈或在任何的协议或网络层中提供网络流量的压缩。在又一个实施例中，设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理，以加速wan连接上的应用和数据的传送。例如，在一个实施例中，设备205提供传输控制协议(tcp)优化。在其他实施例中，设备205提供对于任何会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。在又一个实施例中，设备205将任何类型和形式的数据或信息编码成网络分组的定制的或标准的tcp和/或ip的头部字段或可选字段，以将其存在、功能或能力通告给另一个设备205’。在又一个实施例中，设备205’可以使用在tcp和/或ip头部字段或选项中编码的数据来与另一个设备205’进行通信。例如，设备可以使用tcp选项或ip头部字段或选项来传达在执行诸如wan加速的功能时或者为了彼此联合工作而由设备205，205’所使用的一个或多个参数。在一些实施例中，设备200保存在设备205和205’之间传达的tcp和/或ip头部和/或可选字段中编码的任何信息。例如，设备200可以终止经过设备200的传输层连接，例如经过设备205和205’的在客户机和服务器之间的一个传输层连接。在一个实施例中，设备200识别并保存由第一设备205通过第一传输层连接发送的传输层分组中的任何编码信息，并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205’。现参考图1d，描述了用于传送和/或操作客户机102上的计算环境的网络环境。在一些实施例中，服务器106包括用于向一个或多个客户机102传送计算环境或应用和/或数据文件的应用传送系统190。总的来说，客户机10通过网络104、104’和设备200与服务器106通信。例如，客户机102可驻留在公司的远程办公室里，例如分支机构，并且服务器106可驻留在公司数据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。可经由设备200和/或服务器106传送计算环境15、应用和/或数据文件。在一些实施例中，设备200加速计算环境15或者其任何部分到客户机102的传送。在一个实施例中，设备200通过应用传送系统190加速计算环境15的传送。例如，可使用此处描述的实施例来加速从公司中央数据中心到远程用户位置(例如公司的分支机构)的流应用(streamingapplication)及该应用可处理的数据文件的传送。在又一个实施例中，设备200加速客户机102和服务器106之间的传输层流量。设备200可以提供用于加速从服务器106到客户机102的任何传输层有效载荷的加速技术，例如：1)传输层连接池，2)传输层连接多路复用，3)传输控制协议缓冲，4)压缩和5)高速缓存。在一些实施例中，设备200响应于来自客户机102的请求提供服务器106的负载平衡。在其他实施例中，设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在又一个实施例中，设备200提供从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接，诸如sslvpn连接。在又一些实施例中，设备200提供客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。在一些实施例中，基于多个执行方法并且基于通过策略引擎195所应用的任一验证和授权策略，应用传送管理系统190提供将计算环境传送到远程的或者另外的用户的桌面的应用传送技术。使用这些技术，远程用户可以从任何网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中，应用传送系统190可驻留在服务器106上或在其上执行。在又一个实施例中，应用传送系统190可驻留在多个服务器106a-106n上或在其上执行。在一些实施例中，应用传送系统190可在服务器群38内执行。在一个实施例中，执行应用传送系统190的服务器106也可存储或提供应用和数据文件。在又一个实施例中，一个或多个服务器106的第一组可执行应用传送系统190，而不同的服务器106n可存储或提供应用和数据文件。在一些实施例中，应用传送系统190、应用和数据文件中的每一个可驻留或位于不同的服务器。在又一个实施例中，应用传送系统190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。客户机102可包括用于执行使用或处理数据文件的应用的计算环境15。客户机102可通过网络104、104’和设备200请求来自服务器106的应用和数据文件。在一个实施例中，设备200可以将来自客户机102的请求转发到服务器106。例如，客户机102可能不具有本地存储或者本地可访问的应用和数据文件。响应于请求，应用传送系统190和/或服务器106可以传送应用和数据文件到客户机102。例如，在一个实施例中，服务器106可以把应用作为应用流来传输，以在客户机102上的计算环境15中操作。在一些实施例中，应用传送系统190包括citrixsystems有限公司的citrixaccesssuitetm的任一部分(例如或)，和/或微软公司开发的windows终端服务中的任何一个。在一个实施例中，应用传送系统190可以通过远程显示协议或者以其它方式通过基于远程计算或者基于服务器计算来传送一个或者多个应用到客户机102或者用户。在又一个实施例中，应用传送系统190可以通过应用流来传送一个或者多个应用到客户机或者用户。在一个实施例中，应用传送系统190包括策略引擎195，其用于控制和管理对应用的访问、应用执行方法的选择以及应用的传送。在一些实施例中，策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在又一个实施例中，策略引擎195确定应用应该如何被传送到用户或者客户机102，例如执行方法。在一些实施例中，应用传送系统190提供多个传送技术，从中选择应用执行的方法，例如基于服务器的计算、本地流式传输或传送应用给客户机120以用于本地执行。在一个实施例中，客户机102请求应用程序的执行并且包括服务器106的应用传送系统190选择执行应用程序的方法。在一些实施例中，服务器106从客户机102接收证书。在又一个实施例中，服务器106从客户机102接收对于可用应用的列举的请求。在一个实施例中，响应该请求或者证书的接收，应用传送系统190列举对于客户机102可用的多个应用程序。应用传送系统190接收执行所列举的应用的请求。应用传送系统190选择预定数量的方法之一来执行所列举的应用，例如响应策略引擎的策略。应用传送系统190可以选择执行应用的方法，使得客户机102接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法，使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。在又一个实施例中，应用传送系统190可以选择执行应用的方法，以通过网络104流式传输应用到客户机102。客户机102可以执行、操作或者以其它方式提供应用，所述应用可为任何类型和/或形式的软件、程序或者可执行指令，例如任何类型和/或形式的web浏览器、基于web的客户机、客户机－服务器应用、瘦客户端计算客户机、activex控件、或者java程序、或者可以在客户机102上执行的任何其它类型和/或形式的可执行指令。在一些实施例中，应用可以是代表客户机102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中，服务器106可以使用任何瘦-客户端或远程显示协议来显示输出到客户机102，所述瘦-客户端或远程显示协议例如由位于佛罗里达州ft.lauderdale的citrixsystems公司出品的独立计算架构(ica)协议或由位于华盛顿州redmond的微软公司出品的远程桌面协议(rdp)。应用可使用任何类型的协议，并且它可为，例如，http客户机、ftp客户机、oscar客户机或telnet客户机。在其他实施例中，应用包括和voip通信相关的任何类型的软件，例如软ip电话。在进一步的实施例中，应用包括涉及到实时数据通信的任一应用，例如用于流式传输视频和/或音频的应用。在一些实施例中，服务器106或服务器群38可运行一个或多个应用，例如提供瘦客户端计算或远程显示表示应用的应用。在一个实施例中，服务器106或服务器群38作为一个应用来执行citrixsystems有限公司的citrixaccesssuitetm的任一部分(例如或)，和/或微软公司开发的windows终端服务中的任何一个。在一个实施例中，该应用是位于佛罗里达州fortlauderdale的citrixsystems有限公司开发的ica客户机。在其他实施例中，该应用包括由位于华盛顿州redmond的microsoft公司开发的远程桌面(rdp)客户机。另外，服务器106可以运行一个应用，例如，其可以是提供电子邮件服务的应用服务器，例如由位于华盛顿州redmond的microsoft公司制造的microsoftexchange，web或internet服务器，或者桌面共享服务器，或者协作服务器。在一些实施例中，任一应用可以包括任一类型的所寄载的服务或产品，例如位于加利福尼亚州santabarbara的citrixonlinedivision公司提供的gotomeetingtm，位于加利福尼亚州santaclara的webex有限公司提供的webextm，或者位于华盛顿州redmond的microsoft公司提供的microsoftofficelivemeeting。仍参考图1d，网络环境的一个实施例可以包括监控服务器106a。监控服务器106a可以包括任何类型和形式的性能监控服务198。性能监控服务198可以包括监控、测量和/或管理软件和/或硬件，包括数据收集、集合、分析、管理和报告。在一个实施例中，性能监控服务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任何软件、硬件或其组合。在一些实施例中，监控代理197包括诸如visualbasic脚本或javascript任何类型和形式的脚本。在一个实施例中，监控代理197相对于装置的任何应用和/或用户透明地执行。在一些实施例中，监控代理197相对于应用或客户机不显眼地被安装和操作。在又一个实施例中，监控代理197的安装和操作不需要用于该应用或装置的任何设备。在一些实施例中，监控代理197以预定频率监控、测量和收集数据。在其他实施例中，监控代理197基于检测到任何类型和形式的事件来监控、测量和收集数据。例如，监控代理197可以在检测到对web页面的请求或收到http响应时收集数据。在另一个实例中，监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任何所监控、测量或收集的数据给监控服务198。在一个实施例中，监控代理197根据时间安排或预定频率来发送信息给监控服务198。在又一个实施例中，监控代理197在检测到事件时发送信息给监控服务198。在一些实施例中，监控服务198和/或监控代理197对诸如客户机、服务器、服务器群、设备200、设备205或网络连接的任何网络资源或网络基础结构元件的进行监控和性能测量。在一个实施例中，监控服务198和/或监控代理197执行诸如tcp或udp连接的任何传输层连接的监控和性能测量。在又一个实施例中，监控服务198和/或监控代理197监控和测量网络等待时间。在又一个实施例中，监控服务198和/或监控代理197监控和测量带宽利用。在其他实施例中，监控服务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中，监控服务198执行应用的监控和性能测量。在又一个实施例中，监控服务198和/或监控代理197执行到应用的任何会话或连接的监控和性能测量。在一个实施例中，监控服务198和/或监控代理197监控和测量浏览器的性能。在又一个实施例中，监控服务198和/或监控代理197监控和测量基于http的事务的性能。在一些实施例中，监控服务198和/或监控代理197监控和测量ip电话(voip)应用或会话的性能。在其他实施例中，监控服务198和/或监控代理197监控和测量诸如ica客户机或rdp客户机的远程显示协议应用的性能。在又一个实施例中，监控服务198和/或监控代理197监控和测量任何类型和形式的流媒体的性能。在进一步的实施例中，监控服务198和/或监控代理197监控和测量所寄载的应用或软件即服务(software-as-a-service，saas)传送模型的性能。在一些实施例中，监控服务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其他实施例中，监控服务198和/或监控代理197监控和测量应用层堆栈的任何部分，例如任何.net或j2ee调用。在一个实施例中，监控服务198和/或监控代理197监控和测量数据库或sql事务。在又一个实施例中，监控服务198和/或监控代理197监控和测量任何方法、函数或应用编程接口(api)调用。在一个实施例中，监控服务198和/或监控代理197对经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送进行监控和性能测量。在一些实施例中，监控服务198和/或监控代理197监控和测量虚拟化应用的传送的性能。在其他实施例中，监控服务198和/或监控代理197监控和测量流式应用的传送的性能。在又一个实施例中，监控服务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在又一个实施例中，监控服务198和/或监控代理197监控和测量客户机/服务器应用的性能。在一个实施例中，监控服务198和/或监控代理197被设计和构建成为应用传送系统190提供应用性能管理。例如，监控服务198和/或监控代理197可以监控、测量和管理经由citrix表示服务器(citrixpresentationserver)传送应用的性能。在该实例中，监控服务198和/或监控代理197监控单独的ica会话。监控服务198和/或监控代理197可以测量总的以及每次的会话系统资源使用，以及应用和连网性能。监控服务198和/或监控代理197可以对于给定用户和/或用户会话来标识有效服务器(activeserver)。在一些实施例中，监控服务198和/或监控代理197监控在应用传送系统190和应用和/或数据库服务器之间的后端连接。监控服务198和/或监控代理197可以测量每个用户会话或ica会话的网络等待时间、延迟和容量。在一些实施例中，监控服务198和/或监控代理197测量和监控对于应用传送系统190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其他实施例中，监控服务198和/或监控代理197测量和监控诸如总的cpu使用、每个用户会话和/或每个进程的应用传送系统190的cpu使用。在又一个实施例中，监控服务198和/或监控代理197测量和监控登录到诸如citrix表示服务器的应用、服务器或应用传送系统所需的时间。在一个实施例中，监控服务198和/或监控代理197测量和监控用户登录应用、服务器或应用传送系统190的持续时间。在一些实施例中，监控服务198和/或监控代理197测量和监控应用、服务器或应用传送系统会话的有效和无效的会话计数。在又一个实施例中，监控服务198和/或监控代理197测量和监控用户会话等待时间。在另外的实施例中，监控服务198和/或监控代理197测量和监控任何类型和形式的服务器指标。在一个实施例中，监控服务198和/或监控代理197测量和监控与系统内存、cpu使用和盘存储器有关的指标。在又一个实施例中，监控服务198和/或监控代理197测量和监控和页错误有关的指标，诸如每秒页错误。在其他实施例中，监控服务198和/或监控代理197测量和监控往返时间的指标。在又一个实施例中，监控服务198和/或监控代理197测量和监控与应用崩溃、错误和/或中止相关的指标。在一些实施例中，监控服务198和监控代理198包括由位于佛罗里达州ft.lauderdale的citrixsystems公司出品的被称为edgesight的任何一种产品实施例。在又一个实施例中，性能监控服务198和/或监控代理198包括由位于加利福尼亚州paloalto的symphoniq公司出品的被称为trueview产品套件的产品实施例的任一部分。在一个实施例中，性能监控服务198和/或监控代理198包括由位于加利福尼亚州sanfrancisco的tealeaf技术公司出品的被称为tealeafcx产品套件的产品实施例的任何部分。在其他实施例中，性能监控服务198和/或监控代理198包括由位于德克萨斯州houston的bmc软件公司出品的诸如bmc性能管理器和巡逻产品(bmcperformancemanagerandpatrolproducts)的商业服务管理产品的任何部分。客户机102、服务器106和设备200可以被部署为和/或执行在任何类型和形式的计算装置上，诸如能够在任何类型和形式的网络上通信并执行此处描述的操作的计算机、网络装置或者设备。图1e和1f描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图1e和1f所示，每个计算装置100包括中央处理单元101和主存储器单元122。如图1e所示，计算装置100可以包括可视显示装置124、键盘126和/或诸如鼠标的指示装置127。每个计算装置100也可包括其它可选元件，例如一个或多个输入/输出装置130a－130b(总的使用附图标记130表示)，以及与中央处理单元101通信的高速缓存存储器140。中央处理单元101是响应并处理从主存储器单元122取出的指令的任何逻辑电路。在许多实施例中，中央处理单元由微处理器单元提供，例如：由加利福尼亚州mountainview的intel公司制造的微处理器单元；由伊利诺伊州schaumburg的motorola公司制造的微处理器单元；由加利福尼亚州santaclara的transmeta公司制造的微处理器单元；由纽约州whiteplains的internationalbusinessmachines公司制造的rs/6000处理器；或者由加利福尼亚州sunnyvale的advancedmicrodevices公司制造的微处理器单元。计算装置100可以基于这些处理器中的任何一种，或者能够如此处所述方式运行的任何其它处理器。主存储器单元122可以是能够存储数据并允许微处理器101直接访问任何存储位置的一个或多个存储器芯片，例如静态随机存取存储器(sram)、突发sram或同步突发sram(bsram)、动态随机存取存储器dram、快速页模式dram(fpmdram)、增强型dram(edram)、扩展数据输出ram(edoram)、扩展数据输出dram(edodram)、突发式扩展数据输出dram(bedodram)、增强型dram(edram)、同步dram(sdram)、jedecsram、pc100sdram、双数据速率sdram(ddrsdram)、增强型sram(esdram)、同步链路dram(sldram)、直接内存总线dram(drdram)或铁电ram(fram)。主存储器122可以基于上述存储芯片的任何一种，或者能够如此处所述方式运行的任何其它可用存储芯片。在图1e中所示的实施例中，处理器101通过系统总线150(在下面进行更详细的描述)与主存储器122进行通信。图1e描述了在其中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实施例。例如，在图1f中，主存储器122可以是drdram。图1f描述了在其中主处理器101通过第二总线与高速缓存存储器140直接通信的实施例，第二总线有时也称为后端总线。其他实施例中，主处理器101使用系统总线150和高速缓存存储器140通信。高速缓存存储器140通常有比主存储器122更快的响应时间，并且通常由sram、bsram或edram提供。在图1f中所示的实施例中，处理器101通过本地系统总线150与多个i/o装置130进行通信。可以使用各种不同的总线将中央处理单元101连接到任何i/o装置130，所述总线包括vesavl总线、isa总线、eisa总线、微通道体系结构(mca)总线、pci总线、pci-x总线、pci-express总线或nubus。对于i/o装置是视频显示器124的实施例，处理器101可以使用高级图形端口(agp)与显示器124通信。图1f说明了主处理器101通过超传输(hypertransport)、快速i/o或者infiniband直接与i/o装置130通信的计算机100的一个实施例。图1f还描述了在其中混合本地总线和直接通信的实施例：处理器101使用本地互连总线与i/o装置130b进行通信，同时直接与i/o装置130a进行通信。计算装置100可以支持任何适当的安装装置116，例如用于接纳诸如3.5英寸、5.25英寸磁盘或zip磁盘这样的软盘的软盘驱动器、cd-rom驱动器、cd-r/rw驱动器、dvd-rom驱动器、各种格式的磁带驱动器、usb装置、硬盘驱动器或适于安装像任何客户机代理120或其部分的软件和程序的任何其它装置。计算装置100还可以包括存储装置128，诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列，用于存储操作系统和其它相关软件，以及用于存储诸如涉及客户机代理120的任何程序的应用软件程序。或者，可以使用安装装置116的任何一种作为存储装置128。此外，操作系统和软件可从例如可引导cd的可引导介质运行，诸如一种用于gnu/linux的可引导cd，该可引导cd可自knoppix.net作为gnu/linux一个分发版获得。此外，计算装置100可以包括通过多种连接接口到局域网(lan)、广域网(wan)或因特网的网络接口118，所述多种连接包括但不限于标准电话线路、lan或wan链路(例如802.11，t1，t3、56kb、x.25)、宽带连接(如isdn、帧中继、atm)、无线连接、或上述任何或所有连接的一些组合。网络接口118可以包括内置网络适配器、网络接口卡、pcmcia网络卡、卡总线网络适配器、无线网络适配器、usb网络适配器、调制解调器或适用于将计算装置100接口到能够通信并执行这里所说明的操作的任何类型的网络的任何其它设备。计算装置100中可以包括各种i/o装置130a-130n。输入装置包括键盘、鼠标、触控板、轨迹球、麦克风和绘图板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图1e所示，i/o装置130可以由i/o控制器123控制。i/o控制器可以控制一个或多个i/o装置，例如键盘126和指示装置127(如鼠标或光笔)。此外，i/o装置还可以为计算装置100提供存储装置128和/或安装介质116。在其他实施例中，计算装置100可以提供usb连接以接纳手持usb存储装置，例如由位于美国加利福尼亚州losalamitos的twintechindustry有限公司生产的usb闪存驱动系列装置。在一些实施例中，计算装置100可以包括多个显示装置124a-124n或与其相连，这些显示装置各自可以是相同或不同的类型和/或形式。因而，任何一种i/o装置130a-130n和/或i/o控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合，以支持、允许或提供通过计算装置100连接和使用多个显示装置124a-124n。例如，计算装置100可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库，以与显示装置124a-124n接口、通信、连接或以其他方式使用显示装置。在一个实施例中，视频适配器可以包括多个连接器以与多个显示装置124a-124n接口。在其他实施例中，计算装置100可以包括多个视频适配器，每个视频适配器与显示装置124a-124n中的一个或多个连接。在一些实施例中，计算装置100的操作系统的任一部分都可以被配置用于使用多个显示器124a-124n。在其他实施例中，显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供，诸如例如通过网络与计算装置100连接的计算装置100a和100b。这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算装置100的第二显示装置124a的任一类型的软件。本领域的普通技术人员应认识和理解可以将计算装置100配置成具有多个显示装置124a-124n的各种方法和实施例。在另外的实施例中，i/o装置130可以是系统总线150和外部通信总线之间的桥170，所述外部通信总线例如usb总线、apple桌面总线、rs-232串行连接、scsi总线、firewire总线、firewire800总线、以太网总线、appletalk总线、千兆位以太网总线、异步传输模式总线、hippi总线、超级hippi总线、serialplus总线、sci/lamp总线、光纤信道总线或串行scsi总线。图1e和1f中描述的那类计算装置100通常在控制任务的调度和对系统资源的访问的操作系统的控制下操作。计算装置100可以运行任何操作系统，如windows操作系统，不同发行版本的unix和linux操作系统，用于macintosh计算机的任何版本的mac任何嵌入式操作系统，任何实时操作系统，任何开源操作系统，任何专有操作系统，任何用于移动计算装置的操作系统，或者任何其它能够在计算装置上运行并完成这里所述操作的操作系统。典型的操作系统包括：windows3.x、windows95、windows98、windows2000、windowsnt3.51、windowsnt4.0、windowsce和windowsxp，所有这些均由位于华盛顿州redmond的微软公司出品；由位于加利福尼亚州cupertino的苹果计算机出品的macos；由位于纽约州armonk的国际商业机器公司出品的os/2；以及由位于犹他州saltlakecity的caldera公司发布的可免费使用的linux操作系统或者任何类型和/或形式的unix操作系统，以及其它。在其他的实施例中，计算装置100可以有符合该装置的不同的处理器、操作系统和输入设备。例如，在一个实施例中，计算机100是由palm公司出品的treo180、270、1060、600或650智能电话。在该实施例中，treo智能电话在palmos操作系统的控制下操作，并包括指示笔输入装置以及五向导航装置。此外，计算装置100可以是任何工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话、任何其它计算机、或能够通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式的计算或者电信装置。如图1g所示，计算装置100可以包括多个处理器，可以提供用于对不只一个数据片同时执行多个指令或者同时执行一个指令的功能。在一些实施例中，计算装置100可包括具有一个或多个核的并行处理器。在这些实施例的一个中，计算装置100是共享内存并行设备，具有多个处理器和/或多个处理器核，将所有可用内存作为一个全局地址空间进行访问。在这些实施例的又一个中，计算装置100是分布式存储器并行设备，具有多个处理器，每个处理器访问本地存储器。在这些实施例的又一个中，计算装置100既有共享的存储器又有仅由特定处理器或处理器子集访问的存储器。在这些实施例的又一个中，如多核微处理器的计算装置100将两个或多个独立处理器组合在一个封装中，通常在一个集成电路(ic)中。在这些实施例的又一个中，计算装置100包括具有单元宽带引擎(cellbroadbandengine)架构的芯片，并包括高能处理器单元以及多个协同处理单元，高能处理器单元和多个协同处理单元通过内部高速总线连接在一起，可以将内部高速总线称为单元互连总线。在一些实施例中，处理器提供用于对多个数据片同时执行单个指令(simd)的功能。其他实施例中，处理器提供用于对多个数据片同时执行多个指令(mimd)的功能。又一个实施例中，处理器可以在单个装置中使用simd和mimd核的任意组合。在一些实施例中，计算装置100可包括图像处理单元。图1h所示的在这些实施例的一个中，计算装置100包括至少一个中央处理单元101和至少一个图像处理单元。在这些实施例的又一个中，计算装置100包括至少一个并行处理单元和至少一个图像处理单元。在这些实施例的又一个中，计算装置100包括任意类型的多个处理单元，多个处理单元中的一个包括图像处理单元。一些实施例中，第一计算装置100a代表客户计算装置100b的用户执行应用。又一个实施例中，计算装置100执行虚拟机，其提供执行会话，在该会话中，代表客户计算装置100b的用户执行应用。在这些实施例的一个中，执行会话是寄载的桌面会话。在这些实施例的又一个中，计算装置100执行终端服务会话。终端服务会话可以提供寄载的桌面环境。在这些实施例的又一个中，执行会话提供对计算环境的访问，该计算环境可包括以下的一个或多个：应用、多个应用、桌面应用以及可执行一个或多个应用的桌面会话。b.设备架构图2a示出设备200的一个示例实施例。提供图2a的设备200架构仅用于示例，并不意于作为限制性的架构。如图2所示，设备200包括硬件层206和被分为用户空间202和内核空间204的软件层。硬件层206提供硬件元件，在内核空间204和用户空间202中的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件，就设备200而言，这些结构和元件允许在内核空间204和用户空间202内的程序和服务既在内部进行数据通信又与外部进行数据通信。如图2所示，硬件层206包括用于执行软件程序和服务的处理单元262，用于存储软件和数据的存储器264，用于通过网络传输和接收数据的网络端口266，以及用于执行与安全套接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。在一些实施例中，中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外，硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1e和1f所述的任一处理器101。例如，在一个实施例中，设备200包括第一处理器262和第二处理器262’。在其他实施例中，处理器262或者262’包括多核处理器。虽然示出的设备200的硬件层206通常带有加密处理器260，但是处理器260可为执行涉及任何加密协议的功能的处理器，例如安全套接字协议层(ssl)或者传输层安全(tls)协议。在一些实施例中，处理器260可为通用处理器(gpp)，并且在进一步的实施例中，可为用于执行任何安全相关协议处理的可执行指令。