专利名称::用于ssl/vpn业务的基于应用的拦截和授权的系统和方法
技术领域:
:0001本发明总的涉及^^数据通信网络,并且更JW^地,本发明涉及用于通过以更细粒度为勤財^l和授权SSL/VPN数据通信来增加数据通信网络的^的系统和方法。
背景技术:
:^4S方问。许多虛拟专用网^^^]网络设备来提供到客户端的安全连接。例如,用户可以通过连接到管理多个虚拟专用网络连接的网络设备来访问包括应用、web站点和文件的资源。在许多例子中,与客户端关联的代理程序基于用于发i^it信的地址来识别意于虚拟专用网络的网络通信。0003但是,该技7^#在许多缺陷。由于对应于地址范围的所有业务^^逛'J虛拟专用网络,所以无论是否正确itt^J"网络,必须建立鲁棒的授权策略,以将适当的虚拟专用网络业务和不应该在虚拟专用网络Ji^送的业务过滤开。该策略难以建立并_1^,以##。同样,由于恶意用户可以^^具有正确的地扯范围的数据业务知十虛拟专用网络意于保护的数据中心产生危害,所有数据中心到虚拟专用网络的一般路由(无论是否合适)都育feitil^^风险。0004因此,期望提供以更细的粒度而不是子网识别为勤出^虚拟专用网络环境中路由数据的系统和方法。
发明内容0005在一个方面,本发明涉及用于在虛拟专用网络上^tt户端到目的地的通信的方法。拦截的决^&于被授权经由虚拟专用网络访问的应用的网络目的描述。#户端上执行的代艰拦tt户端的网络通信。代理提供从第一网络到第二网络的虚拟专用网络连接。代理确定所一誠通信指定的目的M^)"应于被授权经由虚拟专用网络访问的第二网络上的应用的网络目的描述的网络标识符和端口。响应于此确定,代理发柳誠的通信。0006在一些实施例中,代涯确定网络通信不对应于应用的网络目的描述并且经由第一网络来发i^射議的网络通信。在其他实施例中,代理确定网络通信不对应于应用的网络目的描述并且丢弃所拄截的网络通信。仍在其他实施例中,代理确定客户端的网络标识符和端口对应于应用的网络目的描述的源互联网协议地址和源端口。仍在其他实施例中,代理确定网络通信被格式化的协议的类型对应于应用的网络目的描述指定的协议。在又一些实施例中,代理确定不拦截指定到第二应用的客户端上的第二网络通信,该第二应用未被^t受权经由虚拟专用网络连接来访问第二网络。在一些这样的实施例中,代理拦截对于应用或者客户端的用户的其中之一透明的网络通信。0007在另一方面,本发明涉及用于由设备提供通it^户端上的应用经由虚拟专用网络连接来访问资源的访问船'J的方法。允许或者拒绝访问级别的决tt于应用的标识。设备拦截第一网络上的客户端的应用经由虚拟专用网络连接访问第二网络上资源的请求。基于应用的标识,设备识别该应用并且将所"^Jl的请求与授^^略相关联。设^^J)授权策略和应用的标识来确定允许或者拒绝应用访问资源。0008在一些实施例中,代S^送应用的名称^i殳备。在另一个这样的实施例中,应用的名称4M作应用的标识符。在其他实施例中,代理建立经由设备到第二网络的虛拟专用网络连接。仍在其他实施例中,授权策^旨定应用的名称和访问或者拒绝访问綜'j的授权。在一些这样的实施例中,设备将应用的授权策略与客户端的用户相关联。在其^il样的实施例中,设备基于客户端的用户来识别应用的授^^略。0009在又一方面,本发明涉及由客户端代理拦截来自客户端的、经由虚拟专用网全各连4妻发送的通4言的方法。i刻議是基于通信^的应用的标识。代屋接收识别第一应用的信息。^J里确定客户端发送的网络通信^自第一应用并ili^该通信。代理经由虚拟专用网络连接发i^斤拦截的通信。0010在以下附图和描述中提出本发明的不同实施例的细节。0011该发明的这些和其他对象、方面、特征和优点参见下述结合附图的细节描述将会更加明显并更好理解,其中图1A是对于客户端通过设备访问服务器的网络环境的实施例的框图1B是用于通过设备从服务器传送计算环境到客户端的环境的实施例的框图;图1C和1D是计算装置的实施例的框图;图2A是用于处理客户端和服务器之间的通信的设备的实施例的框图;图2B是用于优化、加速、负载平衡和路由客户端和服务器之间的通信的设备的另一个实施例的框图;图3是客户端通过设备与服务器通信的实施例的框图;图4是客户端侧细粒度拦截机制的实施例的框图;图5为描述实现客户端侧细粒度拦截技术的方法的实施例的的步骤的框图;和图6是用于实现由设备基于应用的标识通过应用提供访问级别的方法的实施例的步骤的流程图。0012从下面结合附图所提出的具体实施方式将更加明了本发明的特征和优点,其中,全文中相同的参考特征标识对应的元件。附图中,相同的附图标记通常指示相同的、功能类似、和/或结构类似的元件。