虽然图2中设备200的硬件层206包括了某些元件，但是设备200的硬件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件，例如此处结合图1e和1f示出和讨论的计算装置100。在一些实施例中，设备200可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备，并且拥有与此相关的任何硬件和/或软件元件。设备200的操作系统分配、管理或另外分离可用的系统存储器到内核空间204和用户空间204。在示例的软件架构200中，操作系统可以是任何类型和/或形式的unix操作系统，尽管本发明并未这样限制。这样，设备200可以运行任何操作系统，如任何版本的windows操作系统、不同版本的unix和linux操作系统、用于macintosh计算机的任何版本的mac任何的嵌入式操作系统、任何的网络操作系统、任何的实时操作系统、任何的开放源操作系统、任何的专用操作系统、用于移动计算装置或网络装置的任何操作系统、或者能够运行在设备200上并执行此处所描述的操作的任何其它操作系统。保留内核空间204用于运行内核230，内核230包括任何设备驱动器，内核扩展或其他内核相关软件。就像本领域技术人员所知的，内核230是操作系统的核心，并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例，内核空间204也包括与高速缓存管理器232协同工作的多个网络服务或进程，高速缓存管理器232有时也称为集成的高速缓存，其益处此处将进一步详细描述。另外，内核230的实施例将依赖于通过设备200安装、配置或其他使用的操作系统的实施例。在一个实施例中，设备200包括一个网络堆栈267，例如基于tcp/ip的堆栈，用于与客户机102和/或服务器106通信。在一个实施例中，使用网络堆栈267与第一网络(例如网络108)以及第二网络110通信。在一些实施例中，设备200终止第一传输层连接，例如客户机102的tcp连接，并建立客户机102使用的到服务器106的第二传输层连接，例如，终止在设备200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中，设备200可包括多个网络堆栈，例如267或267’，并且在一个网络堆栈267可建立或终止第一传输层连接，在第二网络堆栈267’上可建立或者终止第二传输层连接。例如，一个网络堆栈可用于在第一网络上接收和传输网络分组，并且另一个网络堆栈用于在第二网络上接收和传输网络分组。在一个实施例中，网络堆栈267包括用于为一个或多个网络分组进行排队的缓冲器243，其中网络分组由设备200传输。如图2所示，内核空间204包括高速缓存管理器232、高速层2-7集成分组引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、240、234、236和238提高这些组件中的每个单独的和结合的性能。内核操作意味着这些组件或进程232、240、234、236和238在设备200的操作系统的核地址空间中运行。例如，在内核模式中运行加密引擎234通过移动加密和解密操作到内核可改进加密性能，从而可减少在内核模式中的存储空间或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如，在内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线程，例如从内核级数据结构到用户级数据结构。在另一个方面，也可减少内核模式和用户模式之间的上下文切换的数量。另外，在任何组件或进程232、240、235、236和238间的同步和通信在内核空间204中可被执行的更有效率。在一些实施例中，组件232、240、234、236和238的任何部分可在内核空间204中运行或操作，而这些组件232、240、234、236和238的其它部分可在用户空间202中运行或操作。在一个实施例中，设备200使用内核级数据结构来提供对一个或多个网络分组的任何部分的访问，例如，包括来自客户机102的请求或者来自服务器106的响应的网络分组。在一些实施例中，可以由分组引擎240通过到网络堆栈267的传输层驱动器接口或过滤器获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络流量或分组。在其他实施例中，任何组件或进程232、240、234、236和238可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中，当使用内核级数据结构时，组件232、240、234、236和238在内核模式204中运行，而在又一个实施例中，当使用内核级数据结构时，组件232、240、234、236和238在用户模式中运行。在一些实施例中，内核级数据结构可被拷贝或传递到第二内核级数据结构，或任何期望的用户级数据结构。高速缓存管理器232可包括软件、硬件或软件和硬件的任何组合，以提供对任何类型和形式的内容的高速缓存访问、控制和管理，例如对象或由源服务器106提供服务的动态产生的对象。由高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式(例如标记语言)的数据，或者通过任何协议的通信的任何类型的数据。在一些实施例中，高速缓存管理器232复制存储在其他地方的原始数据或先前计算、产生或传输的数据，其中相对于读高速缓存存储器元件，需要更长的访问时间以取得、计算或以其他方式得到原始数据。一旦数据被存储在高速缓存存储元件中，通过访问高速缓存的副本而不是重新获得或重新计算原始数据即可进行后续操作，因此而减少了访问时间。在一些实施例中，高速缓存元件可以包括设备200的存储器264中的数据对象。在其他实施例中，高速缓存存储元件可包括有比存储器264更快的存取时间的存储器。在又一个实施例中，高速缓存元件可以包括设备200的任一类型和形式的存储元件，诸如硬盘的一部分。在一些实施例中，处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中，高速缓存管理器232可使用存储器、存储区或处理单元的任何部分和组合来高速缓存数据、对象或其它内容。另外，高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任何逻辑、功能、规则或操作。例如，高速缓存管理器232包括基于无效时间周期的终止，或者从客户机102或服务器106接收无效命令使对象无效的逻辑或功能。在一些实施例中，高速缓存管理器232可作为在内核空间204中执行的程序、服务、进程或任务而操作，并且在其他实施例中，在用户空间202中执行。在一个实施例中，高速缓存管理器232的第一部分在用户空间202中执行，而第二部分在内核空间204中执行。在一些实施例中，高速缓存管理器232可包括任何类型的通用处理器(gpp)，或任何其他类型的集成电路，例如现场可编程门阵列(fpga)，可编程逻辑设备(pld)，或者专用集成电路(asic)。策略引擎236可包括例如智能统计引擎或其它可编程应用。在一个实施例中，策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速缓存策略。策略引擎236，在一些实施例中，也访问存储器以支持数据结构，例如备份表或hash表，以启用用户选择的高速缓存策略决定。在其他实施例中，除了对安全、网络流量、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外，策略引擎236可包括任何逻辑、规则、功能或操作以确定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其他实施例此处进一步描述。加密引擎234包括用于操控诸如ssl或tls的任何安全相关协议或其中涉及的任何功能的处理的任何逻辑、商业规则、功能或操作。例如，加密引擎234加密并解密通过设备200传输的网络分组，或其任何部分。加密引擎234也可代表客户机102a-102n、服务器106a-106n或设备200来设置或建立ssl或tls连接。因此，加密引擎234提供ssl处理的卸载和加速。在一个实施例中，加密引擎234使用隧道协议来提供在客户机102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中，加密引擎234与加密处理器260通信。在其他实施例中，加密引擎234包括运行在加密处理器260上的可执行指令。多协议压缩引擎238包括用于压缩一个或多个网络分组协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中，多协议压缩引擎238双向压缩在客户机102a-102n和服务器106a-106n间任一基于tcp/ip的协议，包括消息应用编程接口(mapi)(电子邮件)、文件传输协议(ftp)、超文本传输协议(http)、通用互联网文件系统(cifs)协议(文件传输)、独立计算架构(ica)协议、远程桌面协议(rdp)、无线应用协议(wap)、移动ip协议以及互联网协议电话(voip)协议。在其他实施例中，多协议压缩引擎238提供基于超文本标记语言(html)的协议的压缩，并且在一些实施例中，提供任何标记语言的压缩，例如可扩展标记语言(xml)。在一个实施例中，多协议压缩引擎238提供任何高性能协议的压缩，例如设计用于设备200到设备200通信的任何协议。在又一个实施例中，多协议压缩引擎238使用修改的传输控制协议来压缩任何通信的任何载荷或任何通信，例如事务tcp(t/tcp)、带有选择确认的tcp(tcp-sack)、带有大窗口的tcp(tcp-lw)、例如tcp-vegas协议的拥塞预报协议以及tcp欺骗协议(tcpspoofingprotocol)。同样的，多协议压缩引擎238为用户加速经由桌面客户机乃至移动客户机访问应用的性能，所述桌面客户机例如micosoftoutlook和非web瘦客户机，诸如由像oracle、sap和siebel的通用企业应用所启动的任何客户机，所述移动客户机例如掌上电脑。在一些实施例中，通过在内核模式204内部执行并与访问网络堆栈267的分组处理引擎240集成，多协议压缩引擎238可以压缩tcp/ip协议携带的任何协议，例如任何应用层协议。高速层2-7集成分组引擎240，通常也称为分组处理引擎，或分组引擎，负责设备200通过网络端口266接收和发送的分组的内核级处理的管理。高速层2-7集成分组引擎240可包括用于在例如接收网络分组和传输网络分组的处理期间排队一个或多个网络分组的缓冲器。另外，高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以通过网络端口266发送和接收网络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地，配置加密引擎234以执行分组的ssl处理，配置策略引擎236以执行涉及流量管理的功能，例如请求级内容切换以及请求级高速缓存重定向，并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例中，分组处理定时器242提供一个或多个时间间隔以触发输入处理，例如，接收或者输出(即传输)网络分组。在一些实施例中，高速层2-7集成分组引擎240响应于定时器242处理网络分组。分组处理定时器242向分组引擎240提供任何类型和形式的信号以通知、触发或传输时间相关的事件、间隔或发生。在许多实施例中，分组处理定时器242以毫秒级操作，例如100ms、50ms、或25ms。例如，在一些实例中，分组处理定时器242提供时间间隔或者以其它方式使得由高速层2-7集成分组引擎240以10ms时间间隔处理网络分组，而在其他实施例中，使高速层2-7集成分组引擎240以5ms时间间隔处理网络分组，并且在进一步的实施例中，短到3、2或1ms时间间隔。高速层2-7集成分组引擎240在操作期间可与加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此，响应于分组处理定时器242和/或分组引擎240，可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此，在由分组处理定时器242提供的时间间隔粒度，可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作，例如，时间间隔少于或等于10ms。例如，在一个实施例中，高速缓存管理器232可响应于高速层2-7集成分组引擎240和/或分组处理定时器242来执行任何高速缓存的对象的终止。在又一个实施例中，高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时间间隔相同的粒度级，例如每10ms。与内核空间204不同，用户空间202是被用户模式应用或在用户模式运行的程序所使用的操作系统的存储区域或部分。用户模式应用不能直接访问内核空间204而使用服务调用以访问内核服务。如图2所示，设备200的用户空间202包括图形用户接口(gui)210、命令行接口(cli)212、壳服务(shellservice)214、健康监控程序216以及守护(daemon)服务218。gui210和cli212提供系统管理员或其他用户可与之交互并控制设备200操作的装置，例如通过设备200的操作系统。gui210和cli212可包括运行在用户空间202或内核框架204中的代码。gui210可以是任何类型或形式的图形用户接口，可以通过文本、图形或其他形式由任何类型的程序或应用(如浏览器)来呈现。cli212可为任何类型和形式的命令行或基于文本的接口，例如通过操作系统提供的命令行。例如，cli212可包括壳，该壳是使用户与操作系统相互作用的工具。在一些实施例中，可通过bash、csh、tcsh或者ksh类型的壳提供cli212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过gui210和/或cli212的与设备200或者操作系统的交互。健康监控程序216用于监控、检查、报告并确保网络系统正常运行，以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令，为监控设备200的任何行为提供逻辑、规则、功能或操作。在一些实施例中，健康监控程序216拦截并检查通过设备200传递的任何网络流量。在其他实施例中，健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接：加密引擎234，高速缓存管理器232，策略引擎236，多协议压缩逻辑238，分组引擎240，守护服务218以及壳服务214。因此，健康监控程序216可调用任何应用编程接口(api)以确定设备200的任何部分的状态、情况或健康。例如，健康监控程序216可周期性地查验(ping)或发送状态查询以检查程序、进程、服务或任务是否活动并当前正在运行。在又一个实施例中，健康监控程序216可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何状况、状态或错误。守护服务218是连续运行或在背景中运行的程序，并且处理设备200接收的周期性服务请求。在一些实施例中，守护服务可向其他程序或进程(例如合适的另一个守护服务218)转发请求。如本领域技术人员所公知的，守护服务218可无人监护的运行，以执行连续的或周期性的系统范围功能，例如网络控制，或者执行任何需要的任务。在一些实施例中，一个或多个守护服务218运行在用户空间202中，而在其他实施例中，一个或多个守护服务218运行在内核空间。现参考图2b，描述了设备200的又一个实施例。总的来说，设备200提供下列服务、功能或操作中的一个或多个：用于一个或多个客户机102以及一个或多个服务器106之间的通信的sslvpn连通280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270)。例如，服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器，称为vserver275、vs275、vip服务器或者仅是vip275a-275n(此处也称为vserver275)。vserver275根据设备200的配置和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通信。vserver275可以包括软件、硬件或者软件和硬件的任何组合。vserver275可包括在设备200中的用户模式202、内核模式204或者其任何组合中运行的任何类型和形式的程序、服务、任务、进程或者可执行指令。vserver275包括任何逻辑、功能、规则或者操作，以执行此处所述技术的任何实施例，诸如sslvpn280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中，vserver275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户机102或者vserver275并与之通信的任何程序、应用、进程、任务或者可执行指令集。例如，服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中，服务270是守护进程或者网络驱动器，用于监听、接收和/或发送应用的通信，诸如电子邮件、数据库或者企业应用。在一些实施例中，服务270可以在特定的ip地址、或者ip地址和端口上通信。在一些实施例中，vserver275应用策略引擎236的一个或者多个策略到客户机102和服务器106之间的网络通信。在一个实施例中，该策略与vserver275相关。在又一个实施例中，该策略基于用户或者用户组。在又一个实施例中，策略为通用的并且应用到一个或者多个vserver275a-275n，和通过设备200通信的任何用户或者用户组。在一些实施例中，策略引擎的策略具有基于通信的任何内容应用该策略的条件，通信的内容诸如互联网协议地址、端口、协议类型、分组中的头部或者字段、或者通信的上下文，诸如用户、用户组、vserver275、传输层连接、和/或客户机102或者服务器106的标识或者属性。在其他实施例中，设备200与策略引擎236通信或接口，以便确定远程用户或远程客户机102的验证和/或授权，以访问来自服务器106的计算环境15、应用和/或数据文件。在又一个实施例中，设备200与策略引擎236通信或交互，以便确定远程用户或远程客户机102的验证和/或授权，使得应用传送系统190传送一个或多个计算环境15、应用和/或数据文件。在又一个实施例中，设备200基于策略引擎236对远程用户或远程客户机102的验证和/或授权建立vpn或sslvpn连接。一个实施例中，设备200基于策略引擎236的策略控制网络流量以及通信会话。例如，基于策略引擎236，设备200可控制对计算环境15、应用或数据文件的访问。在一些实施例中，vserver275与客户机102经客户机代理120建立传输层连接，诸如tcp或者udp连接。在一个实施例中，vserver275监听和接收来自客户机102的通信。在其他实施例中，vserver275与客户机服务器106建立传输层连接，诸如tcp或者udp连接。在一个实施例中，vserver275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在又一个实施例中，vserver275将到客户机102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中，vserver275建立到服务器106的传输层连接池并经由所述池化(pooled)的传输层连接多路复用客户机的请求。在一些实施例中，设备200提供客户机102和服务器106之间的sslvpn连接280。例如，第一网络102上的客户机102请求建立到第二网络104’上的服务器106的连接。在一些实施例中，第二网络104’是不能从第一网络104路由的。在其他实施例中，客户机102位于公用网络104上，并且服务器106位于专用网络104’上，例如企业网。在一个实施例中，客户机代理120拦截第一网络104上的客户机102的通信，加密该通信，并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户机代理102的所拦截的通信，解密该通信，并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。同样的，设备200为两个网络104、104’之间的客户机102提供端到端安全传输层连接。在一个实施例中，设备200寄载虚拟专用网络104上的客户机102的内部网互联网协议或者intranetip282地址。客户机102具有本地网络标识符，诸如第一网络104上的互联网协议(ip)地址和/或主机名称。当经设备200连接到第二网络104’时，设备200在第二网络104’上为客户机102建立、分配或者以其它方式提供intranetip，其是诸如ip地址和/或主机名称的网络标识符。使用为客户机的所建立的intranetip282，设备200在第二或专用网104’上监听并接收指向该客户机102的任何通信。在一个实施例中，设备200在第二专用网络104上用作或者代表客户机102。例如，在又一个实施例中，vserver275监听和响应到客户机102的intranetip282的通信。在一些实施例中，如果第二网络104’上的计算装置100发送请求，设备200如同客户机102一样来处理该请求。例如，设备200可以响应对客户机intranetip282的查验。在又一个实施例中，设备可以与请求和客户机intranetip282连接的第二网络104上的计算装置100建立连接，诸如tcp或者udp连接。在一些实施例中，设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术288：1)压缩；2)解压缩；3)传输控制协议池；4)传输控制协议多路复用；5)传输控制协议缓冲；以及6)高速缓存。在一个实施例中，设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户机经因特网的重复数据访问，来为服务器106缓解由重复开启和关闭到客户机102的传输层连接所造成的大量处理负载。该技术此处称为“连接池”。在一些实施例中，为了经池化的传输层连接无缝拼接从客户机102到服务器106的通信，设备200通过在传输层协议级修改序列号和确认号来转换或多路复用通信。这被称为“连接多路复用”。在一些实施例中，不需要应用层协议相互作用。例如，在到来分组(即，自客户机102接收的分组)的情况中，所述分组的源网络地址被改变为设备200的输出端口的网络地址，而目的网络地址被改为目的服务器的网络地址。在发出分组(即，自服务器106接收的一个分组)的情况中，源网络地址被从服务器106的网络地址改变为设备200的输出端口的网络地址，而目的地址被从设备200的网络地址改变为请求的客户机102的网络地址。分组的序列号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在一些实施例中，传输层协议的分组校验和被重新计算以计及这些转换。在又一个实施例中，设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能284。在一些实施例中，设备200根据层4或应用层请求数据来分布流量并将客户机请求定向到服务器106。在一个实施例中，尽管网络分组的网络层或者层2识别目的服务器106，但设备200通过承载为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络分组。在一个实施例中，设备200的健康监控程序216监控服务器的健康来确定分发客户机请求到哪个服务器106。在一些实施例中，如果设备200探测到某个服务器106不可用或者具有超过预定阈值的负载，设备200可以将客户机请求指向或者分发到另一个服务器106。在一些实施例中，设备200用作域名服务(dns)解析器或者以其它方式为来自客户机102的dns请求提供解析。在一些实施例中，设备拦截由客户机102发送的dns请求。在一个实施例中，设备200以设备200的ip地址或其所寄载的ip地址来响应客户机的dns请求。在此实施例中，客户机102把用于域名的网络通信发送到设备200。在又一个实施例中，设备200以第二设备200’的或其所寄载的ip地址来响应客户机的dns请求。在一些实施例中，设备200使用由设备200确定的服务器106的ip地址来响应客户机的dns请求。在又一个实施例中，设备200为客户机102和服务器106之间的通信提供应用防火墙功能290。在一个实施例中，策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中，应用防火墙290防御拒绝服务(dos)攻击。在其他实施例中，设备检查所拦截的请求的内容，以识别和阻断基于应用的攻击。在一些实施例中，规则/策略引擎236包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略，例如下列的一个或多个脆弱点：1)缓冲区泄出，2)cgi-bin参数操纵，3)表单/隐藏字段操纵，4)强制浏览，5)cookie或会话中毒，6)被破坏的访问控制列表(acls)或弱密码，7)跨站脚本处理(xss)，8)命令注入，9)sql注入，10)错误触发敏感信息泄露，11)对加密的不安全使用，12)服务器错误配置，13)后门和调试选项，14)网站涂改，15)平台或操作系统弱点，和16)零天攻击。在一个实施例中，对下列情况的一种或多种，应用防火墙290以检查或分析网络通信的形式来提供html格式字段的保护：1)返回所需的字段，2)不允许附加字段，3)只读和隐藏字段强制(enforcement)，4)下拉列表和单选按钮字段的一致，以及5)格式字段最大长度强制。在一些实施例中，应用防火墙290确保cookie不被修改。在其他实施例中，应用防火墙290通过执行合法的url来防御强制浏览。在其他实施例中，应用防火墙290保护在网络通信中包含的任何机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中，应用防火墙290在网络通信中识别信用卡号、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。基于这些出现，在一个实施例中，应用防火墙290可以对网络通信采取策略行动，诸如阻止发送网络通信。在又一个实施例中，应用防火墙290可以重写、移动或者以其它方式掩盖该所识别的出现或者机密信息。仍参考图2b，设备200可以包括如上面结合图1d所讨论的性能监控代理197。在一个实施例中，设备200从如图1d中所描述的监控服务198或监控服务器106中接收监控代理197。在一些实施例中，设备200在诸如磁盘的存储装置中保存监控代理197，以用于传送给与设备200通信的任何客户机或服务器。例如，在一个实施例中，设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其他实施例中，设备200在建立与客户机102的传输层连接时发送监控代理197。在又一个实施例中，设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中，设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中，设备200发送监控代理197到第二设备200’或设备205。在其他实施例中，设备200执行监控代理197。在一个实施例中，监控代理197测量和监控在设备200上执行的任何应用、程序、进程、服务、任务或线程的性能。例如，监控代理197可以监控和测量vservers275a-275n的性能与操作。在又一个实施例中，监控代理197测量和监控设备200的任何传输层连接的性能。在一些实施例中，监控代理197测量和监控通过设备200的任何用户会话的性能。在一个实施例中，监控代理197测量和监控通过设备200的诸如sslvpn会话的任何虚拟专用网连接和/或会话的性能。在进一步的实施例中，监控代理197测量和监控设备200的内存、cpu和磁盘使用以及性能。在又一个实施例中，监控代理197测量和监控诸如ssl卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任何加速技术288的性能。在一些实施例中，监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换284的性能。在其他实施例中，监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。c.客户机代理现参考图3，描述客户机代理120的实施例。客户机102包括客户机代理120，用于经由网络104与设备200和/或服务器106来建立和交换通信。总的来说，客户机102在计算装置100上操作，该计算装置100拥有带有内核模式302以及用户模式303的操作系统，以及带有一个或多个层310a-310b的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一些实施例中，一个或多个应用可通过网络堆栈310与网络104通信。所述应用之一，诸如web浏览器，也可包括第一程序322。例如，可在一些实施例中使用第一程序322来安装和/或执行客户机代理120，或其中任何部分。客户机代理120包括拦截机制或者拦截器350，用于从网络堆栈310拦截来自一个或者多个应用的网络通信。客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合，用于提供与网络的连接和通信。在一个实施例中，网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层，例如为本领域技术人员所公认和了解的开放式系统互联(osi)通信模型的任何网络层。这样，网络堆栈310可包括用于任何以下osi模型层的任何类型和形式的协议：1)物理链路层；2)数据链路层；3)网络层；4)传输层；5)会话层)；6)表示层，以及7)应用层。在一个实施例中，网络堆栈310可包括在互联网协议(ip)的网络层协议上的传输控制协议(tcp)，通常称为tcp/ip。在一些实施例中，可在以太网协议上承载tcp/ip协议，以太网协议可包括ieee广域网(wan)或局域网(lan)协议的任何族，例如被ieee802.3覆盖的这些协议。在一些实施例中，网络堆栈310包括任何类型和形式的无线协议，例如ieee802.11和/或移动互联网协议。考虑基于tcp/ip的网络，可使用任何基于tcp/ip的协议，包括消息应用编程接口(mapi)(email)、文件传输协议(ftp)、超文本传输协议(http)、通用因特网文件系统(cifs)协议(文件传输)、独立计算架构(ica)协议、远程桌面协议(rdp)、无线应用协议(wap)、移动ip协议，以及互联网协议电话(voip)协议。