具体实施方式A、网络和计算环境0013在讨-论设备和/或客户端的系统和方法的具体实施例之前,讨论在这些实施例中配置的网络和计算环境可能是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括通过一个或多个网络104、104,(总的称为网络104)与一个或多个服务器106a-106n通信(同样总的称为服务器106,或远程机器106)的一个或多个客户端102a-102n(同样总的称为本地机器102,或客户端102)。在一些实施例中,客户端102通过设备200与服务器106通信。0014虽然图1A示出了在客户端102和服务器106间的网络104和网络104,,但是客户端102和服务器106可以在同一个网络104上。网络104和104,可以是相同类型的网络或不同类型的网络。网络104和/或网络104,可为局域网(LAN)(例如公司的企业内部互联网)、城域网(MAN)、或者广域网(WAN)(例如互联网或万维网)。在一个实施例中,网络104,可为专有网络并且网络104可为公用网络。在一些实施例中,网络104可为专有网络并且网络104"可为公用网络。在另一个实施例中,网络104和104,可都为专有网络。在一些实施例中,客户端102可位于公司分支机构中,在网络104之上通过WAN连接与位于公司数据中心的服务器106通信。0015网络104和/或104,可为任何类型和/或形式的网络,并且可包括任何的下述网络点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104,的拓朴可为总线型、星形或环形网络拓朴。网络104和/或104'以及网络拓朴可以是任何对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓朴。0016如图1A所示,设备200(此处也指为^^口单元200或者网关200)被示在网络104和104,之间。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其他实施例中,设备200可位于网络104,上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可部署在网络104上。在一些实施例中,多个设备200可部署在网络104,上。在一个实施例中,第一设备200与第二设备200,通信。在其它实施例中,设备200作为客户端102可为位于同一个或不同的网络104、104,上的任一客户端102或服务器106的一部分。一个或多个设备200可位于客户端102和服务器106之间的网络或网络通信路径中的任一点。0017在一个实施例中,系统可包括多个逻辑分组服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群组38。在这些实施例的一些中,服务器106可为地理上分散的。在一些情况中,群组38可以作为单个实体被管理。在其他实施例中,服务器群组38包括多个服务器群组38。在一个实施例中,服务器群组执行表示一个或者多个客户端102的一个或者多个应用。0018在每个群组38中的服务器106可为不同种类。即,一个或多个服务器106可根据一种类型的操作系统平台(例如位于Washington,Redmond的微软公司制造的WINDOWSNT)操作,而一个或多个其他服务器106可根据另一类型的操作系统平台(例如,Unix或Linux)操作。每个群组38的服务器106不需要与同一群组38内的另一个服务器106物理上接近。因此,逻辑分组作为群组38的服务器106的组可使用广域网(WAN)连接或中等区域网(MAN)连接互联。例如,群组38可包括物理上位于不同陆地或陆地的不0019服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可有作为应用服务器或者主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户端102也可称为客户端节点或端点。在一些实施例中,客户端102有能力作为在服务器上搜寻对应用的访问的客户端节点工作,也有能力作为提供对用于其他客户端102a-102n的所寄载的应用的访问的应用服务器工作。0020在一些实施例中,客户端102与服务器106通信。在一个实施例中,客户端102可与群组38中的服务器106之一直接通信。在另一个实施例中,客户端102执行程序邻近应用以与群组38内的服务器106通信。还是在又另一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户端102通过网络104与群组38中的服务器106通信。通过网络104,客户端102例如可以请求执行在群组38中的服务器106a-106n寄载的各种应用,并接收应用执行结果的输出用于显示。在一些实施例中,只有主节点提供要求识别和提供地址信息的功能,其中的地址信息与寄载所请求的应用的服务器106,相关。