在又一个实施例中，网络堆栈310包括任何类型和形式的传输控制协议，诸如修改的传输控制协议，例如事务tcp(t/tcp)，带有选择确认的tcp(tcp-sack)，带有大窗口的tcp(tcp-lw)，例如tcp-vegas协议的拥塞预测协议，以及tcp欺骗协议。在其他实施例中，网络堆栈310可使用诸如基于ip的udp的任何类型和形式的用户数据报协议(udp)，例如用于语音通信或实时数据通信。另外，网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器，例如tcp驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操作系统的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组件的一部分被包括。在一些实施例中，网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分，用来支持此处描述的任何技术。在其他实施例中，设计并构建加速程序302以与网络堆栈310协同操作或工作，上述网络堆栈310由客户机102的操作系统安装或以其它方式提供。网络堆栈310包括任何类型和形式的接口，用于接收、获得、提供或以其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例中，与网络堆栈310的接口包括应用编程接口(api)。接口也可包括任何函数调用、钩子或过滤机制，事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构，例如对象。例如，数据结构可以包括与网络分组相关的信息和数据或者一个或多个网络分组。在一些实施例中，数据结构包括在网络堆栈310的协议层处理的网络分组的一部分，例如传输层的网络分组。在一些实施例中，数据结构325包括内核级别数据结构，而在其他实施例中，数据结构325包括用户模式数据结构。内核级数据结构可以包括获得的或与在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作系统的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任何数据结构。此外，网络堆栈310的一些部分可在内核模式302执行或操作，例如，数据链路或网络层，而其他部分在用户模式303执行或操作，例如网络堆栈310的应用层。例如，网络堆栈的第一部分310a可以给应用提供对网络堆栈310的用户模式访问，而网络堆栈310的第二部分310a提供对网络的访问。在一些实施例中，网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层，例如层5-7的任何层。在其他实施例中，网络堆栈310的第二部分310b包括一个或多个较低的层，例如层1-4的任何层。网络堆栈310的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分，位于任何一个或多个网络层，处于用户模式203、内核模式202，或其组合，或在网络层的任何部分或者到网络层的接口点，或用户模式203和内核模式202的任何部分或到用户模式203和内核模式202的接口点。拦截器350可以包括软件、硬件、或者软件和硬件的任何组合。在一个实施例中，拦截器350在网络堆栈310的任一点拦截网络通信，并且重定向或者发送网络通信到由拦截器350或者客户机代理120所期望的、管理的或者控制的目的地。例如，拦截器350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200，用于在第二网络104上发送。在一些实施例中，拦截器350包括含有诸如被构建和设计来与网络堆栈310对接并一同工作的网络驱动器的驱动器的任一类型的拦截器350。在一些实施例中，客户机代理120和/或拦截器350操作在网络堆栈310的一个或者多个层，诸如在传输层。在一个实施例中，拦截器350包括过滤器驱动器、钩子机制、或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口，诸如通过传输驱动器接口(tdi)。在一些实施例中，拦截器350连接到诸如传输层的第一协议层和诸如传输协议层之上的任何层的另一个协议层，例如，应用协议层。在一个实施例中，拦截器350可以包括遵守网络驱动器接口规范(ndis)的驱动器，或者ndis驱动器。在又一个实施例中，拦截器350可以包括微型过滤器或者微端口驱动器。在一个实施例中，拦截器350或其部分在内核模式202中操作。在又一个实施例中，拦截器350或其部分在用户模式203中操作。在一些实施例中，拦截器350的一部分在内核模式202中操作，而拦截器350的另一部分在用户模式203中操作。在其他实施例中，客户机代理120在用户模式203操作，但通过拦截器350连接到内核模式驱动器、进程、服务、任务或者操作系统的部分，诸如以获取内核级数据结构225。在其他实施例中，拦截器350为用户模式应用或者程序，诸如应用。在一个实施例中，拦截器350拦截任何的传输层连接请求。在这些实施例中，拦截器350执行传输层应用编程接口(api)调用以设置目的地信息，诸如到期望位置的目的地ip地址和/或端口用于定位。以此方式，拦截器350拦截并重定向传输层连接到由拦截器350或客户机代理120控制或管理的ip地址和端口。在一个实施例中，拦截器350把连接的目的地信息设置为客户机代理120监听的客户机102的本地ip地址和端口。例如，客户机代理120可以包括为重定向的传输层通信监听本地ip地址和端口的代理服务。在一些实施例中，客户机代理120随后将重定向的传输层通信传送到设备200。在一些实施例中，拦截器350拦截域名服务(dns)请求。在一个实施例中，客户机代理120和/或拦截器350解析dns请求。在又一个实施例中，拦截器发送所拦截的dns请求到设备200以进行dns解析。在一个实施例中，设备200解析dns请求并且将dns响应传送到客户机代理120。在一些实施例中，设备200经另一个设备200’或者dns服务器106来解析dns请求。在又一个实施例中，客户机代理120可以包括两个代理120和120’。在一个实施例中，第一代理120可以包括在网络堆栈310的网络层操作的拦截器350。在一些实施例中，第一代理120拦截网络层请求，诸如因特网控制消息协议(icmp)请求(例如，查验和跟踪路由)。在其他实施例中，第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中，第一代理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦截的通信传送到第二代理120’。客户机代理120和/或拦截器350可以以对网络堆栈310的任何其它协议层透明的方式在协议层操作或与之对接。例如，在一个实施例中，拦截器350可以以对诸如网络层的传输层之下的任何协议层和诸如会话、表示或应用层协议的传输层之上的任何协议层透明的方式在网络堆栈310的传输层操作或与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修改以使用拦截器350。这样，客户机代理120和/或拦截器350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信，诸如tcp/ip上的任一应用层协议。此外，客户机代理120和/或拦截器可以以对任何应用、客户机102的用户和与客户机102通信的诸如服务器的任何其它计算装置透明的方式在网络堆栈310上操作或与之对接。客户机代理120和/或拦截器350可以以无需修改应用的方式被安装和/或执行在客户机102上。在一些实施例中，客户机102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/或拦截器350的存在、执行或者操作。同样，在一些实施例中，相对于应用、客户机102的用户、诸如服务器的另一个计算装置、或者在由拦截器350连接的协议层之上和/或之下的任何协议层透明地来安装、执行和/或操作客户机代理120和/或拦截器350。客户机代理120包括加速程序302、流客户机306、收集代理304和/或监控代理197。在一个实施例中，客户机代理120包括由佛罗里达州fortlauderdale的citrixsystemsinc.开发的独立计算架构(ica)客户机或其任一部分，并且也指ica客户机。在一些实施例中，客户机代理120包括应用流客户机306，用于从服务器106流式传输应用到客户机102。在一些实施例中，客户机代理120包括加速程序302，用于加速客户机102和服务器106之间的通信。在又一个实施例中，客户机代理120包括收集代理304，用于执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。在一些实施例中，加速程序302包括用于执行一个或多个加速技术的客户机侧加速程序，以加速、增强或者以其他方式改善客户机与服务器106的通信和/或对服务器106的访问，诸如访问由服务器106提供的应用。加速程序302的可执行指令的逻辑、函数和/或操作可以执行一个或多个下列加速技术：1)多协议压缩，2)传输控制协议池，3)传输控制协议多路复用，4)传输控制协议缓冲，以及5)通过高速缓存管理器的高速缓存。另外，加速程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。在一些实施例中，加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外，加速程序302可以对作为传输层协议的网络分组的有效载荷所承载的任一协议或者多协议执行压缩。流客户机306包括应用、程序、进程、服务、任务或者可执行指令，所述应用、程序、进程、服务、任务或者可执行指令用于接收和执行从服务器106所流式传输的应用。服务器106可以流式传输一个或者多个应用数据文件到流客户机306，用于播放、执行或者以其它方式引起客户机102上的应用被执行。在一些实施例中，服务器106发送一组压缩或者打包的应用数据文件到流客户机306。在一些实施例中，多个应用文件被压缩并存储在文件服务器上档案文件中，例如cab、zip、sit、tar、jar或其它档案文件。在一个实施例中，服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户机102。在又一个实施例中，客户机102解压缩、解包或者解档应用文件。流客户机306动态安装应用或其部分，并且执行该应用。在一个实施例中，流客户机306可以为可执行程序。在一些实施例中，流客户机306可以能够启动另一个可执行程序。收集代理304包括应用、程序、进程、服务、任务或者可执行指令，用于识别、获取和/或收集关于客户机102的信息。在一些实施例中，设备200发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略引擎236的一个或多个策略来配置收集代理304。在其他实施例中，收集代理304发送在客户机102上收集的信息到设备200。在一个实施例中，设备200的策略引擎236使用所收集的信息来确定和提供到网络104的客户机连接的访问、验证和授权控制。在一个实施例中，收集代理304包括端点检测和扫描机制，其识别并且确定客户机的一个或者多个属性或者特征。例如，收集代理304可以识别和确定任何一个或多个以下的客户机侧属性：1)操作系统和/或操作系统的版本，2)操作系统的服务包，3)运行的服务，4)运行的进程，和5)文件。收集代理304还可以识别并确定客户机上任何一个或多个以下软件的存在或版本：1)防病毒软件；2)个人防火墙软件；3)防垃圾邮件软件，和4)互联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任何一个或多个属性或特性的一个或多个策略。在一些实施例中，客户机代理120包括如结合图1d和2b所讨论的监控代理197。监控代理197可以是诸如visualbasic或java脚本的任何类型和形式的脚本。在一个实施例中，监控代理197监控和测量客户机代理120的任何部分的性能。例如，在一些实施例中，监控代理197监控和测量加速程序302的性能。在又一个实施例中，监控代理197监控和测量流客户机306的性能。在其他实施例中，监控代理197监控和测量收集代理304的性能。在又一个实施例中，监控代理197监控和测量拦截器350的性能。在一些实施例中，监控代理197监控和测量客户机102的诸如存储器、cpu和磁盘的任何资源。监控代理197可以监控和测量客户机的任何应用的性能。在一个实施例中，监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例中，监控代理197监控和测量经由客户机代理120传送的任何应用的性能。在其他实施例中，监控代理197测量和监控应用的最终用户响应时间，例如基于web的响应时间或http响应时间。监控代理197可以监控和测量ica或rdp客户机的性能。在又一个实施例中，监控代理197测量和监控用户会话或应用会话的指标。在一些实施例中，监控代理197测量和监控ica或rdp会话。在一个实施例中，监控代理197测量和监控设备200在加速传送应用和/或数据到客户机102的过程中的性能。在一些实施例中，仍参考图3，第一程序322可以用于自动地、静默地、透明地或者以其它方式安装和/或执行客户机代理120或其部分，诸如拦截器350。在一个实施例中，第一程序322包括插件组件，例如activex控件或java控件或脚本，其加载到应用并由应用执行。例如，第一程序包括由web浏览器应用载入和运行的activex控件，例如在存储器空间或应用的上下文中。在又一个实施例中，第一程序322包括可执行指令组，该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中，第一程序322包括被设计和构造的程序以安装客户机代理120。在一些实施例中，第一程序322通过网络从另一个计算装置获得、下载、或接收客户机代理120。在又一个实施例中，第一程序322是用于在客户机102的操作系统上安装如网络驱动的程序的安装程序或即插即用管理器。d.用于提供虚拟化应用传送控制器的系统和方法现参考图4a，该框图描述虚拟化环境400的一个实施例。总体而言，计算装置100包括管理程序层、虚拟化层和硬件层。管理程序层包括管理程序401(也称为虚拟化管理器)，其通过在虚拟化层中执行的至少一个虚拟机来分配和管理对硬件层中的多个物理资源(例如处理器421和盘428)的访问。虚拟化层包括至少一个操作系统410和分配给至少一个操作系统410的多个虚拟资源。虚拟资源可包括而不限于多个虚拟处理器432a、432b、432c(总称为432)和虚拟盘442a、442b、442c(总称为442)，以及如虚拟存储器和虚拟网络接口的虚拟资源。可将多个虚拟资源和操作系统称为虚拟机406。虚拟机406可包括控制操作系统405，该控制操作系统405与管理程序401通信，并用于执行应用以管理并配置计算装置100上的其他虚拟机。具体而言，管理程序401可以以模拟可访问物理设备的操作系统的任何方式向操作系统提供虚拟资源。管理程序401可以向任何数量的客户操作系统410a、410b(总称为410)提供虚拟资源。一些实施例中，计算装置100执行一种或多种管理程序。这些实施例中，管理程序可用于模拟虚拟硬件、划分物理硬件、虚拟化物理硬件并执行提供对计算环境的访问的虚拟机。管理程序可包括由位于美国加州的paloalto的vmware制造的这些程序；xen管理程序(一种开源产品，其开发由开源xen.org协会监管)；由微软公司提供的hyperv、virtualserver或虚拟pc管理程序，或其他。一些实施例中，计算装置100执行创建客户操作系统可在其上执行虚拟机平台的管理程序，该计算装置100被称为宿主服务器。在这些实施例的一个中，例如，计算装置100是由位于美国佛罗里达州fortlauderdale的citrixsystems有限公司提供的xenserver。一些实施例中，管理程序401在计算装置上执行的操作系统之内执行。在这些实施例的一个中，执行操作系统和管理程序401的计算装置可被视为具有宿主操作系统(执行在计算装置上的操作系统)，和客户操作系统(在由管理程序401提供的计算资源分区内执行的操作系统)。其他实施例中，管理程序401和计算装置上的硬件直接交互而不是在宿主操作系统上执行。在这些实施例的一个中，管理程序401可被视为在“裸金属(baremetal)”上执行，所述“裸金属”指包括计算装置的硬件。一些实施例中，管理程序401可以产生操作系统410在其中执行的虚拟机406a-c(总称为406)。在这些实施例的一个中，管理程序401加载虚拟机映像以创建虚拟机406。在这些实施例的又一个中，管理程序401在虚拟机406内执行操作系统410。仍在这些实施例的又一个中，虚拟机406执行操作系统410。一些实施例中，管理程序401控制在计算装置100上执行的虚拟机406的处理器调度和内存划分。在这些实施例的一个中，管理程序401控制至少一个虚拟机406的执行。在这些实施例的又一个中，管理程序401向至少一个虚拟机406呈现由计算装置100提供的至少一个硬件资源的抽象。其他实施例中，管理程序401控制是否以及如何将物理处理器能力呈现给虚拟机406。控制操作系统405可以执行用于管理和配置客户操作系统的至少一个应用。一个实施例中，控制操作系统405可以执行管理应用，如包括如下用户接口的应用，该用户接口为管理员提供对用于管理虚拟机执行的功能的访问，这些功能包括用于执行虚拟机、中止虚拟机执行或者识别要分配给虚拟机的物理资源类型的功能。又一个实施例中，管理程序401在由管理程序401创建的虚拟机406内执行控制操作系统405。又一个实施例中，控制操作系统405在被授权直接访问计算装置100上的物理资源的虚拟机406上执行。一些实施例中，计算装置100a上的控制操作系统405a可以通过管理程序401a和管理程序401b之间的通信与计算装置100b上的控制操作系统405b交换数据。这样，一个或多个计算装置100可以和一个或多个其他计算装置100交换有关处理器或资源池中可用的其他物理资源的数据。在这些实施例的一个中，这种功能允许管理程序管理分布在多个物理计算装置上的资源池。在这些实施例的又一个中，多个管理程序管理在一个计算装置100上执行的一个或多个客户操作系统。一个实施例中，控制操作系统405在被授权与至少一个客户操作系统410交互的虚拟机406上执行。又一个实施例中，客户操作系统410通过管理程序401和控制操作系统405通信，以请求访问盘或网络。仍在又一个实施例中，客户操作系统410和控制操作系统405可通过由管理程序401建立的通信信道通信，例如，通过由管理程序401提供的多个共享存储器页面。一些实施例中，控制操作系统405包括用于直接与由计算装置100提供的网络硬件通信的网络后端驱动器。在这些实施例的一个中，网络后端驱动器处理来自至少一个客户操作系统110的至少一个虚拟机请求。其他实施例中，控制操作系统405包括用于与计算装置100上的存储元件通信的块后端驱动器。在这些实施例的一个中，块后端驱动器基于从客户操作系统410接收的至少一个请求从存储元件读写数据。一个实施例中，控制操作系统405包括工具堆栈404。其他实施例中，工具堆栈404提供如下功能：和管理程序401交互、和其他控制操作系统405(例如位于第二计算装置100b上)通信，或者管理计算装置100上的虚拟机406b、406c。又一个实施例中，工具堆栈404包括自定义应用，其用于向虚拟机群的管理员提供改进的管理功能。一些实施例中，工具堆栈404和控制操作系统405中的至少一个包括管理api，其提供用于远程配置并控制计算装置100上运行的虚拟机406的接口。其他实施例中，控制操作系统405通过工具堆栈404和管理程序401通信。一个实施例中，管理程序401在由管理程序401创建的虚拟机406内执行客户操作系统410。又一个实施例中，客户操作系统410为计算装置100的用户提供对计算环境中的资源的访问。又一个实施例中，资源包括程序、应用、文档、文件、多个应用、多个文件、可执行程序文件、桌面环境、计算环境或对计算装置100的用户可用的其他资源。又一个实施例中，可通过多个访问方法将资源传送给计算装置100，这些方法包括但不限于：常规的直接在计算装置100上安装、通过应用流的方法传送给计算装置100、将由在第二计算装置100’上执行资源产生的并通过表示层协议传送给计算装置100的输出数据传送给计算装置100、将通过在第二计算装置100’上执行的虚拟机执行资源所产生的输出数据传送给计算装置100、或者从连接到计算装置100的移动存储装置(例如usb设备)执行或者通过在计算装置100上执行的虚拟机执行并且产生输出数据。一些实施例中，计算装置100将执行资源所产生的输出数据传输给另一个计算装置100’。一个实施例中，客户操作系统410和该客户操作系统410在其上执行的虚拟机结合形成完全虚拟化虚拟机，该完全虚拟化虚拟机并不知道自己是虚拟机，这样的机器可称为“domainuhvm(硬件虚拟机)虚拟机”。又一个实施例中，完全虚拟化机包括模拟基本输入/输出系统(bios)的软件以便在完全虚拟化机中执行操作系统。在又一个实施例中，完全虚拟化机可包括驱动器，其通过和管理程序401通信提供功能。这样的实施例中，驱动器可意识到自己在虚拟化环境中执行。又一个实施例中，客户操作系统410和该客户操作系统410在其上执行的虚拟机结合形成超虚拟化(paravirtualized)虚拟机，该超虚拟化虚拟机意识到自己是虚拟机，这样的机器可称为“domainupv虚拟机”。又一个实施例中，超虚拟化机包括完全虚拟化机不包括的额外驱动器。又一个实施例中，超虚拟化机包括如上所述的被包含在控制操作系统405中的网络后端驱动器和块后端驱动器。现参考图4b，框图描述了系统中的多个联网计算装置的一个实施例，其中，至少一个物理主机执行虚拟机。总体而言，系统包括管理组件404和管理程序401。系统包括多个计算装置100、多个虚拟机406、多个管理程序401、多个管理组件(又称为工具堆栈404或者管理组件404)以及物理资源421、428。多个物理机器100的每一个可被提供为如上结合图1e-1h和图4a描述的计算装置100。具体而言，物理盘428由计算装置100提供，存储至少一部分虚拟盘442。一些实施例中，虚拟盘442和多个物理盘428相关联。在这些实施例的一个中，一个或多个计算装置100可以与一个或多个其他计算装置100交换有关处理器或资源池中可用的其他物理资源的数据，允许管理程序管理分布在多个物理计算装置上的资源池。一些实施例中，将虚拟机406在其上执行的计算装置100称为物理主机100或主机100。管理程序在计算装置100上的处理器上执行。管理程序将对物理盘的访问量分配给虚拟盘。一个实施例中，管理程序401分配物理盘上的空间量。又一个实施例中，管理程序401分配物理盘上的多个页面。一些实施例中，管理程序提供虚拟盘442作为初始化和执行虚拟机450进程的一部分。一个实施例中，将管理组件404a称为池管理组件404a。又一个实施例中，可以称为控制管理系统405a的管理操作系统405a包括管理组件。一些实施例中，将管理组件称为工具堆栈。在这些实施例的一个中，管理组件是上文结合图4a描述的工具堆栈404。其他实施例中，管理组件404提供用户接口，用于从如管理员的用户接收要供应和/或执行的虚拟机406的标识。仍在其他实施例中，管理组件404提供用户接口，用于从如管理员的用户接收将虚拟机406b从一个物理机器100迁移到另一物理机器的请求。在进一步的实施例中，管理组件404a识别在其上执行所请求的虚拟机406d的计算装置100b并指示所识别的计算装置100b上的管理程序401b执行所识别的虚拟机，这样，可将管理组件称为池管理组件。现参考图4c，描述了虚拟应用传送控制器或虚拟设备450的实施例。总体而言，上文结合图2a和2b描述的设备200的任何功能和/或实施例(例如应用传送控制器)可以部署在上文结合图4a和4b描述的虚拟化环境的任何实施例中。应用传送控制器的功能不是以设备200的形式部署，而是将该功能部署在诸如客户机102、服务器106或设备200的任何计算装置100上的虚拟化环境400中。现在参考图4c，描述了在服务器106的管理程序401上操作的虚拟设备450的实施例的框图。如图2a和2b的设备200一样，虚拟机450可以提供可用性、性能、卸载和安全的功能。对于可用性，虚拟设备可以执行网络第4层和第7层之间的负载平衡并执行智能服务健康监控。对于通过网络流量加速实现的性能增加，虚拟设备可以执行缓存和压缩。对于任何服务器的卸载处理，虚拟设备可以执行连接复用和连接池和/或ssl处理。对于安全，虚拟设备可以执行设备200的任何应用防火墙功能和sslvpn功能。结合附图2a描述的设备200的任何模块可以虚拟化设备传送控制器450的形式被打包、组合、设计或构造，虚拟化设备传送控制器450可部署成在诸如流行的服务器这样的任何服务器上的虚拟化环境300或非虚拟化环境中执行的软件模块或组件。例如，可以安装在计算装置上的安装包的形式提供虚拟设备。参考图2a，可以将高速缓存管理器232、策略引擎236、压缩238、加密引擎234、分组引擎240、gui210、cli212、壳服务214中的任一个设计和构成在计算装置和/或虚拟化环境300的任何操作系统上运行的组件或模块。虚拟化设备400不使用设备200的加密处理器260、处理器262、存储器264和网络堆栈267，而是可使用虚拟化环境400提供的任何这些资源或者服务器106上以其他方式可用的这些资源。仍参考图4c，简言之，任何一个或多个vserver275a-275n可以操作或执行在任意类型的计算装置100(如服务器106)的虚拟化环境400中。结合附图2b描述的设备200的任何模块和功能可以设计和构造成在服务器的虚拟化或非虚拟化环境中操作。可以将vserver275、sslvpn280、内网up282、交换装置284、dns286、加速装置288、appfw280和监控代理中的任一个打包、组合、设计或构造成应用传送控制器450的形式，应用传送控制器450可部署成在装置和/或虚拟化环境400中执行的一个或多个软件模块或组件。一些实施例中，服务器可以在虚拟化环境中执行多个虚拟机406a-406b，每个虚拟机运行虚拟应用传送控制器450的相同或不同实施例。一些实施例中，服务器可以在多核处理系统的一个核上执行一个或多个虚拟机上的一个或多个虚拟设备450。一些实施例中，服务器可以在多处理器装置的每个处理器上执行一个或多个虚拟机上的一个或多个虚拟设备450。e.提供多核架构的系统和方法根据摩尔定律，每两年集成电路上可安装的晶体管的数量会基本翻倍。然而，cpu速度增加会达到一个稳定的水平(plateaus)，例如，2005年以来，cpu速度在约3.5-4ghz的范围内。一些情况下，cpu制造商可能不依靠cpu速度增加来获得额外的性能。一些cpu制造商会给处理器增加附加核以提供额外的性能。依靠cpu获得性能改善的如软件和网络供应商的产品可以通过利用这些多核cpu来改进他们的性能。可以重新设计和/或编写为单cpu设计和构造的软件以利用多线程、并行架构或多核架构。一些实施例中，称为ncore或多核技术的设备200的多核架构允许设备打破单核性能障碍并利用多核cpu的能力。前文结合图2a描述的架构中，运行单个网络或分组引擎。ncore技术和架构的多核允许同时和/或并行地运行多个分组引擎。通过在每个核上运行分组引擎，设备架构利用附加核的处理能力。一些实施例中，这提供了高达七倍的性能改善和扩展性。图5a示出根据一类并行机制或并行计算方案(如功能并行机制、数据并行机制或基于流的数据并行机制)在一个或多个处理器核上分布的工作、任务、负载或网络流量的一些实施例。总体而言，图5a示出如具有n个核的设备200'的多核系统的实施例，n个核编号为1到n。一个实施例中，工作、负载或网络流量可以分布在第一核505a、第二核505b、第三核505c、第四核505d、第五核505e、第六核505f、第七核505g等上，这样，分布位于所有n个核505n(此后统称为核505)或n个核中的两个或多个上。可以有多个vip275，每个运行在多个核中的相应的核上。可以有多个分组引擎240，每个运行在多个核的相应的核。所使用任何方法可产生多个核中任一核上的不同的、变化的或类似的工作负载或性能级别515。对于功能并行方法，每个核运行由分组引擎、vip275或设备200提供的多个功能的不同功能。在数据并行方法中，数据可基于接收数据的网络接口卡(nic)或vip275并行或分布在核上。又一个数据并行方法中，可通过将数据流分布在每个核上而将处理分布在核上。图5a的进一步的细节中，一些实施例中，可以根据功能并行机制500将负载、工作或网络流量在多个核505间分布。功能并行机制可基于执行一个或多个相应功能的每个核。一些实施例中，第一核可执行第一功能，同时第二核执行第二功能。功能并行方法中，根据功能性将多核系统要执行的功能划分并分布到每个核。一些实施例中，可将功能并行机制称为任务并行机制，并且可在每个处理器或核对同一数据或不同数据执行不同进程或功能时实现。核或处理器可执行相同或不同的代码。一些情况下，不同的执行线程或代码可在工作时相互通信。可以进行通信以将数据作为工作流的一部分从一个线程传递给下一线程。一些实施例中，根据功能并行机制500将工作分布在核505上，可以包括根据特定功能分布网络流量，所述特定功能例如为网络输入/输出管理(nwi/o)510a、安全套接层(ssl)加密和解密510b和传输控制协议(tcp)功能510c。这会产生基于所使用的功能量或功能级别的工作、性能或者计算负载515。一些实施例中，根据数据并行机制540将工作分布在核505上可包括基于与特定的硬件或软件组件相关联的分布数据来分布工作量515。一些实施例中，根据基于流的数据并行机制520将工作分布在核505上可包括基于上下文或流来分布数据，从而使得每个核上的工作量515a-n可以类似、基本相等或者相对平均分布。在功能并行方法的情况下，可以配置每个核来运行由设备的分组引擎或vip提供的多个功能中的一个或多个功能。例如，核1可执行设备200’的网络i/o处理，同时核2执行设备的tcp连接管理。类似地，核3可执行ssl卸载，同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同的功能。每个核可执行不只一个功能。任一核可运行结合附图2a和2b识别和/或描述的功能或其一部分。该方法中，核上的工作可以粗粒度或细粒度方式按功能划分。一些情况下，如图5a所示，按功能划分会使得不同核运行在不同的性能或负载级别515。在功能并行方法的情况下，可以配置每个核来运行由设备的分组引擎提供的多个功能中的一个或多个功能。例如，核1可执行设备200’的网络i/o处理，同时核2执行设备的tcp连接管理。类似地，核3可执行ssl卸载，同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同的功能。每个核可执行不只一个功能。任何核可运行结合附图2a和2b识别和/或描述的功能或其一部分。该方法中，核上的工作可以粗粒度或细粒度方式按功能划分。一些情况下，如图5a所示，按功能划分会使得不同核运行在不同的性能或负载级别。可以用任何结构或方案来分布功能或任务。例如，图5b示出用于处理与网络i/o功能510a相关联的应用和进程的第一核core1505a。一些实施例中，与网络i/o相关联的网络流量可以和特定的端口号相关联。因而，将具有与nwi/o510a相关联的端口目的地的发出和到来的分组导引给core1505a，该core1505a专用于处理与nwi/o端口相关联的所有网络流量。类似的，core2505b专用于处理与ssl处理相关联的功能，core4505d可专用于处理所有tcp级处理和功能。虽然图5a示出如网络i/o、ssl和tcp的功能，也可将其他功能分配给核。这些其他功能可包括此处描述的任一或多个功能或操作。例如，结合图2a和2b描述的任何功能可基于功能基础分布在核上。一些情况下，第一vip275a可运行在第一核上，同时，具有不同配置的第二vip275b可运行在第二核上。一些实施例中，每个核505可处理特定功能，这样每个核505可处理与该特定功能相关联的处理。例如，core2505b可处理ssl卸载，同时core4505d可处理应用层处理和流量管理。其他实施例中，可根据任何类型或形式的数据并行机制540将工作、负载或网络流量分布在核505上。一些实施例中，可由每个核对分布式数据的不同片执行相同任务或功能来实现多核系统中的数据并行机制。一些实施例中，单个执行线程或代码控制对所有数据片的操作。其他实施例中，不同线程或指令控制操作，但是可执行相同代码。一些实施例中，从分组引擎、vserver(vip)275a-c、网络接口卡(nic)542d-e和/或设备200上包括的或者与设备200相关联的任何其他网络硬件或软件的角度实现数据并行机制。例如，每个核可运行同样的分组引擎或vip代码或配置但是在不同的分布式数据集上进行操作。每个网络硬件或软件结构可接收不同的、变化的或者基本相同量的数据，因而可以具有变化的、不同的或相对相同量的负载515。在数据并行方法的情况下，可以基于vip、nic和/或vip或nic的数据流来划分和分布工作。在这些的方法的一个中，可通过使每个vip在分布的数据集上工作来将多核系统的工作划分或者分布在vip中。例如，可配置每个核运行一个或多个vip。网络流量可分布在处理流量的每个vip的核上。在这些方法的又一个中，可基于哪个nic接收网络流量来将设备的工作划分或分布在核上。例如，第一nic的网络流量可被分布到第一核，同时第二nic的网络流量可被分布给第二核。一些情况下，核可处理来自多个nic的数据。虽然图5a示出了与单个核505相关联的单个vserver，正如vip1275a、vip2275b和vip3275c的情况。但是，一些实施例中，单个vserver可以与一个或者多个核505相关联。相反，一个或多个vserver可以与单个核505相关联。将vserver与核505关联可包括该核505处理与该特定vserver关联的所有功能。一些实施例中，每个核执行具有相同代码和配置的vip。其他实施例中，每个核执行具有相同代码但配置不同的vip。一些实施例中，每个核执行具有不同代码和相同或不同配置的vip。和vserver类似，nic也可以和特定的核505关联。许多实施例中，nic可以连接到一个或多个核505，这样，当nic接收或传输数据分组时，特定的核505处理涉及接收和传输数据分组的处理。一个实施例中，单个nic可以与单个核505相关联，正如nic1542d和nic2542e的情况。其他实施例中，一个或多个nic可以与单个核505相关联。但其他实施例中，单个nic可以与一个或者多个核505相关联。这些实施例中，负载可以分布在一个或多个核505上，使得每个核505基本上处理类似的负载量。与nic关联的核505可以处理与该特定nic关联的所有功能和/或数据。虽然根据vip或nic的数据将工作分布在核上具有某种程度的独立性，但是，一些实施例中，这会造成如图5a的变化负载515所示的核的不平衡的使用。一些实施例中，可根据任何类型或形式的数据流将负载、工作或网络流量分布在核505上。在这些方法的又一个中，可基于数据流将工作划分或分布在多个核上。例如，客户机或服务器之间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一些情况下，最初建立会话或连接的核可以是该会话或连接的网络流量所分布的核。一些实施例中，数据流基于网络流量的任何单元或部分，如事务、请求/响应通信或来自客户机上的应用的流量。这样，一些实施例中，客户机和服务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。在基于流的数据并行机制520中，数据分布和任何类型的数据流相关，例如请求/响应对、事务、会话、连接或应用通信。例如，客户机或服务器之间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一些情况下，最初建立会话或连接的核可以是该会话或连接的网络流量所分布的核。数据流的分布可以使得每个核505运行基本相等或相对均匀分布的负载量、数据量或网络流量。一些实施例中，数据流基于网络流量的任何单元或部分，如事务、请求/响应通信或源自客户机上的应用的流量。这样，一些实施例中，客户机和服务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。一个实施例中，可以基于事务或一系列事务分布数据量。一些实施例中，该事务可以是客户机和服务器之间的，其特征可以是ip地址或其他分组标识符。例如，核1505a可专用于特定客户机和特定服务器之间的事务，因此，核1505a上的负载515a可包括与特定客户机和服务器之间的事务相关联的网络流量。可通过将源自特定客户机或服务器的所有数据分组路由到核1505a来将网络流量分配给核1505a。虽然可部分地基于事务将工作或负载分布到核，但是，其他实施例中，可基于每个分组的基础分配负载或工作。这些实施例中，设备200可拦截数据分组并将数据分组分配给负载量最小的核505。例如，由于核1上的负载515a小于其他核505b-n上的负载515b-n，所以设备200可将第一到来的数据分组分配给核1505a。将第一数据分组分配给核1505a后，核1505a上的负载量515a与处理第一数据分组所需的处理资源量成比例增加。设备200拦截到第二数据分组时，设备200会将负载分配给核4505d，这是由于核4505d具有第二少的负载量。一些实施例中，将数据分组分配给负载量最小的核可确保分布到每个核505的负载515a-n保持基本相等。其他实施例中，将一部分网络流量分配给特定核505的情况下，可以每单元为基础分配负载。上述示例说明以每分组为基础进行负载平衡。其他实施例中，可以基于分组数目分配负载，例如，将每10个、100个或1000个分组分配给流量最少的核505。分配给核505的分组数量可以是由应用、用户或管理员确定的数目，而且可以为大于零的任何数。仍在其他实施例中，基于时间指标分配负载，使得在预定时间段将分组分布到特定核505。这些实施例中，可以在5毫秒内或者由用户、程序、系统、管理器或其他方式确定的任何时间段将分组分布到特定核505。预定时间段过去后，在预定时间段内将时间分组传输给不同的核505。用于将工作、负载或网络流量分布在一个或多个核505上的基于流的数据并行方法可包括上述实施例的任意组合。这些方法可以由设备200的任何部分执行，由在核505上执行的应用或者一组可执行指令执行，例如分组引擎，或者由在与设备200通信的计算装置上执行的任何应用、程序或代理执行。图5a所示的功能和数据并行机制计算方案可以任何方式组合，以产生混合并行机制或分布式处理方案，其包括功能并行机制500、数据并行机制540、基于流的数据并行机制520或者其任何部分。一些情况下，多核系统可使用任何类型或形式的负载平衡方案来将负载分布在一个或多个核505上。负载平衡方案可以和任何功能和数据平行方案或其组合结合使用。图5b示出多核系统545的实施例，该系统可以是任何类型或形式的一个或多个系统、设备、装置或组件。一些实施例中，该系统545可被包括在具有一个或多个处理核505a-n的设备200内。系统545还可包括与存储器总线556通信的一个或多个分组引擎(pe)或分组处理引擎(ppe)548a-n。存储器总线可用于与一个或多个处理核505a-n通信。系统545还可包括一个或多个网络接口卡(nic)552和流分布器550，流分布器还可与一个或多个处理核505a-n通信。流分布器550可包括接收侧调整器(receiversidescaler-rss)或接收侧调整(receiversidescaling-rss)模块560。进一步参考图5b，具体而言，一个实施例中，分组引擎548a-n可包括此处所述的设备200的任何部分，例如图2a和2b所述设备的任何部分。一些实施例中，分组引擎548a-n可包括任何下列的元件：分组引擎240、网络堆栈267、高速缓存管理器232、策略引擎236、压缩引擎238、加密引擎234、gui210、cli212、壳服务214、监控程序216以及能够从数据总线556或一个或多个核505a-n中的任一个接收数据分组的其他任何软件和硬件元件。一些实施例中，分组引擎548a-n可包括一个或多个vserver275a-n或其任何部分。其他实施例中，分组引擎548a-n可提供以下功能的任意组合：sslvpn280、内部网ip282、交换284、dns286、分组加速288、appfw280、如由监控代理197提供的监控、和作为tcp堆栈关联的功能、负载平衡、ssl卸载和处理、内容交换、策略评估、高速缓存、压缩、编码、解压缩、解码、应用防火墙功能、xml处理和加速以及sslvpn连接。一些实施例中，分组引擎548a-n可以与特定服务器、用户、客户或网络关联。分组引擎548与特定实体关联时，分组引擎548可处理与该实体关联的数据分组。例如，如果分组引擎548与第一用户关联，那么该分组引擎548将对由第一用户产生的分组或者目的地址与第一用户关联的分组进行处理和操作。类似地，分组引擎548可选择不与特定实体关联，使得分组引擎548可对不是由该实体产生的或目的是该实体的任何数据分组进行处理和以其他方式进行操作。一些实例中，可将分组引擎548a-n配置为执行图5a所示的任何功能和/或数据并行方案。这些实例中，分组引擎548a-n可将功能或数据分布在多个核505a-n上，从而使得分布是根据并行机制或分布方案的。一些实施例中，单个分组引擎548a-n执行负载平衡方案，其他实施例中，一个或多个分组引擎548a-n执行负载平衡方案。一个实施例中，每个核505a-n可以与特定分组引擎548关联，使得可以由分组引擎执行负载平衡。在该实施例中，负载平衡可要求与核505关联的每个分组引擎548a-n和与核关联的其他分组引擎通信，使得分组引擎548a-n可共同决定将负载分布在何处。该过程的一个实施例可包括从每个分组引擎接收对于负载的投票的仲裁器。仲裁器可部分地基于引擎投票的持续时间将负载分配给每个分组引擎548a-n，一些情况下，还可基于与在引擎关联的核505上的当前负载量相关联的优先级值来将负载分配给每个分组引擎548a-n。核上运行的任何分组引擎可以运行于用户模式、内核模式或其任意组合。一些实施例中，分组引擎作为在用户空间或应用空间中运行的应用或程序来操作。这些实施例中，分组引擎可使用任何类型或形式的接口来访问内核提供的任何功能。一些实施例中，分组引擎操作于内核模式中或作为内核的一部分来操作。一些实施例中，分组引擎的第一部分操作于用户模式中，分组引擎的第二部分操作于内核模式中。一些实施例中，第一核上的第一分组引擎执行于内核模式中，同时，第二核上的第二分组引擎执行于用户模式中。一些实施例中，分组引擎或其任何部分对nic或其任何驱动器进行操作或者与其联合操作。一些实施例中，存储器总线556可以是任何类型或形式的存储器或计算机总线。虽然在图5b中描述了单个存储器总线556，但是系统545可包括任意数量的存储器总线556。一个实施例中，每个分组引擎548可以和一个或者多个单独的存储器总线556相关联。一些实施例中，nic552可以是此处所述的任何网络接口卡或机制。nic552可具有任意数量的端口。nic可设计并构造成连接到任何类型和形式的网络104。虽然示出单个nic552，但是，系统545可包括任意数量的nic552。一些实施例中，每个核505a-n可以与一个或多个单个nic552关联。因而，每个核505可以与专用于特定核505的单个nic552关联。核505a-n可包括此处所述的任何处理器。此外，可根据此处所述的任何核505配置来配置核505a-n。另外，核505a-n可具有此处所述的任何核505功能。虽然图5b示出七个核505a-g，但是系统545可包括任意数量的核505。具体而言，系统545可包括n个核，其中n是大于零的整数。核可具有或使用被分配或指派用于该核的存储器。可将存储器视为该核的专有或本地存储器并且仅有该核可访问该存储器。核可具有或使用共享的或指派给多个核的存储器。该存储器可被视为由不只一个核可访问的公共或共享存储器。核可使用专有或公共存储器的任何组合。通过每个核的单独的地址空间，消除了使用同一地址空间的情况下的一些协调级别。利用单独的地址空间，核可以对核自己的地址空间中的信息和数据进行工作，而不用担心与其他核冲突。每个分组引擎可以具有用于tcp和/或ssl连接的单独存储器池。仍参考图5b，上文结合图5a描述的核505的任何功能和/或实施例可以部署在上文结合图4a和4b描述的虚拟化环境的任何实施例中。不是以物理处理器505的形式部署核505的功能，而是将这些功能部署在诸如客户机102、服务器106或设备200的任何计算装置100的虚拟化环境400内。其他实施例中，不是以设备或一个装置的形式部署核505的功能，而是将该功能部署在任何布置的多个装置上。例如，一个装置可包括两个或多个核，另一个装置可包括两个或多个核。例如，多核系统可包括计算装置的集群、服务器群或计算装置的网络。一些实施例中，不是以核的形式部署核505的功能，而是将该功能部署在多个处理器上，例如部署多个单核处理器上。一个实施例中，核505可以为任何形式或类型的处理器。一些实施例中，核的功能可以基本类似此处所述的任何处理器或中央处理单元。一些实施例中，核505可包括此处所述的任何处理器的任何部分。虽然图5a示出7个核，但是，设备200内可以有任意n个核，其中n是大于1的整数。一些实施例中，核505可以安装在公用设备200内，其他实施例中，核505可以安装在彼此通信连接的一个或多个设备200内。一些实施例中，核505包括图形处理软件，而其他实施例中，核505提供通用处理能力。核505可彼此物理靠近地安装和/或可彼此通信连接。可以用以物理方式和/或通信方式耦合到核的任何类型和形式的总线或子系统连接核，用于向核、从核和/或在核之间传输数据。尽管每个核505可包括用于与其他核通信的软件，一些实施例中，核管理器(未示出)可有助于每个核505之间的通信。一些实施例中，内核可提供核管理。核可以使用各种接口机制彼此接口或通信。一些实施例中，可以使用核到核的消息传输来在核之间通信，比如，第一核通过连接到核的总线或子系统向第二核发送消息或数据。一些实施例中，核可通过任何种类或形式的共享存储器接口通信。一个实施例中，可以存在在所有核中共享的一个或多个存储器单元。一些实施例中，每个核可以具有和每个其他核共享的单独存储器单元。例如，第一核可具有与第二核的第一共享存储器，以及与第三核的第二共享存储器。一些实施例中，核可通过任何类型的编程或api(如通过内核的函数调用)来通信。一些实施例中，操作系统可识别并支持多核装置，并提供用于核间通信的接口和api。流分布器550可以是任何应用、程序、库、脚本、任务、服务、进程或在任何类型或形式的硬件上执行的任何类型和形式的可执行指令。一些实施例中，流分布器550可以是用于执行此处所述任何操作和功能的任何电路设计或结构。一些实施例中，流分布器分布、转发、路由、控制和/或管理多个核505上的数据和/或在核上运行的分组引擎或vip的分布。一些实施例中，可将流分布器550称为接口主装置(interfacemaster)。一个实施例中，流分布器550包括在设备200的核或处理器上执行的一组可执行指令。又一个实施例中，流分布器550包括在与设备200通信的计算机器上执行的一组可执行指令。一些实施例中，流分布器550包括在如固件的nic上执行的一组可执行指令。其他实施例，流分布器550包括用于将数据分组分布在核或处理器上的软件和硬件的任何组合。一个实施例中，流分布器550在至少一个核505a-n上执行，而在其他实施例中，分配给每个核505a-n的单独的流分布器550在相关联的核505a-n上执行。流分布器可使用任何类型和形式的统计或概率算法或决策来平衡多个核上的流。可以将如nic的设备硬件或内核设计或构造成支持nic和/或核上的顺序操作。在系统545包括一个或多个流分布器550的实施例中，每个流分布器550可以与处理器505或分组引擎548关联。流分布器550可包括允许每个流分布器550和在系统545内执行的其他流分布器550通信的接口机制。一个实例中，一个或多个流分布器550可通过彼此通信确定如何平衡负载。该过程的操作可以基本与上述过程类似，即将投票提交给仲裁器，然后仲裁器确定哪个流分布器550应该接收负载。其他实施例中，第一流分布器550’可识别所关联的核上的负载并基于任何下列标准确定是否将第一数据分组转发到所关联的核：所关联的核上的负载大于预定阈值；所关联的核上的负载小于预定阈值；所关联的核上的负载小于其他核上的负载；或者可以用于部分基于处理器上的负载量来确定将数据分组转发到何处的任何其他指标。流分布器550可以根据如此处所述的分布、计算或负载平衡方法而将网络流量分布在核505上。一个实施例中，流分布器可基于功能并行机制分布方案550、数据并行机制负载分布方案540、基于流的数据并行机制分布方案520或这些分布方案的任意组合或用于将负载分布在多个处理器上的任何负载平衡方案来分布网络流量。因而，流分布器550可通过接收数据分组并根据操作的负载平衡或分布方案将数据分组分布在处理器上而充当负载分布器。一个实施例中，流分布器550可包括用于确定如何相应地分布分组、工作或负载的一个或多个操作、函数或逻辑。又一个实施例中，流分布器550可包括可识别与数据分组关联的源地址和目的地址并相应地分布分组的一个或多个子操作、函数或逻辑。一些实施例中，流分布器550可包括接收侧调整(rss)网络驱动器模块560或将数据分组分布在一个或多个核505上的任何类型和形式的可执行指令。rss模块560可以包括硬件和软件的任意组合。一些实施例中，rss模块560和流分布器550协同工作以将数据分组分布在核505a-n或多处理器网络中的多个处理器上。一些实施例中，rss模块560可在nic552中执行，其他实施例中，可在核505的任何一个上执行。一些实施例中，rss模块560使用微软接收侧调整(rss)方法。一个实施例中，rss是微软可扩展网络主动技术(microsoftscalablenetworkinginitiativetechnology)，其使得系统中的多个处理器上的接收处理是平衡的，同时保持数据的顺序传送。rss可使用任何类型或形式的哈希方案来确定用于处理网络分组的核或处理器。rss模块560可应用任何类型或形式的哈希函数，如toeplitz哈希函数。哈希函数可应用到哈希类型值或者任何值序列。哈希函数可以是任意安全级别的安全哈希或者是以其他方式加密。哈希函数可使用哈希关键字(hashkey)。关键字的大小取决于哈希函数。对于toeplitz哈希，用于ipv6的哈希关键字大小为40字节，用于ipv4的哈希关键字大小为16字节。可以基于任何一个或多个标准或设计目标设计或构造哈希函数。一些实施例中，可使用为不同的哈希输入和不同哈希类型提供均匀分布的哈希结果的哈希函数，所述不同哈希输入和不同哈希类型包括tcp/ipv4、tcp/ipv6、ipv4和ipv6头部。一些实施例中，可使用存在少量桶时(例如2个或4个)提供均匀分布的哈希结果的哈希函数。一些实施例中，可使用存在大量桶时(例如64个桶)提供随机分布的哈希结果的哈希函数。在一些实施例中，基于计算或资源使用水平来确定哈希函数。在一些实施例中，基于在硬件中实现哈希的难易度来确定哈希函数。在一些实施例中，基于用恶意的远程主机发送将全部哈希到同一桶中的分组的难易度来确定哈希函数。rss可从任意类型和形式的输入来产生哈希，例如值序列。该值序列可包括网络分组的任何部分，如网络分组的任何头部、域或载荷或其一部分。一些实施例中，可将哈希输入称为哈希类型，哈希输入可包括与网络分组或数据流关联的任何信息元组，例如下面的类型：包括至少两个ip地址和两个端口的四元组、包括任意四组值的四元组、六元组、二元组和/或任何其他数字或值序列。以下是可由rss使用的哈希类型示例：-源tcp端口、源ip版本4(ipv4)地址、目的tcp端口和目的ipv4地址的四元组。-源tcp端口、源ip版本6(ipv6)地址、目的tcp端口和目的ipv6地址的四元组。-源ipv4地址和目的ipv4地址的二元组。-源ipv6地址和目的ipv6地址的二元组。-源ipv6地址和目的ipv6地址的二元组，包括对解析ipv6扩展头部的支持。哈希结果或其任何部分可用于识别用于分布网络分组的核或实体，如分组引擎或vip。一些实施例中，可向哈希结果应用一个或者多个哈希位或掩码。哈希位或掩码可以是任何位数或字节数。nic可支持任意位，例如7位。网络堆栈可在初始化时设定要使用的实际位数。位数介于1和7之间，包括端值。可通过任意类型和形式的表用哈希结果来识别核或实体，例如通过桶表(buckettable)或间接表(indirectiontable)。一些实施例中，用哈希结果的位数来索引表。哈希掩码的范围可有效地限定间接表的大小。哈希结果的任何部分或哈希结果自身可用于索引间接表。表中的值可标识任何核或处理器，例如通过核或处理器标识符来标识。一些实施例中，表中标识多核系统的所有核。其他实施例中，表中标识多核系统的一部分核。间接表可包括任意多个桶，例如2到128个桶，可以用哈希掩码索引这些桶。每个桶可包括标识核或处理器的索引值范围。一些实施例中，流控制器和/或rss模块可通过改变间接表来重新平衡网络负载。一些实施例中，多核系统575不包括rss驱动器或rss模块560。在这些实施例的一些中，软件操控模块(未示出)或系统内rss模块的软件实施例可以和流分布器550共同操作或者作为流分布器550的一部分操作，以将分组引导到多核系统575中的核505。一些实施例中，流分布器550在设备200上的任何模块或程序中执行，或者在多核系统575中包括的任何一个核505和任一装置或组件上执行。一些实施例中，流分布器550’可在第一核505a上执行，而在其他实施例中，流分布器550”可在nic552上执行。其他实施例中，流分布器550’的实例可在多核系统575中包括的每个核505上执行。该实施例中，流分布器550’的每个实例可和流分布器550’的其他实例通信以在核505之间来回转发分组。存在这样的状况，其中，对请求分组的响应不是由同一核处理的，即第一核处理请求，而第二核处理响应。这些情况下，流分布器550’的实例可以拦截分组并将分组转发到期望的或正确的核505，即流分布器550’可将响应转发到第一核。流分布器550’的多个实例可以在任意数量的核505或核505的任何组合上执行。流分布器可以响应于任一个或多个规则或策略而操作。规则可识别接收网络分组、数据或数据流的核或分组处理引擎。规则可识别和网络分组有关的任何类型和形式的元组信息，例如源和目的ip地址以及源和目的端口的四元组。基于所接收的匹配规则所指定的元组的分组，流分布器可将分组转发到核或分组引擎。一些实施例中，通过共享存储器和/或核到核的消息传输将分组转发到核。虽然图5b示出了在多核系统575中执行的流分布器550，但是，一些实施例中，流分布器550可执行在位于远离多核系统575的计算装置或设备上。这样的实施例中，流分布器550可以和多核系统575通信以接收数据分组并将分组分布在一个或多个核505上。一个实施例中，流分布器550接收以设备200为目的地的数据分组，向所接收的数据分组应用分布方案并将数据分组分布到多核系统575的一个或多个核505。一个实施例中，流分布器550可以被包括在路由器或其他设备中，这样路由器可以通过改变与每个分组关联的元数据而以特定核505为目的地，从而每个分组以多核系统575的子节点为目的地。这样的实施例中，可用cisco的vn-tag机制来改变或标记具有适当元数据的每个分组。图5c示出包括一个或多个处理核505a-n的多核系统575的实施例。简言之，核505中的一个可被指定为控制核505a并可用作其他核505的控制平面570。其他核可以是次级核，其工作于数据平面，而控制核提供控制平面。核505a-n共享全局高速缓存580。控制核提供控制平面，多核系统中的其他核形成或提供数据平面。这些核对网络流量执行数据处理功能，而控制核提供对多核系统的初始化、配置和控制。仍参考图5c，具体而言，核505a-n以及控制核505a可以是此处所述的任何处理器。此外，核505a-n和控制核505a可以是能在图5c所述系统中工作的任何处理器。另外，核505a-n可以是此处所述的任何核或核组。控制核可以是与其他核不同类型的核或处理器。一些实施例中，控制核可操作不同的分组引擎或者具有与其他核的分组引擎配置不同的分组引擎。每个核的存储器的任何部分可以被分配给或者用作核共享的全局高速缓存。简而言之，每个核的每个存储器的预定百分比或预定量可用作全局高速缓存。例如，每个核的每个存储器的50％可用作或分配给共享全局高速缓存。也就是说，所示实施例中，除了控制平面核或核1以外的每个核的2gb可用于形成28gb的共享全局高速缓存。例如通过配置服务而配置控制平面可确定用于共享全局高速缓存的存储量(theamountofmemory)。一些实施例中，每个核可提供不同的存储量供全局高速缓存使用。其他实施例中，任一核可以不提供任何存储器或不使用全局高速缓存。一些实施例中，任何核也可具有未分配给全局共享存储器的存储器中的本地高速缓存。每个核可将网络流量的任意部分存储在全局共享高速缓存中。每个核可检查高速缓存来查找要在请求或响应中使用的任何内容。任何核可从全局共享高速缓存获得内容以在数据流、请求或响应中使用。全局高速缓存580可以是任意类型或形式的存储器或存储元件，例如此处所述的任何存储器或存储元件。一些实施例中，核505可访问预定的存储量(即32gb或者与系统575相当的任何其他存储量)。全局高速缓存580可以从预定的存储量分配而来，同时，其余的可用存储器可在核505之间分配。其他实施例中，每个核505可具有预定的存储量。全局高速缓存580可包括分配给每个核505的存储量。该存储量可以字节为单位来测量，或者可用分配给每个核505的存储器百分比来测量。因而，全局高速缓存580可包括来自与每个核505关联的存储器的1gb存储器，或者可包括和每个核505关联的存储器的20％或一半。一些实施例，只有一部分核505提供存储器给全局高速缓存580，而在其他实施例，全局高速缓存580可包括未分配给核505的存储器。每个核505可使用全局高速缓存580来存储网络流量或缓存数据。一些实施例中，核的分组引擎使用全局高速缓存来缓存并使用由多个分组引擎所存储的数据。例如，图2a的高速缓存管理器和图2b的高速缓存功能可使用全局高速缓存来共享数据以用于加速。例如，每个分组引擎可在全局高速缓存中存储例如html数据的响应。操作于核上的任何高速缓存管理器可访问全局高速缓存来将高速缓存响应提供给客户请求。一些实施例中，核505可使用全局高速缓存580来存储端口分配表，其可用于部分基于端口确定数据流。其他实施例中，核505可使用全局高速缓存580来存储地址查询表或任何其他表或列表，流分布器可使用这些表来确定将到来的数据分组和发出的数据分组导向何处。一些实施例中，核505可以读写高速缓存580，而其他实施例中，核505仅从高速缓存读或者仅向高速缓存写。核可使用全局高速缓存来执行核到核通信。可以将全局高速缓存580划分成各个存储器部分，其中每个部分可专用于特定核505。一个实施例中，控制核505a可接收大量的可用高速缓存，而其他核505可接收对全局高速缓存580的变化的访问量。一些实施例中，系统575可包括控制核505a。虽然图5c将核1505a示为控制核，但是，控制核可以是设备200或多核系统中的任何一个核。此外，虽然仅描述了单个控制核，但是，系统575可包括一个或多个控制核，每个控制核对系统有某种程度的控制。一些实施例中，一个或多个控制核可以各自控制系统575的特定方面。例如，一个核可控制决定使用哪种分布方案，而另一个核可确定全局高速缓存580的大小。多核系统的控制平面可以是将一个核指定并配置成专用的管理核或者作为主核。控制平面核可对多核系统中的多个核的操作和功能提供控制、管理和协调。控制平面核可对多核系统中的多个核上存储器系统的分配和使用提供控制、管理和协调，这包括初始化和配置存储器系统。一些实施例中，控制平面包括流分布器，用于基于数据流控制数据流到核的分配以及网络分组到核的分配。一些实施例中，控制平面核运行分组引擎，其他实施例中，控制平面核专用于系统的其他核的控制和管理。控制核505a可对其他核505进行某种级别的控制，例如，确定将多少存储器分配给每个核505，或者确定应该指派哪个核来处理特定功能或硬件/软件实体。一些实施例中，控制核505a可以对控制平面570中的这些核505进行控制。因而，控制平面570之外可存在不受控制核505a控制的处理器。确定控制平面570的边界可包括由控制核505a或系统575中执行的代理维护由控制核505a控制的核的列表。控制核505a可控制以下的任一个：核初始化、确定核何时不可用、一个核出故障时将负载重新分配给其他核505、决定实现哪个分布方案、决定哪个核应该接收网络流量、决定应该给每个核分配多少高速缓存、确定是否将特定功能或元件分布到特定核、确定是否允许核彼此通信、确定全局高速缓存580的大小以及对系统575内的核的功能、配置或操作的任何其他确定。f.用于提供分布式集群架构的系统和方法如在前面的部分所讨论的，为克服晶体管间隔的限制以及cpu速度增加，许多cpu制造商已结合多核cpu来提高性能，超过了甚至单核更高速cpu能达到的性能。可通过操作一起作为分布式或集群式设备的多个(单核或多核)设备来得到相似或更进一步的性能改进。独立的计算装置或设备可被称为集群的节点。集中式管理系统可执行负载平衡、分布、配置或者允许节点一起操作作为单个计算系统的其他任务。在许多实施例中，在外部或者对于其他装置(包括服务器和客户机)来说，虽然具有超过典型独立设备的性能，集群可被看作是单个虚拟设备或计算装置。现参考图6，描述了计算装置集群或设备集群600的实施例。可将多个诸如台式计算机、服务器、机架式服务器、刀片式服务器或任何其他类型和形式的计算装置的设备200a-200n或者其他计算装置(有时称作节点)加入单个设备集群600。尽管被称为设备集群，但在许多实施例中，该集群可作为应用服务器、网络存储服务器、备份服务器或者不限于任何其他类型的计算装置进行操作。在许多实施例中，设备集群600可被用于执行设备200、wan优化装置、网络加速装置或上述其他装置的多个功能。