0021在一个实施例中,服务器106提供网络(Web"良务器的功能。在另一个实施例中,服务器106a接收来自客户端102的请求,将该请求转发到第二服务器106b并以来自服务器106b对该请求的响应通过客户端102来响应该请求。在又另一个实施例中,服务器106获得客户端102可用的应用的列举以及地址信息,该地址信息与服务器106,相关,该服务器106,寄载由该应用的列举所识别的应用。在又一个实施例中,服务器106使用web^妻口呈现对客户端102的请求的响应。在一个实施例中,客户端102直接与服务器106通信以访问所识别的应用。在另一个实施例中,客户端102接收诸如显示数据的应用输出数据,该应用输出数据通过对在服务器106上所识别的应用的执行而产生。0022现在看图1B,示出了在客户端102上用于传送和/或操作计算环境的网络环境。在一些实施例中,服务器106包括用于向一个或多个客户端102传送计算环境或应用和/或数据文件的应用传送系统190。总的来说,客户端10通过网络104、104,和设备200与服务器106通信。例如,客户端102可驻留在公司的远程力^^室里,例如分支才;U勾,并JU艮务器106可驻留在公司数据中心。客户端102包括客户端"Rj里120以及计算环嫂15。计算环嫂15可#^亍或#^乍用于访问、处理或1^^数据文件的应用。计算环境15、应用和/或数据文件可通过设备200和/或服务器106传送。0023在一些实施例中,设备200加速传送计算环境15或者其中的任一部分到客户端102。在一个实施例中,设备200通过应用传送系统190加速计算环境15的传送。例如,可佳月此处描述的实施例徊o速应用可处理的流应用和数据文件从中央公司数据中心到远程用户位置(例如/>司的分支才;l4勾)的传送。在另一个实施例中,设备200力口速客户端102和服务器106之间的传输层业务。设备200可以提供加速技术用于力口速/;j良务器106到客户端102的4P传输层有效载荷,诸如l)传输层连接池,2)传输层连接多路复用,3)传输控制协议緩冲,4)压缩,以及5)高速缓存。在一些实施例中,设备200响应来自客户端102的请求,提供服务器106的负载平衡。在其他实施例中,设备200充当代理或^i方问月良务器来提供对一个或者多个服务器106的访问。在另一个实施例中,设备200提供乂A^户端102的第一网络104到服务器106的第二网络104,的^^虚拟专用网络连接,诸如SSLVPN连接。在又一些实施例中,设备200提供客户端102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。0024在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任意验证和授权策略,应用传送管理系统190提供应用传送技术来传送计算环境到用户的桌面(远程的或者其他的)。使用这些技术,远程用户可以从任意网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送系统190可驻留在服务器106上或在其上执行。在另一个实施例中,应用传送系统190可驻留在多个服务器106a-106n上或在其上执行。在一些实施例中,应用传送系统190可在服务器群组38内执行。在一个实施例中,扭行应用传送系统190的服务器106也可^f诸或提供应用和数据文件。在另一个实施例中,一个或多个服务器106的第一组可^U亍应用传送系统190,并且不同的服务器106n可^j诸或提供应用和数据文件。在一些实施例中,每个应用传送系统190、应用和数据文件可驻留或位于不同的服务器上。在又一个实施例中,应用传送系统190的^f可部分可驻留、执行、或被^#于或分发到设备200或多个设备。0025客户端102可以包i封十算环嫂15,用于扭/f于使用或者处理数据文件的ii应用。客户端102通过网络104、104,^i殳备200可以请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以转发来自客户端102的请求到服务器106。例如,客户端102可以不具有本i4^f诸或者本地可访问的应用和数据文件。响应请求,应用传送系统190和/或服务器106可以传送应用和数据文件到客户端102。例如,在一个实施例中,服务器106可以按照应用流来发送应用以^:户端102上的计算环境15中操作。0026沾一些实施例中,应用传送系统1卯包括CitrixSystems,Inc的CitrixAccessSuite的佑可部分,诸如MetaFrame或者CitrixPresentationServer和/或MicrosoftCorporation制造的4i-~的MicrosoftWindowsTerminalServices。