在一些实施例中，设备集群600可包括计算装置的同构集合，如相同的设备、一个或多个机箱内的刀片式服务器、台式或机架式计算装置或者其他装置。在其他实施例中，设备集群600可包括装置的异构或混合集合，包括不同型号的设备、混合的设备和服务器，或者计算装置的任何其他集合。这样可允许随着时间的过去例如用新型号或装置来扩展或升级设备集群600。在一些实施例中，如上所述，设备集群600的每个计算装置或设备200可包括多核设备。在许多这样的实施例中，除了本文讨论的节点管理和分布方法之外，可由每个独立设备利用上文讨论的核管理和流分布方法。这可被看作是双层分布式系统，其中一个设备包含数据且将该数据分布到多个节点，并且每个节点包含用于处理的数据且将该数据分布到多个核。因此，在该实施例中，节点分布系统不需要管理对于独立核的流分布，因为可由如上所述的主或控制核来负责。在许多实施例中，可将设备集群600物理地聚合，例如在一个机箱中的多个刀片式服务器或者在单个机架中的多个机架式装置，但在其他实施例中，设备集群600可分布在多个机箱、多个机架、数据中心中的多个房间、多个数据中心或者任何其他物理布置中。因此，设备集群600可被认为是经由共同配置、管理和目的聚合的虚拟设备，而不是物理组。在一些实施例中，可将设备集群600连接到一个或多个网络104、104’。例如，暂时返回参考图1a，在一些实施例中，可在连接到一个或多个客户机102的网络104和连接到一个或多个服务器106的网络104’之间部署设备200。可以类似地部署设备集群600以作为单个设备来操作。在许多实施例中，这样可能不需要在设备集群600之外的任何网络拓扑改变，允许轻松地安装或者从单个设备场景进行扩展。在其他实施例中，可如图1b-1d所示的或如上文所述类似地部署设备集群600。在其他实施例中，设备集群可包括由一个或多个服务器执行的多个虚拟机或者进程。例如，在一个这样的实施例中，服务器群可执行多个虚拟机，每个虚拟机被配置成设备200，并且多个虚拟机作为设备集群600协同操作。在其他实施例中，设备集群600可包括设备200或者被配置成设备200的虚拟机的混合。在一些实施例中，可地理分布设备集群600，其中多个设备200不位于一处。例如，返回参考图6，在一个这样的实施例中，第一设备200a可位于第一站点(如数据中心)，并且第二设备200b可位于第二站点(如中心局或企业总部)。在进一步的实施例中，可通过专用网络(如t1或t3点到点连接)、vpn或者任何其他类型和形式的网络来连接该地理上的远程设备。因此，与位于一处的设备200a-200b相比，尽管可能存在额外的通信延迟，但可能具有在站点电源故障或通信中断情况下的可靠性、可扩展性或者其他效益的好处。在一些实施例中，可通过数据流的地理或基于网络的分布来减少延迟问题。例如，尽管被配置成设备集群600，可将来自客户机和企业总部的服务器的通信定向到在站点处部署的设备200b、可由位置来衡量负载平衡，或者可采取类似步骤来减轻任何延迟。仍参考图6，设备集群600可经由客户机数据平面602连接到网络。在一些实施例中，客户机数据平面602可包括在客户机和设备集群600之间传输数据的通信网络，如网络104。在一些实施例中，客户机数据平面602可包括交换机、集线器、路由器或者桥接外部网络104和设备集群600的多个设备200a-200n的其他网络装置。例如，在一个这样的实施例中，路由器可连接到外部网络104，并且连接到每个设备200a-200n的网络接口。在一些实施例中，该路由器或交换机可被称为接口管理器，并且还可以被配置为跨应用集群600中的节点均匀地分布流量。因此，在许多实施例中，接口主装置(master)可包括在设备集群600外部的流分布器。在其他实施例中，接口主装置可包括设备200a-200n中的一个。例如，第一设备200a可充当接口主装置，为设备集群600接收进入的流量，并且跨设备200b-200n中的每一个分布该流量。在一些实施例中，返回流量可类似地经由充当接口主装置的第一设备200a从设备200b-200n中的每一个流过。在其他实施例中，可将来自设备200b-200n中的每一个的返回流量直接或经由外部路由器、交换机或其他装置传输到网络104、104’。在一些实施例中，不充当接口主装置的设备集群的设备200可被称为接口从装置。接口主装置可采用多种方式中的任何一种来执行负载平衡或业务流分布。例如，在一些实施例中，接口主装置可包括执行用集群的设备或节点配置的下一跳的等价多路径(ecmp)路由的路由器。接口主装置可使用开放最短路径优先(ospf)。在一些实施例中，接口主装置可使用基于无状态哈希的机制来用于流量分布，例如，如上文所述的基于ip地址或其他分组信息元组的哈希。可以为跨节点的均匀分布来选择哈希密钥和/或盐值。在其他实施例中，接口主装置可经由链路聚合(lag)协议或者任何其他类型和形式的流分布、负载平衡和路由来执行流分布。在一些实施例中，设备集群600可经由服务器数据平面604连接到网络。类似于客户机数据平面602，服务器数据平面604可包括在服务器和设备集群600之间传输数据的通信网络，如网络104’。在一些实施例中，服务器数据平面604可包括交换机、集线器、路由器，或者桥接外部网络104’和设备集群600的多个设备200a-200n的其他网络装置。例如，在一个这样的实施例中，路由器可连接到外部网络104’，并且连接到每个设备200a-200n的网络接口。在许多实施例中，每个设备200a-200n可包括多个网络接口，第一网络接口连接到客户机数据平面602并且第二网络接口连接到服务器数据平面604。这可以提供额外的安全性，并且通过使设备集群600充当中间装置阻止了客户机和服务器网络的直接相接。在其他实施例中，可合并或组合客户机数据平面602和服务器数据平面604。例如，可将设备集群600部署为在具有客户机102和服务器106的网络上的非中间节点。如上文所讨论的，在许多实施例中，可在服务器数据平面604上部署接口主装置，以便将来自服务器和网络104’的通信路由和分布到设备集群的每个设备。在许多实施例中，可将用于客户机数据平面602的接口主装置和用于服务器数据平面604的接口从装置类似配置为执行如上文所述的ecmp或lag协议。在一些实施例中，可经由内部通信网络或后平面(backplane)606连接设备集群600中的每个设备200a-200n。后平面606可包括用于节点间或设备间控制和配置消息以及用于节点间流量转发的通信网络。例如，在其中第一设备200a经由网络104与客户机通信并且第二设备200b经由网络104’与服务器通信的一个实施例中，客户机和服务器之间的通信可以从客户机流向第一设备、从第一设备经由后平面606流向第二设备，并且从第二设备流向服务器，反之亦然。在其他实施例中，后平面606可传输配置消息(如接口暂停或重置命令)、策略更新(如过滤或压缩策略)、状态消息(如缓冲器状态、吞吐量或出错消息)，或者任何其他类型和形式的节点间通信。在一些实施例中，可由集群中的所有节点共享rss密钥或哈希密钥，并且可经由后平面606传输rss密钥或哈希密钥。例如，第一节点或主节点可(例如在启动或引导时)选择rss密钥，并且可分发该密钥以由其他节点使用。在一些实施例中，后平面606可包括在每个设备200的网络接口之间的网络，并且可包括路由器、交换机或其他网络装置(未示出)。因此，在一些实施例中并且如上文所述，可在设备集群600和网络104之间部署客户机数据平面602的路由器、可在设备集群600和网络104’之间部署服务器数据平面604的路由器，以及可将后平面606的路由器部署为设备集群600的部分。每个路由器可连接到每个设备200的不同网络接口。在其他实施例中，可组合一个或多个平面602-606，或者可将路由器或交换机分成多个lan或vlan，以便连接到设备200a-200n的不同接口并且同时提供多个路由功能，从而减少复杂性或者从系统中排除额外的装置。在一些实施例中，控制平面(未示出)可将配置和控制流量从管理员或用户传送到设备集群600。在一些实施例中，控制平面可以是第四物理网络，而在其他实施例中，控制平面可包括vpn、隧道或者经由平面602-606中的一个的通信。因此，在一些实施例中，控制平面可被认为是虚拟通信平面。在其他实施例中，管理员可通过单独的接口来提供配置和控制，该接口例如是串行通信接口(如rs-232)、usb通信接口或者任何其他类型和形式的通信。在一些实施例中，设备200可包括用于管理的接口，例如具有按钮和显示的前平面、用于经由网络104、104’或后平面606进行配置的web服务器，或者任何其他类型和形式的接口。在一些实施例中，如上文所讨论的，设备集群600可包括内部流分布。例如，这样可允许节点对于外部装置来说透明地加入/离开。为避免对于该变化需要反复地重新配置外部流分布器，一节点或设备可充当接口主装置或分布器，以将网络分组引导到集群600内的正确节点。例如，在一些实施例中，当节点离开集群时(例如在故障时、重置时或类似情况下)，外部ecmp路由器可识别节点中的变化，并且可以重新处理所有流，从而重新分布流量。这会导致断开和重置所有连接。当节点重新加入时，会出现相同的断开和重置。在一些实施例中，为了可靠性，设备集群600内的两个设备或节点可经由连接镜像来接收来自外部路由器的通信。在许多实施例中，设备集群600的节点之间的流分布可使用上文所述的用于设备的核之间的流分布的任何方法。例如，在一个实施例中，主设备、主节点或接口主装置可对进入的流量计算rss哈希(如toeplitz哈希)，并且查询关于该哈希的偏好列表或分布表。在许多实施例中，流分布器可在转发流量时向接收设备提供该哈希。这可以消除对节点重新计算用于将流分布到核的哈希的需要。在许多这样的实施例中，用来计算用于在设备之间分布的哈希的rss密钥可包括与用来计算用于在核之间分布的哈希的密钥相同的密钥，该密钥可被称为全局rss密钥，其允许重复使用所计算的哈希。在一些实施例中，可以用输入的包括端口号的传输层头部、包括ip地址的互联网层头部或者任何其他分组头部信息的元组来计算该哈希。在一些实施例中，可将分组主体信息用于该哈希。例如，在其中一种协议的流量被封装在另一种协议的流量内的一个实施例中(例如，经由无损tcp头部封装的有损udp流量)，流分布器可基于被封装协议的头部(例如udp头部)而不是封装协议(例如tcp头部)来计算该哈希。类似地，在其中分组被封装且被加密或者被压缩的一些实施例中，流分布器可在解密或解压缩后基于负载分组的头部计算哈希。在其他实施例中，节点可具有内部ip地址，如用于配置或管理的目的。不需要哈希和分布去往这些ip地址的流量，而是可将该流量转发到拥有目的地址的节点。例如，设备可具有为了配置或管理的目的在ip地址1.2.3.4处运行的web服务器或其他服务器，并且在一些实施例中，可向流分布器将该地址注册为其内部ip地址。在其他实施例中，流分布器可以向设备集群600内的每个节点分配内部ip地址。可以直接转发从外部客户机或服务器(例如由管理员使用的工作站)到来的、定向到设备的内部ip地址(1.2.3.4)的流量，而不需要进行哈希。g.无客户机虚拟专用网络环境现在参考图7a，描绘了用于经由设备200或代理访问服务器的无客户机虚拟专用网络(vpn)环境的实施例。简要概述，客户机102在计算装置100上操作并执行由用户操作的浏览器。客户机102可以在诸如公共网络的第一网络104上。客户机102上的用户可以经由浏览器请求访问第二网络104'(例如企业的专用网络)上的资源。设备200向用户提供对所请求资源的无客户机vpn访问。客户机可能不安装、执行或以其他方式操作被构造和/或设计为向网络104'提供vpn连接(称为基于客户机的vpn)的任何代理、组件、程序、驱动器或应用。相反，设备或代理可以重写来自服务器的响应和来自客户机的请求以提供vpn功能，而无需使用在客户机上操作的vpn代理。例如，设备可以重写客户机和服务器之间的统一资源定位符(url)，例如服务器在任一内容服务器中的url或由客户机传输的请求中的url。设备200可以以对客户机和服务器中的任一者或两者透明且无缝的方式重写客户机和服务器之间的url。这样，客户机、浏览器或服务器和服务器应用无需了解或知道无客户机sslvpn访问场景。虚拟专用网络(vpn)可以是使用公共电信基础架构(诸如互联网)的任何网络，以为远程客户机、服务器或其他通信装置提供例如从公共网络到专用网络的访问或连接。虚拟专用网络(vpn)是一种使用公共电信基础架构(诸如互联网)为远程用户提供对企业或专用网络的访问的方法。在一些实施例中，访问经由加密或隧道是安全的。在一些实施例中，本文描述的中间装置提供从客户机的第一网络到服务器的第二网络的安全虚拟专用网络连接。安全套接字层(ssl)vpn可以使用ssl或tls或任何其他类型和形式的安全协议来建立具有安全级别的连接。在一些实施例中，sslvpn可以使用任何类型和形式的加密来建立或维持安全访问。可以经由诸如使用https(安全超文本传输协议)的浏览器来建立和/或访问sslvpn。可以由启用ssl的浏览器或应用来建立或提供sslvpn。可以通过使用基于客户机或无客户机的方法来建立或提供sslvpn连接或会话。基于客户机的sslvpn可以使用客户机102上的任何类型和形式的客户机代理或任何与软件相关的代理来建立sslvpn连接或会话。例如，可以经由下载到客户机(例如从设备下载)的sslvpn客户机代理来提供基于客户机的sslvpn。客户机代理可以被设计和配置为在客户机与设备或服务器之间建立并提供sslvpn功能、连接和访问。无客户机sslvpn可以是不使用被下载并安装在客户机102上的sslvpn客户机代理、软件或程序来建立sslvpn连接或会话的任意的sslvpn。在一些实施例中，无客户机sslvpn可以是不需要客户机102安装或执行预定软件或可执行文件的任意的sslvpn，该预定软件或可执行文件被设计和构造为提供sslvpn功能以便与另一个网络装置建立sslvpn连接。在一些实施例中，经由没有下载或不需要使用vpn或sslvpn客户机代理的启用ssl的浏览器来建立无客户机sslvpn。无客户机sslvpn连接或会话可以使用标准浏览器或应用(诸如启用ssl的浏览器)的协议和通信。可以由本文所述的中间装置或设备提供无客户机sslvpn连接或会话，该中间装置或设备在第一网络和第二网络之间翻译、重写或变换请求和响应的内容。设备200可以经由本文前面描述的sslvpn280模块提供用于访问资源的设施。在一个实施例中，设备200通过在客户机102上提供、安装或执行用于与设备200通信的sslvpn代理来提供对网络的基于客户机的访问。在一些实施例中，设备200提供对资源的无客户机sslvpn访问，诸如http/https/文件共享，而不必将sslvpn客户机或代理下载到客户机102。在一些实施例中，设备200使用客户机终端处的web浏览器提供对公司内部网资源、web应用、web服务器和/或web资源的远程访问。例如，用户可能希望从外部机器(例如自助服务终端)访问公司内部的资源，在该自助服务终端上，他没有权限来安装客户机或不想经受客户机安装过程。如果装置(例如，市场中的新pda)不支持sslvpn客户机，但装置运行启用ssl的浏览器，则无客户机sslvpn特征也很有用。在其他实施例中，设备200基于策略和任何策略规则、动作和/或条件在对资源的基于客户机的sslvpn访问和无客户机的sslvpn访问之间为用户进行选择。客户机可以包括任何类型和形式的用户代理，这些用户代理可以是浏览器、编辑器、爬虫器(网络遍历机器人)或任何其他终端用户工具或程序。客户机102可以包括任何类型和形式的浏览器。在一个实施例中，浏览器是由华盛顿州雷德蒙德市的微软公司制造的任一版本的internetexplorer。在另一个实施例中，浏览器是由网景通讯公司制造的任一版本的netscape浏览器。在其他实施例中，浏览器是由加利福尼亚的mozilla基金会提供并在www.mozilla.com上找到的称为firefox的任一版本的开源浏览器。在又一个实施例中，浏览器是由挪威奥斯陆的operasoftwareasa制造的称为opera的任一版本的浏览器。在一些实施例中，客户机102执行或包括用于显示网页、网页内容、html、xml、css(级联样式表)、javascript或http内容的任何类型和形式的应用或程序。在图7a所描绘的实施例的操作中，用户登录到设备200提供的sslvpn站点，例如设备200所托管的域名和ip地址。例如，用户经由客户机102的浏览器可以选择或输入到sslvpn站点的url。设备200可以验证用户，并且可以进一步确定用户访问设备200或sslvpn站点的权限。成功验证后，设备向客户机提供门户页面，以经由浏览器显示给用户。门户页面可以包括导航框，例如一个或多个用户界面元素的集合，供用户选择以操作或运行应用。门户页面可以包括指向用户可以访问的其他页面或url的链接。门户页面上的url或链接可以引用或标识由设备200提供的sslvpn站点的主机名或ip地址。用户经由门户页面可以选择一个或多个url，例如，通过点击激活超链接或url。作为响应，浏览器或客户机将请求传输到由设备200所托管的域。例如，如图7a所示，用户可以经由设备请求服务器106的应用：“https://sslvpn.x.com/cvpn/http/server.x.com/app.cgi”。在某些实施例中，用户发送另一个请求，例如“https://proxy.x.com/cvpn/http/server.x.com/app.cgi”。设备200从客户机102接收请求，并且重写该请求以传输到服务器。例如，如图7a所示，设备可以移除或剥离由设备所托管的域名，例如“sslvpn.x.com”或“proxy.x.com”，并将请求的其余部分转发给服务器106。响应于该请求，服务器将内容提供给客户机。响应的内容或主体可以包括指向服务器的其他页面或网络104'上的其他服务器的嵌入式链接或url，例如指向“http://server.x.com/app.cgi”的嵌入式链接。设备重写头部和主体以将任意url修改为引用sslvpn站点的域名或ip地址，以便经由客户机浏览器进行的任何其他url或链接选择都将请求传送给设备200。设备将修改后的内容传送至客户机102。设备200诸如经由appfw290(有时称为appsecure模块290)可以被设计和构造成基于策略引擎的策略来重写请求和响应的url。设备将该页面中的链接(url)以及在此sslvpn会话期间从服务器随后接收到的其他页面中的链接(url)进行修改，以使链接指向sslvpn站点(vpnvip275)并且原始请求url(绝对或相对)被编码在该请求url中。现在参考图11b，描绘了用于提供vpn访问以及cookie管理的vpn环境的另一实施例。简要概述，设备200可以包括vpn模块280，用于处理无客户机和/或基于客户机的任何sslvpn功能，如本文所述。设备和/或vpn模块280可以具有aaa模块，以执行任何类型和形式的验证、授权和计费(aaa)和/或跟踪和管理vpn会话信息。aaa模块还可以执行任何类型和形式的vpn会话外观(sessionlook)，以确定任何客户机请求的vpn会话。vpn模块还可以执行url解码，并将url转换为服务器格式，例如以提交给专用网络上的服务器。vpn模块280还包括dns查找功能和经由vpn处理器功能、逻辑或操作的授权。该设备可以包括cookie代理或cookie管理器，用于在客户机和服务器之间存储、跟踪和管理cookie。cookie可以包括cookie存储，称为cookie罐，用于添加或插入cookie以及移除cookie。cookie管理器或代理可以包括用于通过url、域名或请求和/或响应的其他信息在cookie罐中存储和查找cookie信息的功能、逻辑或操作。在一些实施例中，设备200代表不支持cookie的客户机、禁用的cookie或在可能希望或优选不向客户机发送cookie的情况下管理cookie。该设备还可以包括appfw280，其在由citrixsystems公司制造的设备的上下文中也称为appsecure。appsecure280模块可以包括用于执行任何类型和形式的内容重写(例如url重写)的逻辑、功能或操作。在一些实施例中，appsecure280模块执行对客户机和服务器之间的请求和/或响应中的任何类型和形式的内容注入。在一个实施例中，appsecure模块280将脚本(例如javascript)注入到对客户机的响应中，以执行任何类型和形式的期望功能。用于无客户机sslvpn访问的设备200的任何组件都可以例如经由策略引擎的任意一个或多个策略，来响应配置或由配置驱动。该策略可以指导和确定由vpn模块执行的url编码和解码的类型和形式。在一些实施例中，策略可以指导和确定cookie代理如何以及何时管理和代理cookie。在其他实施例中，策略可以指导和确定appsecure模块如何以及何时执行url重写和/或内容注入。策略可以指导用户访问专用网络和专用网络上的应用的方式。可以基于访问场景来配置策略，访问场景可以包括基于用户、客户机的类型和形式、网络的类型和形式、所访问的资源的类型、所使用的应用的类型、时间信息、以及可以由设备经由通过该设备的网络流量确定的任何信息的任意组合的访问。参考图11b，讨论了经由设备200的用于无客户机sslvpn访问的分组流。响应于成功的登录请求，vpn设备可以将门户页面发送到登录请求的发送者。如结合图7a所描述的，门户页面可以具有“vpn编码形式”的一个或多个链接。门户页面流经以下所述的响应代码路径。当用户点击门户页面中的任一url时，可以以多种方式并使用许多步骤来实现分组流。在一些实施例中，对于步骤q1处的请求路径，设备200可以接收url请求并在aaa模块中查找vpn会话。在步骤q2，设备可以将vpn编码的url解码为服务器或网络104'的期望url。设备还可以将请求的头部(例如头部值)修改为服务器格式，或用于服务器106(例如http服务器)传输和使用的格式。设备可以重新解析头部，以使设备的任何其他模块都能查看服务器格式的请求。在请求路径中的步骤q3处，设备可以经由cookie管理器或代理基于url的域和路径为请求查找cookie。在某些情况下，如果请求应包含cookie，则设备可以插入来自cookie罐中的cookie。在步骤q4，设备可以经由设备的dns查找功能/模块将url中存在的服务器的域名解析为服务器的ip地址。设备可以基于aaa模块中的dns查找来创建服务器信息。另外，可以评估授权策略以确定是否可以将请求传输到服务器。在步骤q5，设备可以将请求发送到服务器。在一些实施例中，如果授权成功，则设备将请求发送到服务器。在经由设备从服务器到客户机的响应路径中，在步骤s1，设备可以从服务器接收响应。vpn模块280可以处理响应。vpn模块可以将响应头部传递给cookie代理模块，并将响应主体传递给appsecure模块。在步骤s2，cookie代理可以从响应的头部中移除未被配置或以其他方式标识为客户机消耗的cookie的cookie，并将其存储在用于当前会话的cookie罐中。在步骤s3，appsecure模块可以根据重写策略以“vpn编码形式”重写任何url。appsecure模块还可以将任何脚本(例如要在客户机侧执行的javascript代码)插入响应主体中。在步骤s4，设备可以将修改后的响应发送给客户机。在许多实施例中，任何q或s步骤以任何顺序或与本文描述的任何其他步骤或实施例以任何组合发生。h.用于配置和细粒度策略驱动的web内容检测和重写的系统和方法现在参考图4，示出了用于配置和策略驱动的web内容检测和重写的系统的视图。简要概述，该系统包括与设备200通信的客户机102。在一个实施例中，设备200包括策略引擎236、sslvpn模块280、url重写器830和数据库440。在另一实施例中，策略引擎还包括无客户机策略805、基于客户机的策略410和一个或多个访问配置文件815a-815n(通常称为访问配置文件815)。设备200与服务器106通信。在一个实施例中，一个或多个应用820a-820n(通常称为应用820)在一个或多个服务器106上执行。客户机102传输url请求801，该url请求801在设备200处被拦截。设备200修改请求801，并将修改后的请求801'转发给服务器106。在一个实施例中，由客户机102传输的请求801包括由设备提供的针对sslvpn站点的url链接。在另一个实施例中，请求801是针对sslvpn外部的站点的url请求。在又一个实施例中，请求801包括访问sslvpn所需的验证数据。在又一个实施例中，在成功验证到sslvpn之后，响应于用户访问在客户机处接收到的门户页面上的链接来传输请求801。在一些实施例中，请求801包括以下一个或多个的url：网页、静态图像、动画图像、音频文件和视频文件。在一些实施例中，请求801包括url，该url访问存储在安全网络上的一个或多个服务器106上的资源、应用或服务。该请求可以包括用于访问资源、应用或服务的url，该url不同于但与被访问的服务器106识别或接受的url相关联。在一些实施例中，来自客户机102的请求在被转发到服务器106之前被重写、修改或变换。在一些实施例中，包括在请求801中的url可以是一般形式：<schemename>:<hierarchicalpart>[？<query>][#<fragment>]方案名称通常标识与url相关联的协议。方案名称可以包括但不限于以下各项：http(超文本传输协议)、https(安全http)、aaa(直径协议(diameterprotocol))、aaa(安全aaa)、dns(域名系统)、imap(互联网消息访问协议)、ftp(文件传输协议)、ldap(轻型目录访问协议)、news(新闻组协议)、telnet(电信网络协议)、nntp(网络新闻传输协议)和pop(邮局协议)。url可以包括任何类型和形式的url或与url相关的文本的部分，例如：“http://www.xyz.com/xyz/xyzpage.htm”或“ftp://ftp.xyz.com/xyz/xyztext.txt”、“ldap://[1985:db8::7}/f＝gb？objectclass？one。”分级部分旨在本质上保持标识信息分级。在一个实施例中，分级部分以双正斜杠(“//”)开始，其后是权限部分。在一些实施例中，分级部分包含在网络上定位资源的路径信息。在另一个实施例中，权限部分包括主机名。在又一个实施例中，权限部分包括以“@”结尾的可选用户信息部分(例如，username:password@)。在一个实施例中，查询部分包括本质上不分级的信息。在另一个实施例中，片段部分包括允许间接标识辅助资源的附加标识信息。设备200可以拦截url请求801，并将该请求传递给sslvpn模块280。在一个实施例中，与策略引擎236通信的sslvpn模块280决定是否重写url。在一些实施例中，url重写策略可以被配置为提供期望的粒度。在具有更细粒度级别的这些实施例之一中，ssnvpn模块280响应于由策略引擎236提供的策略来决定是否向请求访问sslvpn的客户机102授予无客户机访问或基于客户机的访问。在一些实施例中，ssnvpn模块基于策略805或410的一个或多个条件来决定无客户机访问或基于客户机的访问。在这些实施例之一中，客户机102可以是不允许用户下载sslvpn客户机的机器。在这些实施例的另一个中，客户机102是不支持sslvpn客户机但是能够运行启用ssl的浏览器的装置。在这些实施例中的又一个中，sslvpn模块280可以基于以下中的一个或多个来执行端点扫描，以确定客户机102不支持基于客户机的策略410：不兼容的操作系统、防火墙和防病毒软件。在一些实施例中，设备200基于请求801的任何部分来识别策略。请求801可以包括指示或帮助指示设备200将要识别或选择的策略的部分。在一些实施例中，设备200基于网络分组的头部来识别策略。在其他实施例中，设备200基于网络分组的有效载荷部分来识别策略。在其他实施例中，设备200基于另一策略来识别策略。在一个实施例中，设备200可以基于所识别的策略充当透明代理。在一些实施例中，设备200根据网络的安全状况在策略之间切换以准予无客户机访问或基于客户机的访问。通过示例的方式，在一个实施例中，如果未检测到防病毒软件或防火墙的存在，则设备200可以识别用于授予无客户机访问的策略，但是一旦检测到防病毒软件或防火墙是运行的，则切换到基于客户机的模式。设备200可以基于来自请求的任何细节、信息或指示来识别策略。在一些实施例中，设备200基于客户机102上已发送请求的用户来识别策略。例如，可以指定用户使用无客户机sslvpn会话而不是基于客户机的sslvpn会话，反之亦然。在另外的实施例中，设备200基于客户机102已经从服务器106请求的应用、资源或服务来识别策略。例如，客户机仅使用基于客户机或无客户机的sslvpn会话来访问一些应用。在进一步的实施例中，设备200基于关于客户机102的信息来识别策略。关于客户机的信息可以包括客户机与服务器106或相关服务器的交互的历史、客户机访问服务器106上的特定资源的许可、客户机访问服务器106上的特定资源的验证或任何其他与客户机到服务器的交互相关的信息。在一些实施例中，设备200基于客户机102正在访问的服务器106来识别策略。例如，某些服务器可能使用或提供基于客户机的sslvpn会话，而其他服务器可能使用或提供无客户机sslvpn会话。在一些实施例中，策略的识别是基于与请求801相关联的网络分组的任意部分。在一些实施例中，设备200基于一个或多个正则表达式或regex来识别策略。在其他实施例中，将客户机的请求与任意数量的regex进行匹配或进行比较，regex可以包括任意数量的字符、字符串、文本部分、或url部分，用于识别策略或识别特定url或请求的部分。基于来自客户机的请求的部分和regex之间的匹配或比较的结果，设备200可以识别策略。在一个实施例中，无客户机策略805可以被配置为提供期望的粒度级别。在一实施例中，可基于用户配置文件来配置无客户机策略805。在另一实施例中，可以基于用户或一组用户来配置策略805。在一些实施例中，可以基于网络类型、ip地址和请求类型中的一个或多个来配置策略。在一些实施例中，基于客户机正在请求或正在访问的应用、资源或服务来配置策略805。在其他实施例中，基于其他策略来配置策略805。在其他实施例中，多个策略可以在逻辑上分组在一起。在一个实施例中，通过诸如appfw290(也称为appsecure)的应用编程接口(api)来完成配置。在其他实施例中，命令行界面(cli)命令用于配置sslvpn的无客户机策略805。在这些实施例之一中，诸如以下的cli命令用于全局配置无客户机sslvpn：setvpnparameter–clientlessvpnmodeon在这些实施例的另一个中，无客户机sslvpn经由会话动作提供更细的粒度。在一个实施例中，以下cli命令可用于在会话动作中启用无客户机sslvpn：addvpnsessionaction<actionname>-clientlessvpnmodeon在一些实施例中，无客户机sslvpn策略805被配置为指定url编码机制。在这些实施例之一中，无客户机策略805被配置为使用以下cli命令在全局级别上指定url编码机制：setvpnparam–clientlessmodeurlencoding(opaque|transparent|encrypt)在一个实施例中，“不透明”模式涉及对url的主机名部分的编码，使得用户看不到明文形式的主机名。在另一个实施例中，“透明”模式不涉及编码，以使得用户可以看到正在访问哪个主机。在又一个实施例中，用户可以在“透明”模式下看到主机名和url的路径信息。在又一实施例中，“加密”模式涉及对url的一个或多个部分的加密。在一个实施例中，主机名和路径信息在“加密”模式下被加密。在另一个实施例中，使用对称加密机制的会话密钥来完成加密。在其他实施例中，可以使用对本领域技术人员显而易见的多种加密机制来完成加密。在一些实施例中，url编码机制特定于会话策略。在这些实施例之一中，url编码机制可以被配置为特定于用户。在这些实施例的另一个中，url编码机制可以被配置为特定于组。在这些实施例的又一个中，url编码机制可以被配置为特定于虚拟服务器(vserver)。在一个实施例中，可以将url配置为特定于会话策略，作为会话策略动作中的参数。这可以使用诸如以下cli命令来实现，诸如：addvpnsessionaction<actionname>-clientlessmodeurlencoding(opaque|transparent|encrypt)在一些实施例中，使用一个或多个访问配置文件815利用无客户机策略805在无客户机sslvpn中提供更精细的粒度。在一个实施例中，访问配置文件815包括重写标签以指示重写器830关于重写策略。重写策略可以包括从通过设备200的服务器106或客户机102的内容或传输中重写或修改每个url的指令。例如，针对特定url的重写策略可以提供从客户机102或服务器106的内容中重写、覆盖、修改或添加url的任何部分的指令。在一些实施例中，重写策略可以提供从客户机102或服务器106的内容中排除或剪切url的任何部分的指令。在另一个实施例中，访问配置文件815包括用于检测url的模式类(称为patclass)。在又一个实施例中，patclass由正则表达式(regex)组成或包括正则表达式(regex)。正则表达式可以包括用于检测通过设备200的一个或多个url的字符、数字和符号的任意组合。在一些实施例中，regex包括用于检测由服务器106发送到客户机102的内容中的一个或多个特定url的url的一个或多个部分或片段或者url的一部分。在进一步的实施例中，正则表达式包括用于与特定类型的内容中的一个或多个url进行匹配或检测的文本、脚本、字符和数字。该内容可以是由服务器106响应于客户机102的请求而提供给客户机的任何类型和形式的内容。在又一个实施例中，regex包括一组键组合，以促进对url的搜索字符串的各种控制。在另一实施例中，访问配置文件815包括一个或多个patclass，其包含要传递给客户机的cookie的名称。在一个实施例中，可以使用诸如以下的cli命令来创建访问配置文件：setvpnclientlessaccessprofile<profilename>[-urlrewritepolicylabel<string>][-javascriptrewritepolicylabel<string>][-reqhdrrewritepolicylabel<string>][-reshdrrewritepolicylabel<string>][-regexforfindingurlinjavascript<string>][-regexforfindingurlincss<string>][-regexforfindingurlinxcomponent<string>][-regexforfindingurlinxml<string>][-clientconsumedcookies<string>]在另一个实施例中，访问配置文件815被链接到无客户机访问策略805以提供精细的粒度。在又一个实施例中，使用诸如以下的cli命令将无客户机访问策略805链接到访问配置文件815：addvpnclientlessaccesspolicy<policyname><rule><vpnclientlessaccessprofile>如果规则评估为true，则访问策略815选择访问配置文件815。在一些实施例中，访问配置文件815与多个应用820a-820n(通常称为应用820)中的一个或多个相关联。例如，访问配置文件815可以被配置为预定的应用820。在一个实施例中，可以为一组应用820配置一个全局访问配置文件。在另一实施例中，每个应用820可以具有与其相关联的单独的访问配置文件815。在又一个实施例中，与应用820a相关联的访问配置文件815被用于应用820a的所有版本。在又一个实施例中，可以存在与应用820a的每个版本相关联的单独的访问配置文件。在一些实施例中，可以存在与另一个访问配置文件815相关联的一个或多个访问配置文件815。在其他实施例中，访问配置文件可以特定于用户、应用、一组用户和一组应用中的一个或多个。在其他实施例中，可以根据对于本领域技术人员显而易见的期望的粒度级别来配置访问配置文件815。在一个实施例中，应用820是电子邮件应用，包括但不限于由华盛顿州雷德蒙德的微软公司制造的outlookwebaccess(owa)2003和owa2007。在另一个实施例中，应用820可以是文档管理平台，例如由华盛顿州雷德蒙德的微软公司制造的sharepoint2007。在其他实施例中，应用820可以是本领域技术人员显而易见的任何其他软件或程序。在图4中，所有应用820被示为在服务器106上执行。在其他实施例中，应用820可以在不同的服务器上执行。在其他实施例中，应用820可以在逻辑分组的服务器机群的一个或多个服务器上执行。在一些实施例中，sslvpn无客户机策略805被绑定到一个或多个vpn实体。在一个实施例中，无客户机策略805被绑定到vpn全局。在另一个实施例中，无客户机策略805被绑定到vpn虚拟服务器。在又一个实施例中，无客户机策略805被绑定到验证、授权和计费(aaa)协议的用户。在又一个实施例中，无客户机策略805被绑定到aaa组。在一些实施例中，使用诸如以下的cli命令将无客户机策略805绑定到vpn实体：bind<entity>-policy<clientlessaccesspolicyname>-priority<pri>在一个实施例中，sslvpn模块280与url重写器830通信，以通知url重写器830关于从策略引擎236获得的重写策略。在另一实施例中，url重写器直接与策略引擎236通信以获得重写策略。重写策略可以包括用于变换、修改或覆盖由服务器106或客户机102传输的任何特定url的指令或指导。在一些实施例中，重写策略提供用于将特定url修改或重写为另一url的指令或指导。修改、改变或变换可以包括重写、覆盖、剪切和粘贴、加密、替换或以其他方式变换特定url或特定url的任何部分的任意组合。在一些实施例中，重写器830重写请求801中的url，并将修改后的url转发到服务器106。在一个实施例中，重写器830重写除了文件的扩展类型之外的整个url，以允许浏览器导出mime类型。在另一个实施例中，重写器830重写主机名以使该主机名成为sslvpn站点下的子目录。在又一个实施例中，重写器重写绝对url，同时保持相对url不变。在又一个实施例中，重写器830重写主机名和相对url。重写器830可以以多种方式中的一种或多种方式进行重写。在一个实施例中，重写器830在诸如http://www.sslvpn.com的sslvpn站点下将诸如http://www.unencoded_url.com的url编码为http://www.sslvpn.com/9oatj。在另一个实施例中，重写器830使用一些会话密钥来对称地加密和解密url。url的这种加密被称为混淆。在一个实施例中，重写器830不对文件扩展类型和/或sslvpn主机名进行加密。在另一实施例中，重写器830对路径信息进行加密以屏蔽服务器处的目录结构。在一个实施例中，用于加密和解密的密钥由sslvpn模块提供。在另一个实施例中，使用会话id来导出密钥。举例来说，urlhttp://www.unencoded_url.com/testsite/contents/file5.html被加密为另一个url，例如：https://svpn.mysite.com/eurl/whhyghfgdyonfdnv9898aaf.html。在一个实施例中，可以使用已知的编码和解码方案，以便于为将来的sslvpn会话标记url。在另一个实施例中，重写器830使用可逆变换来重写用于sslvpn站点的原始url。在这样的实施例中，可以容易地从重写的url中提取原始url。举例来说，urlhttp://www.xyz.com/htmil/index.html可以被重写为url：/cvpn/http/www.xyz.com/html/index.html。中间装置200可以将访问配置文件、策略、规则和动作中的任一个应用于通过中间装置200的任何粒度级别的网络流量的部分或子集。基于配置，粒度级别可以从精细到粗糙。可以定义或指定本文描述的访问配置文件、规则和策略的规则的逻辑、标准或条件，以应用于经由设备200传输的网络流量或传输的任何期望的子集或部分。在一个方面，粒度级别是指配置可以适用的网络流量部分的程度、度量、细度或粗度。在非常广泛或粗糙的配置粒度中，访问配置文件、规则或策略可以适用于所有网络流量。在非常精细的粒度配置中，访问配置文件或策略可以适用于特定用户的网络流量的特定子集，例如特定用户的特定应用的流量或流量的部分。在一些粒度配置中，访问配置文件、策略或规则适用于向服务器发送请求的任何客户机102。策略、规则或访问配置文件可以被定义为寻址或适用于任何客户机102，并且可以基于客户机102的任何配置或与客户机102有关的信息，例如客户机102请求的一部分。类似地，策略、规则或访问配置文件可以被定义为寻址或适用于任何服务器106，并且可以基于客户机106的任何配置或与服务器106相关的信息，例如服务器106响应的一部分。在一些粒度配置中，访问配置文件、策略或规则被定义为适用于客户机102用来经由设备200连接到服务器106的特定会话或连接。在其他实施例中，访问配置文件、策略或规则被定义为适用于经由sslvpn会话或连接而连接的任何客户机102。在其他实施例中，访问配置文件、策略或规则被定义为适用于经由无客户机sslvpn会话或连接而连接的任何客户机102。在其他实施例中，访问配置文件、策略或规则被定义为适用于经由基于客户机的sslvpn会话或连接而连接到的任何客户机102。在又一些实施例中，访问配置文件、策略或规则被定义为适用于向特定服务器106发送请求的任何客户机102或客户机会话。在又一些实施例中，访问配置文件、策略或规则被定义为适用于请求服务器上的特定应用或资源的任何客户机102或客户机会话。在其他实施例中，例如，如果启用或禁用了cookie，则基于cookie配置，将访问配置文件、策略或规则定义为适用于任何客户机102或客户机会话。在又一些实施例中，访问配置文件、策略或规则被定义为适用于发送包括特定url或特定url的一部分的请求的任何客户机102或客户机会话。在又一些实施例中，基于由客户机102发送的请求的一部分与访问配置文件、策略或规则的短语或关键字之间的匹配，将访问配置文件、策略或规则定义为适用于任何客户机102或客户机会话。在一些实施例中，基于与访问服务器106的客户机102有关的信息，将访问配置文件、策略或规则定义为适用于任何服务器106或服务器会话。该信息可包括客户机102的请求的一部分或特征、客户机102的设置或配置、或任何其他客户机102相关信息。在一些实施例中，基于服务器106的配置或服务器106正传输到客户机102的内容的特征，将访问配置文件、策略或规则定义为适用于任何服务器106或服务器会话。现在参考图9，示出了描绘在设备200处采取以执行url重写的方法900的实施例的步骤的流程图。设备200从客户机上的浏览器接收url请求(步骤910)。驻留在设备200上的sslvpn模块280经由策略确定是提供对sslvpn的无客户机访问还是基于客户机的访问(步骤915)。策略引擎236进一步确定是否存在与该请求相关联的访问配置文件815(步骤920)。驻留在设备200上的url重写器830响应于访问配置文件和/或策略来重写url(步骤925)。设备200将修改后的请求转发到服务器106(步骤930)。在一个实施例中，设备200通过网络104从客户机接收url请求(步骤910)。在另一实施例中，设备200可以驻留在客户机机器102上。在一个实施例中，客户机的请求(例如请求801)响应于用户访问由设备200提供的门户页面在设备200处接收到。该请求可以包括任何类型和形式的内容。在一些实施例中，url请求包括任意数量的url。在进一步的实施例中，url请求包括关于客户机102上的用户的信息。在再进一步的实施例中，url请求包括关于客户机102的信息，例如客户机的网络连接的安全级别、客户机的安全特征、用户特征或与客户机有关的任何其他类型和形式的信息。在其他实施例中，url请求包括关于服务器106的信息，客户机102正在从该服务器106请求访问信息、服务或资源。设备200可以经由策略引擎236提供的策略来确定是提供对sslvpn的无客户机访问还是基于客户机的访问(步骤915)。无客户机或基于客户机的sslvpn会话可以是客户机102与服务器106之间经由设备200的会话、客户机102与设备200之间的会话、或者设备200与服务器106之间的会话。在一个实施例中，由策略引擎236提供的无客户机策略805是可配置的。在一个实施例中，由策略引擎236提供的基于客户机的策略410是可配置的。在另一个实施例中，还可以配置确定给予无客户机访问还是基于客户机的访问的策略。在一个实施例中，可以基于请求801的一部分来进行确定。在另一实施例中，如果客户机不具有支持基于客户机的访问的许可或资源，则进行提供无客户机访问的确定。在又一个实施例中，设备始终确定提供无客户机访问。在又一个实施例中，基于以下中的一个或多个来进行无客户机访问和基于客户机的访问之间的确定：请求801的网络分组、网络状况、客户机的操作系统及其版本、防火墙、在客户机上运行的反病毒软件和客户机的浏览器。在一些实施例中，设备200基于客户机102请求的应用来识别指示是建立基于客户机的sslvpn会话还是建立无客户机sslvpn会话的会话策略。在进一步的实施例中，设备基于来自客户机102的请求的url来识别指示是建立基于客户机的sslvpn会话还是建立无客户机sslvpn会话的会话策略。用于识别会话策略的url可以由访问配置文件815或访问配置文件815的regex检测和识别。在一些实施例中，设备200基于客户机102上的用户来识别会话策略，该会话策略指示是建立基于客户机的sslvpn会话还是建立无客户机sslvpn会话。客户机102上的用户可能具有特殊权限或约束，设备200根据该配置为用户认出并识别基于客户机或经由无客户机sslvpn会话的会话策略。在一些实施例中，设备200基于与客户机102有关的信息来识别指示是建立基于客户机的sslvpn会话还是建立无客户机sslvpn会话的会话策略。在一些实施例中，该信息可以包括客户机102的标识，诸如互联网协议(ip)地址、主机名、客户机102通过其发送请求的网络名称、客户机102的互联网提供商的名称、或任何其他与客户机102相关的信息。在一些实施例中，设备200基于由客户机102的请求所标识的服务器，识别指示建立基于客户机还是无客户机sslvpn会话的会话策略。在又一些实施例中，设备200基于客户机102请求的服务器106的资源或服务的类型来识别指示建立基于客户机还是无客户机sslvpn会话的会话策略。在又一些实施例中，设备200基于客户机102请求的服务器106的特定资源或服务来识别指示建立基于客户机还是无客户机sslvpn会话的会话策略。在一些实施例中，访问配置文件815与请求801相关联。在一个实施例中，策略引擎236确定应当为请求801调用哪个访问配置文件(步骤920)。可以基于会话策略的标识或基于客户机102的请求来调用访问配置文件815。在一个实施例中，确定是基于请求801的一部分。例如，设备200从请求的头部和/或主体的一部分确定要使用的策略805或410和/或要使用的访问配置文件815。在一些实施例中，基于访问配置文件815的regex来识别访问配置文件815。在进一步的实施例中，将访问配置文件815的regex与来自客户机的请求的url或url的一部分进行匹配，并且响应于匹配，识别匹配的regex的访问配置文件815。在另一实施例中，访问配置文件的确定是基于由url请求801请求的应用820。在又一实施例中，策略引擎确定为请求801调用多于一个访问配置文件815。在一个实施例中，访问配置文件815提供重写策略给重写器830。在另一个实施例中，访问配置文件提供解析请求以检测url的策略。在一些实施例中，存在内置的默认配置文件。在这些实施例之一中，如果访问策略未选择任何其他配置文件，则选择默认配置文件。在一个实施例中，驻留在设备200上的url重写器如策略引擎所指示的那样重写url(步骤925)。在另一个实施例中，重写策略存在于访问配置文件815中。重写策略可以是访问配置文件815的一部分，该访问配置文件815是通过将regex与客户机请求的url或url的一部分进行匹配来识别的。在又一个实施例中，重写策略作为单独的实体存在于策略引擎中。在一些实施例中，重写策略指定要重写什么类型的内容。内容类型通常可以称为变换类型。在一个实施例中，变换类型是url。在另一个实施例中，变换类型是文本。在又一个实施例中，变换类型是http请求(http_req)。在又一个实施例中，变换类型是http响应(http_res)。在一个实施例中，可以使用诸如以下的cli命令将重写策略添加到现有策略中：addrewritepolicylabel<labelname><transform>在另一个实施例中，可以使用诸如以下的cli命令以更大的粒度指定重写动作：addrewriteaction<action-name>clientless_vpn_encode/clientless_vpn_decode/clientless_vpn_encode_all/clientless_vpn_decode_all<target>设备200将修改后的请求转发至服务器106(步骤930)。在一个实施例中，设备200通过网络104'将修改后的请求转发至服务器106，该网络104'可以与客户机和设备之间的网络104基本相同或不同。在另一实施例中，设备200经由一个或多个中间设备200’(未示出)转发修改后的请求。现在参考图10，示出了描绘通过设备从服务器传输到客户机的服务器响应和修改后的服务器响应的实施例的框图。简要概述，服务器响应1001经由网络104’从服务器106传输到设备200。设备200通过重写服务器响应1001中的url来修改服务器响应1001。然后，经由网络104将修改后的响应1001'传输到客户机102。响应于服务器106从设备200接收到修改后的请求801’(未示出)，从服务器106传输服务器响应1001。服务器响应1001可以是对任何客户机102的传输或请求的任一响应。在一些实施例中，服务器响应1001是对请求801的响应。服务器响应1001可以包括以下资源中的一个或多个：静态图像、动画图像、音频文件和视频文件。在这些实施例之一中，静态图像是光栅图形格式，例如gif、jpeg或png。在这些实施例的另一个中，静态图像是矢量格式，例如svgflash。在又一个实施例中，动画图像是动画gif图像、javaapplet或shockwave图像。在又一个实施例中，音频文件可以是包括midi、wav、m3u和mp3在内的多种格式中的一种。在另一个实施例中，视频文件可以是包括wmv、rm、flv、mpg和mov在内的多种格式中的一种。在一个实施例中，服务器响应1001可以包括交互式文本、插图和按钮。在一些实施例中，服务器响应1001的一个或多个资源由url标识。在一个实施例中，使用诸如xml、html或xhtml的标记语言来创建一个或多个url1005。在另一实施例中，服务器响应1001中的一个或多个url1010包括级联样式表(css)和元数据。在又一实施例中，服务器响应1001中的一个或多个url1020包括诸如javascript或ajax的脚本。在又一实施例中，服务器响应1001中的一个或多个url(1015)包括使用用户界面(ui)语言编写的组件(xcomponent)。设备200识别服务器响应1001中的各种url1005、1010、1015、1020，并且根据由策略引擎236所指定的重写策略，例如经由访问配置文件，来重写、修改或变换url。可以使用正则表达式来识别或检测服务器响应1001中的各种url，该正则表达式可以与各种url中的任一url的部分匹配。在一个实施例中，修改后的服务器响应1001'然后通过网络104传输到客户机102。在另一实施例中，修改后的服务器响应1001'包括通过修改标记语言url1005而创建的url1005'。在另一实施例中，修改后的服务器响应1001'包括通过修改cssurl1010创建的url1010'。在又一实施例中，修改后的响应1001'包括通过修改xcomponenturl1015创建的url1015'。在另一实施例中，修改后的响应1001'包括通过重写javascripturl1020创建的url1020'。在其他实施例中，修改后的响应可以包括对本领域技术人员显而易见的其他组件、脚本和对象。在一个实施例中，设备200可以将服务器响应1001中不存在的内容注入修改后的响应1001'中。在另一个实施例中，修改后的响应1001’可以与服务器响应1001基本相同。现在参考图11，示出了描述用于通过设备来修改或重写服务器响应上的一个或多个url的方法的实施例的步骤的流程图。设备200接收服务器响应1001(步骤1110)。策略引擎确定服务器响应1001中存在的内容的类型，并且经由访问配置文件815确定如何检测内容中的url(步骤1115)。策略引擎还经由访问配置文件确定如何重写url(步骤1120)。重写器830重写url(步骤1125)，并且设备200将修改后的响应转发到客户机102(步骤1130)。在一个实施例中，服务器响应1001包括不同类型的内容。在一个实施例中，服务器响应包括使用诸如可扩展标记语言(xml)、超文本标记语言(html)或可扩展html(xhtml)的标记语言创建的内容。在另一个实施例中，服务器响应1001包括级联样式表(css)和元数据。在又一个实施例中，服务器响应1001包括诸如javascript或ajax的脚本。在又一个实施例中，服务器响应1001包括使用用户界面(ui)语言编写的组件(xcomponent)。在其他实施例中，服务器响应可以包括对于本领域技术人员显而易见的文件、对象、图像、视频和交互式内容。在一些实施例中，服务器响应1001包括由客户机102请求的服务器提供的应用。在其他实施例中，服务器响应1001包括由客户机102请求的任何资源或服务。在一个实施例中，在设备处通过网络104’接收服务器响应1001(步骤1110)。在另一实施例中，服务器响应1001包括由一个或多个url标识的一个或多个资源。服务器响应可以包括如参考图6详细描述的多个资源中的一个或多个资源。设备200与策略引擎236通信，确定响应1001中存在的内容的类型(步骤1115)。在一个实施例中，通过解析响应并检测内容的类型的存在来完成确定。在另一实施例中，通过将搜索字符串模式类(patclass)与响应1001进行匹配来完成确定。在一个实施例中，设备200检测所确定的内容类型中嵌入url的存在。在另一个实施例中，url检测是经由一组被称为正则表达式(regex)的键组合来完成的，以促进对搜索字符串的各种控制。在一些实施例中，regex被嵌入无客户机访问配置文件815内。regex可以包括可以用于与服务器内容的任何部分匹配以检测或识别一个或多个url的任何字符、数字和符号的任意组合。在一个实施例中，访问配置文件815包括用于检测javascript形式的url的regex。在另一实施例中，访问配置文件815包括用于检测css形式的url的regex。在又一个实施例中，访问配置文件815包括用于检测xcomponent形式的url的regex。在又一个实施例中，访问配置文件815包括regex，该regex用于检测采用诸如xml的标记语言形式的url。访问配置文件815可以包括一个或多个regex和重写策略，用于检测或识别特定url以及重写或修改所识别的特定url。在一个实施例中，可以使用诸如以下的cli命令在访问配置文件815内指定regex：[-regexforfindingurlinjavascript<string>]在一些实施例中，用户可以定义规则以检测设备未识别的内容中的url。在其他实施例中，用户可以指定regex以检测所识别的内容类型内的url。重写器830可以根据策略引擎236所指定的策略来重写所检测的或识别的url(步骤1125)。在一些实施例中，重写器830使用来自访问配置文件815的一个或多个重写策略来重写经由来自访问配置文件815的regex检测或识别的url。在一个实施例中，重写策略被嵌入在访问配置文件815中。在另一实施例中，用于响应的重写策略可以与用于请求的重写策略不同。在又一个实施例中，用于响应和请求的重写策略可以基本相同。在又一个实施例中，响应1001的主体由诸如appfw290的应用编程接口解析。在一个实施例中，通过使用诸如以下的cli命令将管理重写的策略添加到策略引擎236：addrewritepolicylabel<string>]在另一个实施例中，策略引擎指定重写器830传递某些url而无需重写。在又一个实施例中，可以通过在重写策略中对多个条件进行逻辑分组来提供精细的粒度。举例来说，细粒度的重写策略可以由诸如以下的cli命令表示：addrewritepolicyns_cvpn_default_abs_url_pol‘(url.startswith(“http://”)||url.startswith(“https://”))&&！url.hostname.server.startswith(“schemas.”)&&！url.hostname.domain.contains_any(“ns_cvpn_default_bypass_domain”)’ns_cvpn_default_url_encode_act在该示例中，策略ns_cvpn_default_abs_url_pol用于重写服务器名称不是“schemas”并且域与ns_cvpn_default_bypass_domainpatclass中指定的任何域都不匹配的所有绝对url。在一些实施例中，重写在客户机102处执行。在这些实施例之一中，设备200将javascript代码插入要在客户机102′处执行的修改后的响应1001′中。在这些实施例中的另一个中，针对设备200不能识别为url的部分响应调用客户机侧重写。在其他实施例中，重写策略可以被配置为处理服务器响应1001中的压缩内容。接下来通过示例描述一些cli命令。在一个实施例中，管理员可以指定如何使用诸如以下的cli命令来识别诸如owa2007的应用：addvpnclientlessaccesspolicyowa_2007_pol‘http.req.url.path.get(1).eq(″owa2007″)′ns_cvpn_owa_profile在另一个实施例中，可以通过使用诸如以下的cli命令将该策略绑定到vpnglobal来全局激活该策略：bindvpnglobal-policyowa_2007_pol-priority10在一个实施例中，将存在用于outlookwebaccess的内置配置文件ns_cvpn_owa_profile，并且该配置文件将适用于owa2003和owa2007。在另一实施例中，将存在默认的无客户机访问策略ns_cvpn_owa_policy，如果默认url(/exchange，/owa，/exchweb和/public)用于提供outlookwebaccess，则该默认的无客户机访问策略将选择owa配置文件。在又一个实施例中，将存在用于无客户机访问的内置通用配置文件ns_cvpn_default_profile，如果其他无客户机访问策略均未选择任何其他配置文件，则将选择此配置文件。该默认配置文件将允许无客户机访问任何使用标准html且不使用javascript创建url的网站。设备200可以将修改后的响应1001′转发至客户机102(步骤1130)。在一些实施例中，设备200将任意数量的修改后的响应1001′转发至任意数量的客户机102。在进一步的实施例中，设备200将服务器响应1001转发至客户机。在又一些实施例中，设备200将修改后的响应1001′转发到客户机102，该修改后的响应1001′被修改或变换为包括服务器响应1001的所有内容，其中包括对特定url(例如url1005、1010、1015和1020)的改变或修改。修改后的响应1001'的内容可以包括响应1001的任何部分，以及使用一个或多个regex识别或检测并使用访问配置文件815的重写策略进行修改或重写的修改后的url。i.经由中间设备访问服务器上托管的应用的系统和方法企业可以在云上和在集中式数据中心处托管各种应用，以为整个网络中的各种客户机提供服务。以这种方式托管可能会导致公共云和私有云以及本地数据中心的混合部署。结果，这些应用可能依赖于云和/或数据中心上的共享服务，例如目录和数据库。为了获得对应用的访问，客户机可以连续多次进行身份验证，对应用进行一次身份验证，然后对本地数据中心进行一次身份验证。这样的应用可以包括软件即服务(saas)应用。软件即服务可以是一种软件许可和交付模型，在该模型中，软件是集中托管的，并在订阅的基础上许可给客户(例如，企业)。企业可以与其供应商订阅saas应用，以向其终端用户提供对该应用的访问。为了通过单个统一门户提供对托管在云和本地数据中心上的应用(例如，saas应用)的远程访问，企业可以部署中间装置(例如，网络网关或服务节点等)以充当云托管的应用和数据中心托管的应用之间的桥梁。在这样的环境中，客户机可以在中间装置处进行验证。中间装置继而可以利用企业的验证服务来检验所提供的证书。在成功的验证之后，中间装置可以合并所有云托管的应用和企业管理员可能为客户机提供的数据中心托管的应用。然后，中间装置可以在单个统一门户中(例如，使用web链接)向客户机的用户呈现云托管和数据中心托管的应用。以这种方式，客户机的用户可以从门户访问应用，而无需针对每个应用进行验证或登录。通过充当提供者，装置可以针对每个应用执行单点登录(例如，代表用户)，并且可以经由验证协议(例如安全断言标记语言(saml)断言)来联合身份。对于数据业务流，中间装置可以充当用于由数据中心通过企业的专用网络提供的应用的安全套接字层虚拟专用网络(sslvpn)服务器。另外，中间装置可以充当用于云托管的应用的透明代理服务器。在这种架构下，中间装置可以将云托管的应用和企业的数据中心托管的应用合并到单个统一门户中，并且可以为企业的每个应用执行单点登录。这种架构引起的一种情况可以包括在没有在客户机上安装代理(例如，本地客户机组件或vpn插件等)的情况下，在单点登录后通过中间装置代理和隧道传输应用的网络数据流量。