在一个实施例中,应用传送系统190可以通过远程显示协i咸者通it&于远禾l^者基于服务器计算的其他方式来传送一个或者多个应用到客户端102或者用户。在另一个实施例中,应用传送系统190可以通过应用的流式传输来传送一个或者多个应用到客户端或者用户。0027在一个实施例中,应用传送系统190包括策略引擎195,用于控制和管Jl^"应用^^亍方法的访问、选#^口应用的传送。在一些实施例中,策略引擎195确定用户或者客户端102可以访问的一个或者多个应用。在另一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户端102,例如才丸行方法。在一些实施例中,应用传送系统190提供多个传送技术,从中^i4择应用^^亍的方法,诸如基于服务器的计算、流式传输或者本地传送应用到客户端120用于本i4t丸行。0028在一个实施例中,客户端102请求应用程序的执行并且包括服务器106的应用传送系统190选择执行应用程序的方法。在一些实施例中,服务器106从客户端102接收证书。在另一个实施例中,服务器106从客户端102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送系统190列举对于客户端102可用的多个应用程序。应用传送系统190接收请求来执行所列举的应用。应用传送系统190例如响应策略引擎的策略,选择预定数量的方法的其中一个来执行所列举的应用。应用传送系统190可以选择执行应用的方法,使得客户端102来接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后来本地执行应用程序。在又一个实施例中,应用传送系统190可以选择执行应用的方法,以通过网络104流式传输应用到客户端102。0029客户端102可以执行、操作或者以其他方式提供应用,应用可为^ffH可类型和/或形式的软件、程序或者例如ft^可类型和/或形式的web浏览器、基于web的客户端、客户端-服务器应用、瘦客户端计算客户端、ActiveX控件或者Java程序的可才似于指令、或可以^户端102上#^于的任意其他类型和/或形式的可#^亍指令。在一些实施例中,应用可以是^C4^户端102在服务器106上#1^亍的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以^^]任意瘦客户端或者远程显示协i棘显示输出到客户端102,诸如由Florida,FortLauderdale的CitriXSystems有限公司开发的独立计算架构(ICA)协议,或者由Washington,Redmond的Microsoft公司开发的远程桌面协议(RDP)。应用可^^HS可类型的协议,并且它可为,例如,HTTP客户端、FTP客户端、Oscar客户端或Telnet客户端。在其他实施例中,应用包括4壬何类型的、涉及到VoIP通信的软件,例如软IP电话。在进一步的实施例中,应用包括涉WJ实时数据通信的任何应用,例如用于流式传4I^见频和/或音频的应用。0030在一些实施例中,服务器106或服务器群组38可以正在运4亍一个或多个应用,例如提供瘦客户机计算或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群组38作为一个应用来执行CitrixSystems公司的CitrixAccessSuite^Hi——4pA(例如MetaFrame或CitrixPresentationServer)和/或孩1库欠/>司开发的MicrosoftWindowsTerminalServices中的任意一个。在一个实施例中,该应用是位于FortLauderdale,Florida的CitrixSystems公司开发的ICA客户端。在其它实施例中,该应用包括由位于Washington,Redmond的Microsoft公司开发的远程桌面(RDP)客户端。另外,服务器106可以运行一个应用,它可以是提供电子邮件服务的应用服务器,例如由位于Washington,Redmond的Microsoft7>司生产的MicrosoftExchange,或者web或Internet月l务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任意类型的、所寄载的服务或产品,例如位于SantaBarbara,California的CitrixOnlineDivision|是供的GoToMeeting,J立于SantaClara,California的WebEx公司提供的WebEx,或者位于Redmond,Washington的Microsoft公司才是供的MicrosoftOfficeLiveMeeting。0031客户端102、服务器106^i殳备200可以部署为和/或^^f亍在任意类型和形式的计算装置上,诸如能够在任意类型和形式的网络Jiit信并"^f亍此处描述才剩乍的计算机、网全各装置或者i殳备。图1C和lD描述用于实i脉户端102、月良务器106或者设备200的实施例的计算装置100的框图。如图1C和1D所示,每个计算装置100包括中央处理单元101,以及主存储单元122。如图1C所示,计算装置IOO可以包括虚拟显示装置124、键盘126和/或诸如鼠标的定点装置127。每个计算装置100也包括其他可选择的部件,例如一个或多个输入/输出装置130a-130b(总的使用标号130表示),以及与中央处理单元101通信的高速緩存存储器140。0032中央处理单元101是响应并处理从主存储单元122取得的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如由California,MountainView的Intel乂>司制造的;由Illinois,Schaumburg的Motorola公司制造的;由Califirnia的SantaClara的Transmeta公司制造的;由NewYork,WhitePlains的InternationalBusinessMachines公司制造的、RS/6000处理器;或者由California,Sunnyvale的AdvancedMicroDevices公司制造的。计算装置100可以基于任意的这些处理器或者能够如此处描述操作的任意其它处理器。0033主存储单元122可为一个或多个存储芯片,这些存储芯片可以存储数据并允许微处理器101直接访问任何存储位置,例如静态随机存卩诸器(SRAM)、突发(Burst)SRAM或同步突发(SynchBurst)SRAM(BSRAM),动态随机存耳又存4渚器(DRAM)、快页模式(FastPageMode)DRAM(FPMDRAM)、增强型DRAM(EDRAM)、扩展数据输出(ExtendedDataOutput)RAM(EDORAM)、扩展数据输出(ExtendedDataOutput)DRAM(EDODRAM)、突发扩展凄t据输出DRAM(BEDODRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDECSRAM、PC100SDRAM、双数据率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链接DRAM(SLDRAM)、直接存储总线(DirectRambus)DRAM(DRDRAM)或者铁电RAM(FRAM)。主存储器122可以基于任意上述的存储器芯片或者能够进行如此处描述的操作的任意其它可用的存储器芯片。在图1C所示的实施例中,处理器101通过系统总线150(下面将更详细的介绍)与主存储器122通信。图IC描述计算装置100的实施例,其中处理器通过存储器端口103直接与主存储器122通信。例如,在图ID中,主存储器122可为DRDRAM。0034图1D描述的实施例中,主处理器101通过次级总线,有时称为"背端"总线,直接与高速緩存存储器140通信。在其他实施例中,主处理器101使用系统总线150与高速緩冲存储器140通信。高速緩冲存储器140具有通常比主存储器122更快的响应时间,并通常通过SRAM、BSRAM、或EDRAM提供。在图1C所示的实施例中,处理器IOI通过本地系统总线150与各种I/O设备130通信。各种总线可以被用于连接中央处理单元101到任意I/O设备130,包括VESAVL总线、ISA总线、EISA总线、微通道结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线、或者NuBus。对于这样的实施例,其中1/0设备是视频显示器124,处理器101可使用高级图形端口(AGP)与显示器124通信。图1D描述了计算机100的具体实施例,其中主处理器101通过HyperTransport,RapidI/O或者InfiniBand与I/O设备130b直接通信。图1D也描述了一个实施例,其中本地总线和直接通信是混合的处理器101使用本地互联总线与1/0设备130a通信,而与1/0设备130b直接通信。0035计算机装置IOO可以支持任何适合的安装装置116,例如用于接收诸如3.5英寸、5.25英寸软盘或ZIP盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、硬盘驱动器、或者适用于安装软件、程序(例如任一客户端代理120或其中的部分)的任意其它装置。计算装置IOO还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘的随机阵列,用于存储操作系统和其它相关软件,以及用于存储诸如涉及客户端代理120的任意程序的应用软件程序。