结果，没有这种代理的客户机可能无法通过web浏览器访问web应用以无缝访问这样的应用。此外，某些类型的客户机装置(例如，移动装置)可能不能被配置为具有vpn插件。中间装置可以被配置为重定向在客户机上运行的web浏览器以重定向到应用的直接web链接。直接web链接可以允许应用的所有其他网络流量流绕过中间装置，以使该流可以在客户机和服务器之间。该配置可以允许客户机访问基于云的应用，因为这样的应用可以通过公共互联网协议(ip)地址直接访问，而无需中间装置代理数据流量。与通过中间装置相反，使流量直接在客户机到服务器之间流动可能会带来某些缺点，例如：无法通过分组检查、异常值检测和流量记录为企业提供安全性和可见性；以及无法获得有关到企业的数据流量的各种统计信息、使用模式和安全参数。此架构还可以允许中间装置充当云访问安全代理(casb)，该代理可以充当中央授权和策略实施点，以为客户机的用户提供对基于saas的应用的访问。以这种方式，可以消除在托管基于saas的应用的服务器处的casb或其他安全机制的部署。在客户机处没有安装代理的情况下，可以动态地重写http请求和响应中存在的url，以通过中间装置引导应用的数据流。在不重写url来引用中间装置的情况下，数据流可能最终直接进入托管应用的云服务器。这样，对提供给客户机的用户的web链接的任何点击都可能导致请求绕过中间装置进入云服务器。为了进一步解决这些和潜在的问题，本系统和方法可以利用通配符域名系统(dns)条目和/或通配符安全套接字层(ssl)证书来实现对于在服务器处托管的应用的透明代理。可以向客户机的用户提供包含到资源的链接的网页。该链接可以包括指向该应用的特定资源或服务的绝对url。绝对url可以包括中间装置的域名，后跟服务器的域名。在用户点击链接后，客户机可以继而发送http请求。中间装置可以识别来自客户机的http请求中存在的针对服务器处托管的应用的绝对url。中间装置可以从所识别的绝对url中提取托管所请求的应用的服务器的域名。中间装置可以为托管所请求的应用的服务器的域名生成编码，并存储所生成的编码和服务器的原始域名之间的映射。中间装置然后可以生成具有重写的绝对url的http重定向响应，以传输到客户机。重写的url可以包括中间装置的域名，该域名以服务器域名的编码为前缀。可以为客户机的dns服务器配置一个dns条目，该条目具有装置的主机名和通配符，以便dns服务器解析具有重写的url的任何后续请求以登陆装置。在接收到http重定向响应后，可以将客户机重定向到响应中指示的url，并可以生成第二http请求以传输到中间装置。http请求可以包括重写的绝对url。由于重写的绝对url包括中间装置的域名，因此http请求可能会登陆中间装置，而不是直接登陆托管服务器的服务器。在将请求转发到托管资源的服务器之前，中间装置可以获取针对该编码的映射，以识别托管所请求的应用的服务器的原始域名。中间装置可以通过用服务器的原始域名替换前缀编码和中间装置的域名来重写http请求中包括的绝对url，以便将http请求定向到托管所请求的应用的服务器。装置可以为客户机执行登录，从而消除了与服务器的重复验证。一旦被验证，装置可以转发http请求与重写的请求。对于具有相对url的后续http请求，中间装置可以维持该相对url，因为请求中的主机头部包括装置的域名，以便将请求定向到装置。现在参考图12a，示出用于系统的系统1200a的一个实施例，该系统用于经由中间装置(例如，用于无客户机会话)提供对托管在服务器上的应用的访问。简而言之，系统1200a可以包括多个客户机装置102a-n、设备200和多个服务器106a-n。设备200可以是在至少一个客户机装置102a-n与至少一个服务器106a-n之间部署或驻留的中间装置。设备200可以包括代理引擎1202和资源数据库1240。设备200可以包括以上至少结合图1a-1d、2a-2b和6进行了描述的装置200的任一实施例的特征。在一个或多个实施例中，上述元件或实体中的每一个以硬件、或硬件和软件的组合来实现。例如，这些元件或实体中的每一个可以包括在装置200的硬件上执行的任何应用、程序、库、脚本、任务、服务、进程或任何类型和形式的可执行指令。在一个或多个实施例中，硬件包括诸如一个或多个处理器的电路，例如，如以上结合至少1e和1f所述的处理器。本解决方案的系统和方法可以以任何类型和形式的装置来实现，包括客户机、服务器和设备200。如本文所引用的，“服务器”有时可以指客户机-服务器关系中的任何装置，例如，与客户机装置102a-n握手的设备200。本系统和方法可以在任何中间装置或网关中实现，例如本文描述的设备或装置200的任一实施例。例如，本系统和方法的某些部分可以被实现为设备的分组处理引擎和/或虚拟服务器的一部分。该系统和方法可以在任何类型和形式的环境中实现，包括本文所述的多核设备、虚拟化环境和/或集群环境。着眼于设备200，代理引擎1202的功能可以允许设备200充当托管在云或数据中心处的服务器106a-n上的应用的身份提供者(例如，作为第7层内容交换虚拟服务器或vpn虚拟服务器)。代理引擎1202可以包括验证引擎1206、访问提供者1208、请求处理器1210、编码器1212、重写器1214和解码器1216。验证引擎1206可以针对由客户机102a-n访问的由服务器106a-n托管的应用的数据流执行验证、检验和/或安全处理。简要概述，访问提供者1208可以经由代理引擎1202向客户机102a-n提供可用的应用和相应地址的列表，并且可以处理来自服务器106a-n的数据流。请求处理器1210可以解析从客户机装置102a-n接收到的请求。编码器1212可以为应用的地址生成唯一字符串，并将该唯一字符串和该地址的映射存储到资源数据库1204中。重写器1214可以使用由编码器1212生成的唯一字符串来重写来自客户机102a-n的请求中的地址并且可以使用具有重写的地址的http消息重定向客户机102a-n。解码器1216可以基于先前生成的唯一字符串来重写来自服务器106a-n的响应中的地址，并且将具有重写的地址的响应数据转发给客户机102a-n。在向客户机102a-n提供对由服务器106a-n托管的应用的访问之前或与其同时，验证引擎1206可以向客户机102a-n提供登录门户以初始化、验证或以其他方式建立在客户机102a-n与设备200之间的通信。在一些实施例中，登录门户可以与设备200的身份提供者相关联。这样的实施例可以被称为“身份提供者发起的”。在一些实施例中，登录门户可以与服务器106a-n处托管的应用的服务提供者相关联。在客户机102a-n尝试使用服务器106a-n的公共地址直接访问服务器106a-n之后，可以将登录门户提供给客户机102a-n。尽管客户机102a-n最初尝试与用于该应用的服务器106a-n连接，但是可以通过设备200路由该应用的未来通信。这样的实施例可以被称为“服务提供者发起的”。登录门户可以包括一个或多个用户界面元素，供客户机102a-n的用户输入登录信息(例如，帐户标识、密码等)。通过使用用于身份提供者的登录门户，客户机102a-n的用户可以输入登录信息以使用代理引擎1202登录。验证引擎1206可以确定登录信息是否与先前存储的证书匹配以验证客户机102a-n。在一些实施例中，验证引擎1206可以使用诸如轻量级目录访问协议(ldap)、远程验证拨入用户服务(radius)、和安全远程密码协议(srp)、可扩展验证协议(eap)、安全断言标记语言(saml)断言、基于证书的方法等任意数量的技术来验证或检验来自客户机102a-n的登录信息。一旦成功地被验证，验证引擎1206就可以在设备200与客户机102a-n之间建立无客户机sslvpn会话(例如，根据本文在f-h部分中详述的技术)。如果验证不成功，则验证引擎1206可以允许客户机102a-n的用户重新输入登录信息和/或可以终止设备200与客户机装置102之间的通信会话。在一些实施例中，响应于成功登录，验证引擎1206可以向客户机102a-n提供验证令牌(例如，httpcookie)。验证引擎1206可以将与客户机102a-n相对应的装置标识符存储在数据库1204上。访问提供者1208可以经由链接向客户机102a-n提供对由服务器106a-n托管的应用的访问。可以经由在客户机102a-n与设备200之间建立的无客户机sslvpn会话来提供访问。在一些实施例中，访问提供者1208可以响应于验证引擎1206成功地验证客户机102a-n，识别在服务器106a-n上托管的可用于客户机102a-n的应用。在一些实施例中，该应用可以是由客户机102a-n订阅或以其他方式请求的应用，或者是由访问提供者706或服务器106a-n发布的对客户机102a-n可用的应用。在一些实施例中，设备200的身份提供者可以将托管在服务器106a-n上的应用提供给客户机102a-n。在一些实施例中，托管应用的服务器106a-n可以与基于云的服务(例如，与企业相关联的第三方云服务)相关联。在一些实施例中，托管应用的服务器106a-n可以与数据中心(例如，企业的本地数据中心)相关联。在一些实施例中，可以跨数据中心处的服务器106a-n和与基于云的服务相关联的另一服务器106a-n来托管应用。托管在服务器106a-n上的应用可以具有、包括一个或多个属性，或者与一个或多个属性相关联，属性例如为主机类型指示符、单点登录参数和访问参数。主机类型指示符可以标识应用是云托管的还是数据中心托管的等等，或其任何组合。单点登录参数可以包括安全性或验证配置文件(例如，安全性断言标记语言(saml)配置文件)。单点登录参数可用于经由设备200验证客户机102a-n与服务器106a-n之间的应用的后续通信或数据流。访问参数可指示哪些客户机102a-n和/或与客户机102a-n相关联的帐户标识符将被允许访问该应用。一旦将对应用的访问提供给客户机102a-n，该链接可以使客户机装置102a-n生成针对该应用的超文本传输协议(http)请求。在一些实施例中，可以在客户机102a-n上执行的浏览器中呈现链接。在一些实施例中，该链接可以作为用户界面元素(例如，超链接、命令按钮、图像等)呈现在提供给在客户机102a-n上执行的浏览器的网页上。该网页可以由设备200的身份提供者提供，而不是直接来自于与服务器106a-n相关联的服务提供者，并且可以在登录门户之后被提供给客户机102a-n。到应用的链接可以包括该应用的地址，例如统一资源定位符(url)。用于应用的地址的url可以是绝对的，格式为“[协议]：//[主机名]/[文件路径名]”。该链接可以包括协议(例如，https、http、ftp等)、设备200的主机名、服务器106a-n的主机名以及一个或多个参数。在一些实施例中，该链接还可包括文件路径名(例如，到设备的特定网页或资源)。设备200的主机名和服务器106a-n的主机名可以分别是完全限定性域名(fqdn)。服务器106a-n的主机名可以是装置200与服务器106a-n之间的网络104’中的互联网或内联网url。该链接可以例如具有以下形式：https://nsg.citrix.com/service-app-url＝https://company.service_1.com/homepage.htmlhttps://nsg.citrix.com/service-app-url＝https://service_2.com/mysuite/home.html在上面的示例中，“nsg.citrix.com/”可以是指向设备200的主机名(或域名或fqdn)。字符串“provider.service_1.com”可以是用于第一应用的服务器106a-n的主机名(或域名或fqdn)，以及字符串“service_2.com”可以是用于第二应用的服务器106a-n的主机名(或域名或fqdn)。另外，字符串“/service-app-url＝”可以是url参数，并且可以具有其他形式，例如，用于指示saas应用的“/saas-app-url＝”。此外，“/homepage.html”可以是第一应用的文件路径名，并且“/mysuite/home.html”可以是第二应用或该应用的特定资源或服务的文件路径名。通过以这样的链接进行呈现，客户机102a-n的用户可以与链接交互或激活该链接以使客户机102a-n生成针对该应用的http请求。该链接可以使客户机装置102a-n生成针对该应用的超文本传输协议(http)请求。该链接可以具有包含应用的地址的激活url(例如“https://nsg.citrix.com/saas-app-url＝https://company.service_1.com/homepage.html”)。该应用的地址可以是绝对url。激活url可以包括协议、设备200的主机名、服务器106a-n的主机名和/或一个或多个参数。在一些实施例中，地址还可以包括到应用的路径名。所生成的http请求可以包括头部字段和/或消息主体。头部字段可以包括用于具有url参数或协议、服务器106a-n的主机名以及应用路径名的请求的方法(例如，get、post等)。头部字段还可以包括包含设备200的主机名的主机字段。在一些实施例中，头部字段还可以包括会话管理cookie。会话管理cookie的值可能之前已由验证引擎1206提供。http请求例如可以具有以下形式：get/service-app-url＝https://company.service_1.com/homepage.htmlhttp/1.1host:nsg.citrix.comcookie:session-cookie＝valueget/service-app-url＝https://www.service_2.com/mysuite/home.htmlhttp/1.1host:nsg.citrix.comcookie:session-cookie＝value一旦生成了http请求，客户机装置102a-n就可以将http请求传输到设备200(例如，经由无客户机sslvpn会话)。随后，请求处理器1210可以从客户机102a-n接收经由所提供的链接生成的http请求。由于主机头部字段可以包括设备200的主机名，因此与直接到达托管应用的服务器106a-n相反，由客户机102a-n传输的http请求会登陆设备200。以这种方式，可以将由身份提供者提供的用于应用的通信通过设备200路由到服务器106a-n。请求处理器708可以解析http请求以识别头部字段和/或消息主体。根据解析的http请求，请求处理器708可以识别请求方法字段中包括的地址和url参数。该地址可以是绝对url。请求处理器708可以识别包括在头部字段中的服务器106a-n的主机名。通过使用从http请求中识别的服务器106a-n的主机名，编码器1212可以基于一个或多个编码方案来生成唯一字符串。唯一字符串可以与服务器106a-n的主机名相关联或可以对应于服务器106a-n的主机名。唯一字符串可以包括一组字母数字字符。在一些实施例中，编码器1212使用的编码方案可以包括对称密钥加密。由于对称密钥加密中的密钥可以由编码器1212而不是网络104或104'中的其他装置所持有，因此编码器1212能够对服务器106a-n的主机名进行加密，而其他装置则不能这样做。对称密钥加密编码方案因此可以对网络104或104'中的其他装置隐藏服务器106a-n的主机名。在一些实施例中，编码器1212所使用的编码方案可以包括base-32编码。通过使用base-32编码，编码器1212可以混淆应用的服务器106a-n的主机名。编码器1212所使用的其他编码方案可以包括base-64编码和/或密码哈希(例如，安全哈希算法2、基于快速校验子的哈希、消息摘要算法、分组密码等)等或其任何组合。在一些实施例中，编码器1212可以根据域名系统(dns)的请求注解(rfc)协议，将唯一字符串限制为63个字符或更少。在初始生成唯一字符串时，编码器1212可以识别所生成的唯一字符串的长度。编码器1212可以将所识别的长度与63个字符限制进行比较。如果该长度小于或等于字符限制，则编码器1212可以维持最初生成的唯一字符串。另一方面，如果唯一字符串的长度大于字符限制，则编码器1212可以通过在包括在http请求中的服务器106a-n的主机名上应用哈希函数来生成键-值对或哈希值。可以配置或设计哈希函数，以使所生成的键-值对或哈希值可以小于63个字符限制。所生成的键-值对或哈希值可以用作服务器106a-n的唯一字符串。一旦生成了唯一字符串(有时称为“编码”)，编码器1212就可以将所生成的唯一字符串存储或注册到数据库1204上。在一些实施例中，编码器1212可以将所生成的唯一字符串到针对应用的服务器102a-n的主机名的映射存储或注册到数据库1204上。唯一字符串到服务器106a-n的主机名的映射可以例如在由唯一字符串或服务器106a-n的主机名索引的数据结构中，例如数组、矩阵、表、列表、链表、树、堆等。在一些实施例中，编码器1212可以将所生成的唯一字符串和/或一种或多种编码方案(例如，使用彩虹表)用于生成唯一字符串的密钥存储在可用于由客户机102a-n访问的应用的数据库1204上。在一些实施例中，编码器1212可以搜索可用于客户机102a-n访问的资源的数据库1204，以将所生成的唯一字符串与其他资源的其他存储或注册的唯一字符串进行比较，以确定在唯一字符串和任何其他唯一字符串之间是否存在冲突(例如，重复和/或不一致)。在一些实施例中，如果所生成的唯一字符串与任一其他唯一字符串匹配，则编码器1212可以使用一个或多个编码方案来生成另一唯一字符串，以防止在与服务器106a-n的资源相对应的唯一字符串和与其他资源相对应的任一其他唯一字符串之间的冲突。在一些实施例中，如果所生成的唯一字符串与任一其他唯一字符串匹配，则编码器1212可以生成补充字符串以添加、组合、附加或连接到唯一字符串。补充字符串可以是字母数字的，并且可以是随机生成的或预定的。通过使用由编码器1212生成的唯一字符串，重写器1214可以重写http请求中指示的应用的绝对url。重写器1214可通过将唯一字符串与设备200的主机名组合(例如，头部添加、附加、交织或编码)来生成url段。重写器1214可通过用所生成的url段来替换绝对url中的服务器106a-n的主机名来重写绝对url。重写的绝对url的形式可以是例如：[protocol]://[encodedhostnameofserver106a-n].[hostnameofdevice200]/[applicationpathname]在协议可以指代适用的通信协议的情况下，服务器106a-n的编码后的主机名可以指代由编码器1212生成的唯一字符串，并且应用路径名可以指代原始绝对url的其余部分。例如，针对服务器106a-n的资源的原始绝对url可能已经是“http://company.service_1.com/”，而设备200的主机名可能是“nsg.sslvpn.citrix.com”。请求处理器1210可以解析绝对url以将“exchange.intranetdomain.net”识别为服务器106a-n的主机名。通过将一个或多个编码方案应用于所识别的主机名，编码器1212可能已经生成“xyz123”作为唯一字符串。通过使用服务器106a-n的主机名的所生成的唯一字符串，重写器1214可以例如将唯一字符串附加或连接到设备200的主机名，以形成“xyz123.nsg.sslvpn.citrix.com”。重写器1214可以用附加到装置200的主机名的唯一字符串来替换绝对url中的服务器106a-n的主机名，以形成“http://xyz123.nsg.sslvpn.citrix.com/”，后跟文件路径名，从而无需重写例如相对url。在一些实施例中，重写器1214可以通过将装置200的主机名附加到由句点字符(或某个其他字符)分隔的唯一字符串来生成url段。在一些实施例中，唯一字符串可以排除任何句点字符。在一些实施例中，重写器1214可以将包括通配符的与设备200相对应的主机名作为域名系统(dns)条目，保存、添加、更新或以其他方式注册到dns服务器。在一些实施例中，dns服务器使用用于客户机102a-n与装置200之间的经由网络104的通信的物理地址(例如，mac地址)或虚拟ip地址来解析重写的绝对url。例如，重写器1214可以将诸如使用字符“*”作为通配符的字符串“*.nsg.sslvpn.citrix.com”的表达式注册为dns服务器上的dns条目。可以为客户机102a-n的dns服务器配置dns条目，该dns条目包括表达式(例如，与设备200的主机名组合的通配符)，以使dns服务器将重写的绝对url解析为设备200的互联网协议(ip)地址。在一些实施例中，dns服务器使用设备200的物理地址(例如，mac地址)、ip地址或虚拟ip地址，或者用于客户机102a-n与设备200之间的经由网络104的通信的物理地址、ip地址或虚拟ip地址，来解析重写的绝对url。例如，针对各种服务器106a-n的重写的绝对url可以具有设备200的主机名，但是具有不同的唯一字符串作为url中的前缀。当客户机102a-n尝试从经由http响应或网页识别的服务器106a-n访问任何资源时，dns服务器可以基于与重写的绝对url中包括的设备200相对应的主机名将重写的绝对url(对应于正在访问的资源)解析为装置200的ip地址。在该示例中，来自客户机102a-n的经由包括设备200的主机名的重写的绝对url的任何请求可以首先登陆在设备200上(例如，不必重写相对url)。在一些实施例中，重写器1214可以例如使用单个ssl证书将字符串(例如，正则表达式或通配符字符串)的多个域名系统(dns)条目保存、添加或以其他方式注册到dns服务器，所述字符串与对应于多个服务器106a-n的唯一字符串和设备200的主机名匹配。例如，重写器1214可以使用单个ssl证书将“*.nsg.sslvpn.citrix.com、”“abcd1234.nsg.sslvpn.citrix.com”、“xyz123.nsg.sslvpn.com”、“www.nsg.sslvpn.com”和/或(没有任何唯一字符串的)“nsg.sslvpn.com”添加到dns服务器。重写器1214可以生成http响应。http响应可以包括状态代码、一个或多个头部字段(例如，位置)和/或消息主体。重写器1214可以使用应用的重写的绝对url来在http响应中设置一个或多个头部字段。在一些实施例中，重写器1214可以在http响应的一个或多个头部字段中重写与服务器106a-n处托管的应用相对应的位置。例如，如果编码器1212为服务器106a-n的主机名“company.service_1.com”生成了“xyz123”，则重写器1214可以生成以下形式的http重定向响应：http/1.1302foundlocation:https://xyz123.nsg.citrix.com/homepage.html另外，如果编码器1212针对服务器106a-n的主机名“www.service_2.com”生成了“abcd123”，则重写器1214可以生成以下形式的http重定向响应：http/1.1302foundlocation:https://abcd1234.nsg.citrix.com/mysuite/home.html一旦被传输，http响应可以使客户机102a-n被重定向到重写的绝对url。以这种方式，在针对应用的后续通信中，来自客户机102a-n的http请求可以被定向到设备200处，从而消除了对设备200的绕过。在一些实施例中，编码器1212可以基于一个或多个编码方案在发送带有初始唯一字符串的http响应之后重新生成唯一字符串。新生成的唯一字符串可以通过改变引用服务器106a-n的字符串来提高安全性，从而使应用的身份和服务器106a-n的身份免受网络104或104'中其他装置的影响。在一些实施例中，编码器1212可以响应于接收到包括初始唯一字符串的http请求来重新生成唯一字符串。在一些实施例中，编码器1212可以将重新生成的唯一字符串重新存储或注册到数据库1204上。编码器1212可以在数据库1204中识别最初生成的唯一字符串。一旦被识别，编码器1212可以用重新生成的唯一字符串替换或覆盖该最初生成的唯一字符串。在一些实施例中，重写器1214可以解析http响应以确定该http响应包括set-cookie头部。http响应可以例如来自于与客户机102a-n可能正在请求访问的资源相关联的服务器106a-n。set-cookie头部可以指定或指示有关与http响应相关联的客户机102a-n的状态信息。状态信息可以包括例如域值，该域值指示包括服务器106a-n的主机名的绝对url、以及指定cookie文件将在客户机102a-n上保留到何时的到期日期。在一些实施例中，重写器1214可以确定http响应的set-cookie头部是否包括域值。在一些实施例中，响应于确定http响应不包括域值，重写器1214可以维持装置200的http响应以转发到客户机102a-n。http响应例如可以具有以下形式：http/1.1200okset-cookie:id＝1234；path＝/；expires＝mon,29feb201610:11:12gmt在该示例中，set-cookie头部的路径字段可能为空。重写器1214可以在不进行任何修改的情况下维持http响应以由装置200将http响应转发到客户机102a-n。在一些实施例中，响应于确定http响应包括域值，重写器1214可以在http响应的set-cookie头部中移除域值。在一些实施例中，重写器1214可以解析http响应的set-cookie头部，以从set-cookie头部中识别或提取域值。例如，http响应的set-cookie头部可以包括：http/1.1200okset-cookie:id＝1234；domain＝blr.mail.intranet.net；path＝/；在该示例中，重写器1214可以识别出域值以字符集合“domain＝”开始，并且将“exampledomain.mail.net”识别为域值。重写器1214继而可以从set-cookie头部中移除字符串“domain＝exampledomain.mail.net”，以形成要发送给客户机的以下内容：http/1.1200okset-cookie:id＝1234；path＝/；在一些实施例中，重写器1214可以将所移除的域值与相应的cookie值一起存储。在一些实施例中，重写器1214可以将所移除的域值存储在可用于客户机102a-n访问的资源的数据库1230(例如，查找表)上。在一些实施例中，重写器1214可以基于包括在set-cookie头部中的域值来生成相应的cookie值。例如，重写器1214可以将哈希函数应用于域值以生成相应的cookie值。在一些实施例中，重写器1214可以解析set-cookie头部，以识别cookie标识符。在一些实施例中，重写器1214可以将cookie标识符设置为相应的cookie值。例如，http响应的set-cookie头部可以包括：http/1.1200okset-cookie:id＝1234；domain＝exampledomain.mail.net；path＝/；重写器1214可以解析set-cookie头部，以找到字符集合“id”，并且将随后的字符集合“1234”设置为相应的cookie值。客户机102a-n可以解析http响应以识别状态码，并且可以将http响应识别为重定向响应。客户机102a-n可以解析http响应以利用由编码器1212生成的唯一字符串来识别设备200的主机名。通过解析来自设备200的http响应，客户机102a-n可以生成另一个http请求。该http请求可以包括应用的地址。请求中应用的地址可以是绝对url。该地址可以包括协议、由编码器1212生成的唯一字符串、以及设备200的主机名。在一些实施例中，由编码器1212生成的唯一字符串可以作为设备200的主机名的前缀。在一些实施例中，该地址还可以包括应用路径名和/或一个或多个参数。所生成的http请求可以包括头部字段和/或消息主体。头部字段可以包括用于请求的方法(例如，get、post等)和文件路径名。头部字段还可以包括主机字段，该主机字段包括设备200的主机名和由编码器1212生成的唯一字符串。在一些实施例中，头部字段还可以包括会话管理cookie。由客户机102a-n响应于来自设备200的http响应而生成的http请求可以例如具有以下形式：get/homepage.htmlhttp/1.1host:xyz123.nsg.citrix.comuser-agent:mozilla/5.0(windowsnt6.1)cookie:session-cookie＝value通过包括设备200的主机名，由客户机102a-n生成的http请求可以由dns服务器定向到设备200。请求处理器1210可以从客户机102a-n接收具有由编码器1212生成的唯一字符串和设备200的主机名的http请求。因为主机头部字段可以包括设备200的主机名，所以与直接转到托管应用的服务器106a-n相反，由客户机102a-n传输的http请求可以登陆在设备200上。以这种方式，http请求可以通过客户机102a-n和服务器106a-n中间的设备200路由，从而允许网络流量分析和增强的安全性。请求处理器1210可以解析http请求以识别url部分。url部分可以标识托管在服务器106a-n上的应用。请求处理器1210可以解析http请求以识别头部字段和/或消息主体。根据解析的http请求，请求处理器1210可以解析http请求以识别先前由编码器1212生成的唯一字符串。请求处理器1210可以解析http请求以识别文件路径名。应用路径名可以引用服务器106a-n上托管的应用的特定服务、功能或其他部分。一旦来自客户机102a-n的http请求被解析，解码器1216就可以对唯一字符串进行解码以获得服务器106a-n的主机名。在一些实施例中，解码器1216可以对唯一字符串进行解码以获得服务器106a-n的主机名。在一些实施例中，解码器1216可以使用可用于客户机102a-n访问的资源的数据库1204中的唯一字符串来搜索服务器106a-n的主机名。在一些实施例中，响应于在数据库1204中找到唯一字符串，解码器1216可以识别映射到数据库1204中的唯一字符串或与之关联的服务器106a-n的主机名。例如，数据库1204可以包括由编码器1210生成的唯一字符串到对应于各种服务器106a-n上的资源的主机名的映射。在该示例中，解码器1216可以执行数据库1204的查找，并且在找到唯一字符串时取回或者以其他方式识别映射到唯一字符串的服务器106a-n的主机名。在一些实施例中，解码器1216可以使用一种或多种反向解码方案从唯一字符串获得服务器106a-n的主机名。一种或多种反向解码方案可以与编码器1210用于生成唯一字符串的一种或多种编码方案相同。一种或多种反向解码方案可以包括例如对称密钥加密、base-64编码、base-32编码和密码哈希(例如，安全哈希算法2、基于快速校验子的哈希、消息摘要算法、分组密码等)等或其任意组合。在一些实施例中，解码器1216可以在可用于客户机102a-n访问的资源的数据库1204中确定或搜索用于生成唯一字符串的一个或多个密钥。在一些实施例中，响应于在数据库1204中找到用于生成唯一字符串的一个或多个密钥，解码器1216可以使用在唯一字符串上的相应的一个或多个密钥来应用一个或多个反向解码方案以获得服务器106a-n的主机名。例如，在从http响应中提取唯一字符串时，解码器1216可以使用唯一字符串在数据库1204中执行彩虹表的查找，以识别用于生成唯一字符串的密钥。在该示例中，解码器1216然后可以应用先前的编码方案来反转编码并且使用该密钥来获得唯一字符串以生成服务器106a-n的主机名。在设备200处已经接收到http请求之后，在一些实施例中，验证引擎1204可以确定所接收的包括来自客户机102a-n的cookie的http请求的主机头部是否与重写的绝对url匹配，该重写的绝对url对应于来自服务器106a-n的http请求的set-cookie头部的域值。cookie可以指示经由设备200关于服务器106a-n所提供的资源的客户机102a-n处的交互或事件。重写的绝对url可以被存储在可用于客户机102a-n访问的资源的数据库1204处。在一些实施例中，响应于确定来自客户机102a-n的cookie的主机头部与对应于来自服务器106a-n的set-cookie头部的域值的绝对重写url匹配，验证引擎1204可以用服务器106a-n的主机名替换与装置200相对应的重写的绝对url中的主机名。在一些实施例中，响应于确定来自客户机102a-n的cookie的主机头部不匹配与来自服务器106a-n的set-cookie头部的域值相对应的绝对重写url，验证引擎1204可以从从客户机102a-n接收的http响应中替换或删除cookie。利用从http请求中的唯一字符串解码的服务器106a-n的主机名，验证引擎1204可以使用该应用的服务器106a-n为客户机102a-n的用户执行单点登录。在一些实施例中，验证引擎1204可以将安全断言标记语言(saml)断言发送到服务器106a-n。在一些实施例中，验证引擎1204可以为客户机102a-n的用户生成或创建saml配置文件。在一些实施例中，验证引擎1204可以使用http绑定机制(例如，httppost绑定或http工件绑定等)来将saml断言与所生成的saml配置文件一起转发。对saml断言的接收可以使服务器106a-n向验证引擎1204传输验证令牌。验证引擎1204可以随后从服务器106a-n接收验证令牌。在一些实施例中，验证令牌可以被包括在由服务器106a-n发送的会话cookie中。会话cookie可以用作用于针对应用的通信的验证令牌。以这种方式，验证引擎1204可以允许客户机102a-n访问在服务器106a-n处托管的应用，而无需多次登录。在一些实施例中，验证引擎1204可以确定单点登录是否成功。在一些实施例中，验证引擎1204可以根据从服务器106a-n接收到验证令牌来确定登录成功。在一些实施例中，验证引擎1204可以从服务器106a-n接收成功指示符。成功指示符可以为客户机102a-n的用户指示服务器106a-n的验证成功。在一些实施例中，验证引擎1204可以从服务器106a-n接收失败指示符。失败指示符可以为客户机102a-n的用户指示服务器106a-n的验证失败。如果接收到成功指示符，则验证引擎1204可以确定单点登录成功。在一些实施例中，验证引擎1204还可以接收会话cookie。会话cookie可以被验证引擎1204用作验证令牌。相反，如果接收到失败指示符，则验证引擎1204可以确定单次登录失败。在一些实施例中，验证引擎1206可以生成与客户机102a-n和服务器106a-n之间的验证会话相对应的会话cookie，以跟踪验证会话的状态信息。会话cookie可以包括与设备200的主机名相对应的域值。验证会话的状态信息可以包括设备200的主机名和指定cookie将在客户机102a-n上保留到何时的到期时间戳。在一些实施例中，设备200可以将包括具有域值的set-cookie头部的http响应传输到客户机102a-n。http响应可以例如具有以下形式：http/1.1200okset-cookie:nsg_session_id＝98765；domain＝nsg.sslvpn.citrix.com；path＝/；在一些实施例中，验证引擎1206可以从客户机102a-n接收包括cookie的http响应。已经成功地通过服务器106a-n进行了验证，访问提供者1208可以根据所获得的服务器106a-n的主机名，关于所接收到的http请求，与服务器106a-n进行通信。在一些实施例中，重写器1214可以生成http请求，以使用从包括在来自客户机102a-n的http请求中的唯一字符串中解码的主机名106a-n来发送到服务器106a-n。要发送到服务器106a-n的http请求可以包括一个或多个头部和/或消息主体。头部可以包括从客户机102a-n接收的http请求的应用路径名。头部还可以包括服务器106a-n的主机名，该主机名是基于对从客户机102a-n接收的http请求中包括的唯一字符串进行解码而识别的。头部还可以包括会话cookie。会话cookie可以对应于验证令牌。要发送到服务器106a-n的http请求可以例如具有以下形式：get/homepage.htmlhttp/1.1host:mycompany.salesforce.comuser-agent:mozilla/5.0(windowsnt6.1)cookie:session-cookie＝auth-token以这种方式，来自客户机102a-n的针对该应用的后续通信可以被路由通过设备200并且被路由到托管该应用的服务器106a-n上。随后，设备200可以从服务器106a-n接收针对该应用的一个或多个http响应。来自服务器106a-n的一个或多个http响应可以包括应用的特定功能的地址。该地址可以包括在头部中。该地址可以是绝对url或相对url。绝对url可以包括服务器106a-n的主机名和应用的特定功能的文件路径名。相对url可以包括应用的特定功能的文件路径名，并且可以缺少服务器106a-n的主机名。相对url中的文件路径名通常可以是动态的。访问提供者1208可以解析http请求以识别所包括的地址。访问提供者1208可以解析该地址以识别服务器106a-n的主机名。访问提供者1208可以基于服务器106a-n的主机名的存在来确定http响应中包括的地址是绝对url还是相对url。以这种方式，访问提供者1208可以识别具有绝对url的http响应，而不识别相对url。如果来自服务器106a-n的http响应包括绝对url，则重写器1214可以识别与服务器106a-n的主机名相对应的唯一字符串。在一些实施例中，重写器1214可以访问数据库1204以搜索与服务器106a-n的主机名相对应的唯一字符串。一旦找到，重写器1214可以生成http响应以转发到客户机102a-n。http响应可以包括头部和/或消息主体。消息主体可以被设置为包括来自服务器106a-n的针对应用的http响应的消息主体。头部可以被设置为包括设备200的主机名以及先前由编码器1212生成的唯一字符串。以这种方式，当客户机102a-n的用户点击包括所接收的http响应的绝对url的链接时，与直接转到服务器106a-n相反，由客户机102a-n生成的结果http请求可以登陆在设备200上。然后，访问提供者1208可以将所生成的http响应传输或转发给客户机102a-n。另一方面，如果来自服务器106a-n的http响应包括相对url，则访问提供者1208可以维持包括在http响应中的相对url。访问提供者1208可以将http响应转发到客户机102a-n，而不重写相对url。转发到客户机102a-n的http响应可以包括与从服务器106a-n接收的http响应相同的头部和消息主体。之后，当客户机102a-n的用户点击包括所接收http响应的相对url的链接时，即使相对url不包括设备200的主机名，由客户机102a-n生成的结果http请求也可能登陆在设备200上。这可能是因为在客户机102a-n上执行的浏览器可以包括设备200的主机名以及由编码器1210针对服务器106a-n的主机名生成的唯一字符串。这样，通过点击具有相对url的链接生成的任何此类结果http请求都可以被定向到设备200处。例如，结果http请求可以具有以下形式：get/users/john/sales.htmlhttp/1.1host:xyz123.nsg.citrix.comuser-agent:mozilla/5.0(windowsnt6.1)cookie:session-cookie＝value其中“/users/john/sales.html”可以是可以动态地生成的相对url，并且“xyz123.nsg.citrix.com”可以是设备200的主机名，该主机名的前缀为服务器106a-n的主机名的唯一字符串(“xyz123”)。有利地，通过维持包括在要从服务器106a-n转发给客户机102a-n的http响应中的相对url，访问提供者1208可以规避关于重写相对url的技术挑战。通过经由设备200为托管在服务器106a-n处的应用对来自客户机102a-n的业务流进行路由，代理引擎1202可以通过允许数据分组检查来为企业提供增强的安全性和可见性。此外，代理引擎1202可以提供关于到企业的业务流的各种web和安全洞察力，以及关于该应用的客户机102a-n的用户的使用模式的统计。代理引擎1202可以允许企业管理员配置和控制各种记录参数、流量检查参数、洞察力参数和统计信息收集参数等等。在一些实施例中，设备200可以与身份提供商者(idp)相关联，并且设备200的功能可以是idp发起的。在这样的实施例中，设备200可以充当安全标记语言(saml)断言idp，并且可以针对客户机102a-n的用户所请求的任何saas应用发起应用启动流程。在一些实施例中，设备200可以与服务提供者(sp)相关联。sp可以授权idp代表sp向客户机102a-n提供应用。在这样的实施例中，设备200可以充当用于saas应用的saml断言idp。在这样的实施例中，客户机102a-n可以最初使用与sp相关联的服务器106a-n的公共域名直接访问服务器106a-n。客户机102a-n可以传输包括服务器106a-n的公共域名的http请求。服务器106a-n继而可以用包括设备200的域名的http重定向响应来进行响应。http重定向响应的接收可以使客户机102a-n被重定向到设备200。验证引擎1206还可以生成http重定向响应并将其传输到客户机102a-n。http重定向响应可以包括地址(例如，fqdn或url)，该地址被配置为解析为设备200中的第7层内容交换服务器或虚拟专用网络虚拟服务器的ip地址。地址还可以包括标识符(例如，唯一字符串)以识别sp。验证引擎1206还可以以本文描述的方式设置http重定向响应的会话cookie。在发送http重定向响应的同时，验证引擎1206可以生成地址，以使得当在客户机102a-n上执行的代理向代理引擎1202发送后续的http请求时，代理引擎1202可以识别sp。http重定向响应的接收可以使客户机102a-n(例如，用户的浏览器)发送另一个http请求，其具有引用设备200的地址(例如，重定向到将解析为设备200中托管的内容交换服务器或vpn虚拟服务器的ip地址的fqdn/url)。此时，验证引擎1206还可通过向服务器106a-n发送saml断言来通过服务提供者使用单点登录进行验证。sp的服务器106a-n可以被配置为代表客户机102a-n从设备200接收saml断言。客户机102a-n和设备200然后可以继续idp发起的流程的剩余部分。以这种方式，即使与sp相关联的服务器106a-n最初直接从客户机102a-n(例如，用户的浏览器)接收到请求，随后的通信也可以经由代理引擎1202被重定向，并且验证引擎1206可以代表客户机102a-n使用saml断言与服务器106a-n执行单点登录进程。在一些实施例中，设备200的验证引擎1206可以在idp发起的流程和/或sdp发起的流程中用作云访问安全代理(casb)。通过作为casb操作，在设备200上执行的代理引擎1202可以消除使每个服务器106a-n实现casb解决方案或其自身的任何其他安全机制。通过改变sdp发起的流程，系统1200a的架构可以允许代理引擎1202充当casb代理。在与sp相关联的服务器106a-n将客户机102a-n重定向到由idp维护的代理引擎1202之后，代理引擎1202可以如上文所解释的那样使用重写的地址来管理客户机102a-n与服务器106a-n之间的通信，然后通过将saml发送到服务器106a-n来执行单点登录。将saml令牌保留在验证引擎1206上而不将saml令牌暴露给客户机102a-n可以进一步提高安全性，因为该配置可以防止连接到网络104的恶意装置(例如，客户机102a-n之一)通过获取saml令牌来获得对服务器106a-n上托管的应用的未经授权的访问。用户可能无法在不经过设备200的情况下直接访问应用。此外，由于客户机102a-n上的用户可能必须通过设备200访问应用，因此在设备200上执行的代理引擎1202可以通过存储在存储器上来对客户机102a-n隐藏后端应用cookie，而在转发给服务器106a-n的请求中注入针对该应用的cookie。另外，设备200上的代理引擎1202可以用作服务器106a-n处托管的应用的casb。在一些实施例中，设备200可以被部署为最后一跳，以使得当托管在服务器106a-n上的应用可以使用不同于ssltls的通信协议时，净流量可以受到限制并且可以接近最终目的地(例如，服务器106a-n或客户机102a-n)。通过利用关于代理引擎1202的验证引擎1206的授权策略，可以根据idp的网络管理员设置的访问控制规范，由代理引擎1202控制在服务器106a-n处托管的应用。在一些实施例中，访问控制规范可以指定客户机102a-n可以具有对服务器106a-n处托管的应用的只读访问(例如，get或head)，但是不具有写入访问。在一些实施例中，访问控制规范可以指定客户机102a-n可以具有对托管在服务器106a-n处的应用的读取和写入访问(例如，get、head、put、post或delete)。通过经由代理引擎1202启动xenapp托管的虚拟浏览器应用，可以进一步限制或保护访问控制，以使得来自托管在服务器106a-n上的应用的数据不会在访问该应用的客户机102a-n上留下痕迹或其他数据。验证引擎1206还可以允许对服务器106a-n处托管的saas和其他应用的单点访问，以及允许在任何时间撤消任何用户的访问的单个位置。另外，在登录之前对客户机102a-n执行扫描可以确保不以未经授权的方式嗅探或访问企业证书。此外，验证引擎1206可以在客户机102a-n的用户正在访问服务器106a-n处托管的应用时监视或检测恶意软件或其他未经授权的活动。参考图12b，描绘了系统1200b的实施例的框图，该系统1200b用于经由用于无客户机会话的多个中间装置来提供对服务器上托管的应用的访问。系统1200b可以包括系统1200a的所有组件及其功能。系统1200b可以包括一个或多个设备200a-n、控制器1218、本地数据中心1220a-n、和云托管服务1222。系统1200b还可以包括集中式数据库1204，该集中式数据库1204具有与在多个设备200a-n之间共享的系统1200a中的数据库相似的功能。控制器1218可以控制客户机102a-n与一个或多个设备200a-n之间的网络流量的数据流(例如，负载平衡)。控制器1218还可以控制一个或多个设备200a-n与云服务1222a-n和本地数据中心1220a-n之间的网络流量的数据流。云服务1222a-n中的每一个和本地数据中心1220a-n中的每一个可以包括服务器106a-n，服务器106a-n具有如上所述的与系统1200a的服务器类似的功能。云服务1222a-n可以由与应用的服务提供者相关联的第三方提供者来操作，并且可以托管由客户机102a-n访问的应用。本地数据中心1220a-n可以由服务提供者直接操作，并且可以托管由客户机102a-n访问的应用。以此方式，中间装置可以安全且透明地代理云托管的应用和数据中心托管的应用，而无需在客户机装置上强加其他验证先决条件(例如，安装代理)。另外，中间装置可以将云托管的应用和数据中心托管的应用合并在单个统一门户中，并且可以代表客户机对所有应用执行单点登录。中间装置还可以为应用代理数据流量，并且可以出于安全性、审计和数据挖掘的目的执行流量检查。企业管理员可以使用单个集中式采样点，以获取与企业相关联的应用的流量的洞察力和使用模式。参考图12c，描绘了用于经由中间装置(例如，用于无客户机会话)提供对托管在服务器上的应用的访问的方法1222的实施例的流程图。方法1222的操作和功能可以使用上述系统1200a或1200b来实现。简要概述，客户机可以传输对在服务器处托管的应用的请求(1224)。设备可以对服务器的主机名进行编码(1226)。设备可以发送编码后的主机名以存储在数据库中(1228)。设备可以将具有唯一字符串的重定向响应传输到客户机(1230)。客户机可以使用唯一字符串来传输请求(1232)。设备可以获取针对唯一字符串的映射(1234)。设备可以将使用服务器的主机名重写的请求转发到服务器(1236)。服务器可以将响应传输到设备(1238)。设备可以用唯一字符串重写绝对url(1240)。设备可以获取基于域的cookie的映射(1242)。设备可以将来自服务器的响应转发到客户机(1244)。客户机可以传输附加请求(1246)。参考(1224)，并且在一些实施例中，客户机可以传输对在服务器处托管的应用的请求。可能已在客户机和设备之间建立了无客户机安全套接字层虚拟专用网(sslvpn)连接。通过该连接，客户机可以通过与设备相关联的身份提供者登录。响应于成功的登录，设备可以向客户机提供到服务器处托管的应用的链接。到应用的链接可以包括该应用的地址。该地址的url可以是绝对的，并且可以包括协议、设备的主机名、服务器的主机名以及一个或多个参数。该链接还可以包括指向应用的特定特征的应用路径名。设备的主机名和服务器的主机名都可以是完全限定的域名。应用的地址可以例如是(“https://nsg.citrix.com/service-app-url＝https://company.service_1.com/homepage.html”)的形式。客户机可以生成具有应用地址的请求，并且可以将该请求传输到服务器。参考(1226)，并且在一些实施例中，设备可以对服务器的主机名进行编码。设备可以继而接收来自客户机的请求。设备可以解析该请求以识别设备的地址。通过使用该地址，设备可以识别服务器的主机名(例如“company.service_1.com”)。设备可以使用一种或多种编码方案(例如对称密钥加密、base-32编码、base-64编码和/或密码哈希(例如，安全哈希算法2、基于快速校验子的哈希、消息摘要算法、分组密码等))来生成服务器的主机名的唯一字符串(例如，“xyz123”)。参考(1228)，并且在一些实施例中，设备可以发送唯一字符串以存储在数据库中。设备可以在数据库中存储或注册唯一字符串。设备可以存储所生成的唯一字符串到托管由客户机请求的应用的服务器的主机名的映射。该映射可以由服务器的主机名来索引。该设备还可以将所生成的唯一字符串与用于生成唯一存储的编码方案的密钥一起存储在数据库处。参考(1230)，并且在一些实施例中，设备可以将具有唯一字符串的重定向响应传输到客户机。通过使用唯一字符串，设备可以生成响应。该响应可以包括一个或多个头部和/或消息主体。一个或多个头部可以包括重定向地址。设备可以将重定向地址设置为包括设备的主机名和所生成的唯一字符串(例如“xyz123.nsg.sslvpn.citrix.com”)。重定向地址还可以包括请求的地址(例如“xyz123.nsg.sslvpn.citrix.com/homepage.html”)中包含的路径名(例如“/homepage.html”)。一个或多个头部可以包括状态码。设备可以将状态码设置为重定向(例如，302found)，以使客户机被重定向到响应的头部中包括的地址。一旦生成重定向响应，设备可以将该重定向响应发送到客户机。参考(1232)，并且在一些实施例中，客户机可以使用唯一字符串向设备传输请求。在接收到重定向响应时，客户机可以生成另一个请求。所生成的请求可以包括一个或多个头部和/或消息主体。一个或多个头部可以包括地址。客户机可以设置该地址，以将重定向响应的地址与来自设备的唯一字符串(例如，“xyz123.nsg.sslvpn.citrix.com/homepage.html”)一起包含在内。然后，客户机可以将带有唯一字符串的请求发送到设备。以这种方式，由客户机发送的请求可以登陆在设备上，而不是直接登陆在服务器处。参考(1234)，并且在一些实施例中，设备可以获取唯一字符串的映射。一旦从客户机接收到请求，设备就可以解析该请求以识别地址。设备可以识别地址中包括的唯一字符串。然后，设备可以访问数据库以检索唯一字符串到服务器主机名的映射。设备还可以使用一种或多种解码方案(例如对称密钥加密、base-32编码、base-64编码和/或密码哈希(例如，安全哈希算法2、基于快速校验子的哈希、消息摘要算法、分组密码等))来对唯一字符串进行解码。然后，设备可以识别服务器的主机名(例如“company.service_1.com”)。参考(1236)，并且在一些实施例中，设备可以转发使用服务器的主机名重写的请求。通过使用从唯一字符串识别的服务器的主机名，设备可以生成请求以转发到服务器。该请求可以包括一个或多个头部和/或消息主体。一个或多个头部可以包括地址。该地址可以由设备设置为包括服务器的主机名和包含在来自客户机的原始请求中的路径名(例如“company.service_1.com/homepage.html”)。然后，设备可以将请求发送到应用的服务器。参考(1238)，并且在一些实施例中，服务器可以传输响应。响应于从设备接收到请求，服务器可以生成响应。该响应可以包括一个或多个头部和/或消息主体。一个或多个头部可以包括地址。该地址可以是绝对url或相对url。然后，服务器可以将响应发送到设备。参考(1240)，并且在一些实施例中，设备可以用唯一字符串重写绝对url。设备可以接收来自服务器的响应。设备可以解析响应以识别地址。设备可以从该地址确定响应是否包括绝对url。如果响应包括绝对url，则设备可以通过用设备的主机名和针对服务器的主机名生成的唯一字符串替换服务器的主机名来重写地址。如果响应不包括绝对url，则设备可以维持来自服务器的响应的地址的相对url。然后，设备可以将(修改或维持的)响应从服务器转发到客户机。参考(1242)，并且在一些实施例中，设备可以获取或访问基于域的cookie的映射。设备可以解析响应以识别set-cookie头部。set-cookie头部可以包括与响应相关联的客户机的域值和/或状态信息。域值可能或可能不包含服务器的主机名。状态信息可以包括与设备与客户机之间和/或设备与服务器之间的会话相关联的cookie标识符。通过使用cookie标识符，设备可以访问数据库以使用cookie标识符映射基于域的cookie。映射可以包括针对服务器的主机名生成的唯一字符串，该唯一字符串与服务器的主机名相对应。基于该映射，设备可以更新数据库。参考(1244)，并且在一些实施例中，设备可以转发来自服务器的响应。如果响应包括绝对url，则设备可以发送使用针对服务器的主机名生成的唯一字符串修改的响应。如果响应包括相对url，则设备可以在保持相对url的情况下发送响应。以这种方式，由客户机生成的任何结果请求都可以被定向到设备，因为在客户机处执行的浏览器可以包括设备的主机名，并且唯一字符串作为该主机名的前缀。参考(1246)，并且在一些实施例中，客户机可以传输附加请求。附加请求可以包括一个或多个头部和/或消息主体。一个或多个头部可以包括地址。该地址可以包括设备的主机名和在服务器处托管并由客户机访问的应用的通信中为服务器的主机名生成的唯一字符串。以这种方式，可以将从客户机到服务器的应用的数据流引导通过设备。然后可以重复步骤1228至1244的功能。参考图12d，描绘了用于经由中间装置(例如，用于无客户机会话)提供对托管在服务器上的应用的访问的方法1250的实施例的流程图。可以使用上述系统1200a或1200b(例如设备200和数据库1204)来实现方法1222的操作和功能。简要概述，该装置可以提供对由服务器托管的应用的访问，该访问经由生成对应用的第一超文本传输协议(http)请求的链接提供给客户机(1255)。装置可以接收经由所提供的链接生成的第一http请求(1260)。装置可以通过将第一http请求中指示的应用的绝对统一资源定位符(url)中包含的服务器的第一主机名替换为通过组合分配给第一主机名的唯一字符串与装置的第二主机名而生成的url段，来重写该绝对url(1265)。装置可以将客户机重定向到应用的重写的绝对url(1270)。该装置可以从来自客户机的第二http请求的主机头部中识别唯一字符串，并且对该唯一字符串进行解码以获得服务器的第一主机名(1275)。该装置可以通过向服务器发送安全断言标记语言(saml)断言来为客户机的用户执行单点登录(sso)(1280)。参考(1255)，并且在一些实施例中，装置可以提供对由服务器托管的应用的访问，该访问经由生成针对该应用的第一超文本传输协议(http)请求的链接而提供给客户机。可以经由在客户机和服务器之间建立的无客户机安全套接字层虚拟专用网(vpn)会话来提供访问。设备可以识别客户机可用或订阅的一个或多个应用。用于生成第一http请求的链接可以包括地址。该地址可以是绝对url。该地址可以包括协议、与服务器相对应的第一主机名、与装置相对应的第二主机名、文件路径名以及一个或多个url参数。服务器的主机名和装置的主机名都可以是完全限定的域名(fqdn)。在检测到链接上的点击或其他交互时，客户机可以生成第一http请求。第一http请求可以包括一个或多个头部字段和消息主体。头部字段可以在请求方法字段中包括与服务器相对应的第一主机名、文件路径名以及一个或多个url参数。头部字段还可以在主机字段中包括与装置相对应的第二主机名。一旦生成，第一http请求就可以由客户机传输到装置。参考(1260)，并且在一些实施例中，装置可以接收经由所提供的链接生成的第一http请求。由于第一http请求可以在请求的主机字段中包括装置的第一主机名，因此与直接登陆在服务器处相反，第一http请求可以登陆在装置处。装置可以解析第一http请求以识别头部字段和/或消息主体。根据所解析的第一http请求，装置可以识别请求方法字段中的服务器的第一主机名。参考(1265)，并且在一些实施例中，装置可以通过用将分配给第一主机名的唯一字符串与装置的第二主机名组合而生成的url段替换包括在第一http请求中指示的应用的绝对统一资源定位符(url)中的服务器的第一主机名，来重写该绝对url。通过使用从第一http请求中识别的服务器的主机名，装置可以通过应用一个或多个编码方案来生成唯一字符串。编码方案的示例可以包括对称密钥加密、base-32编码、base64-编码和/或密码哈希等等，或其任意组合。装置可以将与服务器的第一主机名相对应的唯一字符串存储或注册到数据库上。装置还可以将服务器的第一主机名的唯一字符串与装置的第二主机名组合在一起。然后，装置可以在第一http请求中针对该应用使用组合的字符串从绝对url中替换服务器的第一主机名。参考(1270)，并且在一些实施例中，装置可以将客户机重定向到应用的重写的绝对url。可以为客户机的域名系统(dns)服务器配置dns条目，该dns条目包括使dns服务器将重写的绝对url解析为装置的互联网协议(ip)地址的表达式。装置可以生成http响应。http响应可以包括状态码、一个或多个头部字段和/或消息主体。可以将状态码设置为指示重定向(例如，302found)，以使客户机被重定向到http响应中指示的地址。一个或多个头部字段可以包括设置为重写的绝对url的位置头部字段。装置可以将http响应传输到客户机。接收到http响应可以使客户机发送另一个http请求，其具有被设置为重写的绝对url的请求方法字段。参考(1275)，并且在一些实施例中，装置可以从来自客户机的第二http请求的主机头部中识别唯一字符串，并且对该唯一字符串进行解码以获得服务器的第一主机名。对带有重定向状态码的http响应的接收可以使客户机发送另一个http请求，其具有被设置为重写的绝对url的请求方法字段。装置随后可以从客户机接收第二http请求。第二http请求可以包括头部字段和/或消息主体。http请求中头部字段的主机头部字段可以包括先前由装置提供的重写的绝对url。装置可以解析第二http请求，以从主机头部中识别出重写的绝对url。然后，该装置可以从与该装置相对应的第二主机名中识别唯一字符串。装置可以使用一种或多种反向解码技术(例如对称密钥加密、base-64编码、base-32编码和密码哈希(例如，安全哈希算法2、基于快速校验子的哈希、消息摘要算法、分组密码等)等或其任意组合)对唯一字符串进行解码，以获得与服务器相对应的第一主机名。装置还可以通过访问数据库来获取与服务器相对应的第一主机名。数据库可以识别第一主机名和唯一字符串之间的映射。参考(1280)，并且在一些实施例中，装置可以通过向服务器发送安全断言标记语言(saml)断言来为客户机的用户执行单点登录(sso)。在将第二http请求从客户机转发到服务器之前，装置可以执行sso。装置可以生成saml断言以发送到服务器。saml断言可以包括samp配置文件。对saml断言的接收可以使服务器发出验证令牌(如果已检验)。装置可以基于是否从服务器接收到验证令牌来确定sso是否成功。以这种方式，装置可以消除针对在服务器处托管的相同应用的多次验证。应该理解，上文描述的系统可提供这些组件的任意多个或每一个并且这些组件可以在独立机器上提供，或者在一些实施例中，可在分布式系统的多个机器上提供。可以使用编程和/或工程技术将上文所描述的系统和方法实现为方法、装置或产品以提供软件、固件、硬件或上述的任何组合。此外，上述系统和方法可作为在一件或多件产品上实现或在其中实现的一个或多个计算机可读程序而被提供。本文使用的术语“产品”旨在包括从一个或多个计算机可读的装置、固件、可编程逻辑、存储器装置(例如，eeprom、rom、prom、ram、sram等)、硬件(例如，集成电路芯片、现场可编程门阵列(fpga)、专用集成电路(asic)等)、电子装置、计算机可读的非易失存储单元(例如，cd-rom、软盘、硬盘等)可访问的或嵌入其中的代码或逻辑。所述产品可以是从经由网络传输线、无线传输介质、通过空间传播的信号、无线电波、红外信号等提供对计算机可读程序的访问的文件服务器可访问的。所述产品可以是闪存卡或磁带。所述产品包括硬件逻辑以及嵌入在计算机可读介质中由处理器执行的软件或可编程代码。通常，计算机可读程序可以任何编程语言来实现，如lisp、perl、c、c++、c#、prolog，或者诸如java的任何字节码语言。软件程序可以作为目标代码被存储在一件或多件产品上或其中。尽管已经描述该方法和系统的各种实施例，但是这些实施例是示例性的并且不以任何方式限制所述方法和系统的范围。相关领域中的技术人员在不脱离所描述方法和系统的最宽范围的情况下可以对所描述的方法和系统的形式和细节进行修改。因此，本文描述的方法和系统的范围不应该通过这些示例性实施例来限定，而是应该根据所附权利要求书和其等价范围来限定。当前第1页1 2 3 当前第1页1 2 3