可选地,任意安装装置116也可以被用作存储装置128。此外,操作系统和软件可从可引导介质运行,例如诸如KN0PPIX,—种用于G冊/Linux的可引导CD,该可引导CD可自konppix.net作为GNU/Linux分发获得。0036此外,计算装置100可以包括通过多个连接来对接到局域网(LAN)、广域网(WAN)或者互联网的网络接口118,包括但不限于标准电话线、LAN或WAN链路(如802.11、Tl、T3、56kb、X.25)、宽带连接(例如,ISDN、帧中继、ATM)、无线连接或它们的任意或者全部的一些组合。网络接口118可以包含内置网络适配器、网络接口卡、PCMCIA网卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适合将计算装置100对接到能够通信和进行这里所描述的搡作的任一类型网络的任一其它装置。在计算装置100中提供I/O设备130a-130n的多个种类。输入装置包括键盘、鼠标、轨道垫、轨道球、麦克风、以及绘画板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机、及染料升华(dye-sublimation)打印机。如图1C所示,I/O装置可以由I/O控制器123控制。工/0控制器可以控制诸如键盘126和定点装置127(例如鼠标或者光学笔)的一个或者多个I/0装置。此外,1/0装置也可为计算装置IOO提供存储器128和/或安装介质116。仍然在其他实施例中,计算装置IOO可以提供USB连接用来4矣收手持USB存储装置,例如由California,LosAlamitos的TwintechIndustry有限公司制造的USB闪烁驱动器系列装置。0037在有些实施例中,计算装置100可以包括多个显示装置124a-124n或与其相连,这些显示装置可以是相同或不同的类型和/或形式。比如,1/0设备130a-130n中的任意一个和/或1/0控制器123可以包括任意类型和/或形式的适当硬件、软件或软硬件组合以支持、启用或提供计算装置IOO对多个显示装置124a_124n的连接和使用。例如,计算装置100可以包括任意类型和/或形式的视频适配器、视频卡、驱动程序和/或与显示装置124a-124n对接、通信、连接或使用显示装置的库。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置U4a-124n对4^。在其它实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置124a-124n中的一个或多个相连。在有些实施例中,计算装置100的操作系统的任意部分都可以被配置用于使用多个显示器124a-124n。在其它实施例中,显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供,例如通过网络与计算装置100相连的计算装置100a和100b。这些实施例可以包括被设计和构造的任一类型的软件,以使用另一个计算机的显示装置作为计算装置100的第二显示装置1Ma。本领域的4支术人员将认识并领会到可以将计算装置100配置成拥有多个显示装置124a-124n的各种不同的方式和实施例。0038在进一步的实施例中,1/0设备130可为在系统总线150和外部通信总线间的桥170,外部通信总线例如USB总线、AppleDeskt叩总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire800总线、Ethernet总线、AppleTalk总线、GigabitEthernet总线、异步传输模式总线、HIPPI总线、SuperHIPPI总线、SerialPlus总线、SCI/LAMP总线、FibreChannel总线、或者串行连接(SerialAttached)小型计算机系统接口总线。0039图1C和图ID中描述的通用计算装置100通常在操作系统的控制下操作,该操作系统控制对任务的调度和对系统资源的访问。计算装置100可jti^行^^可才喿怍系统,例如MicrosoftWindows操作系统的4封可版本,Unix和Linux4喿怍系统的不同片反本,用于Macintosh计算机的Mac0S⑧的^^]7脉,4^f可嵌入式才刻乍系统,^f可实时才剁乍系统,^f可开放源才剁乍系统,^^可专有^f乍系统,用于移动计算装置的^l可才喿作系统,或者可以在计算装置上运行并^U亍此处所述操作的任4可其它#^(乍系统。典型的才喿作系统包4舌由Washington,Redmond的Microsoft公司制造的WINDOWS3.x、WINDOWS95、WINDOWS98、WINDOWS2000、WINDOWSNT3.51、WINDOWSNT4.0、WINDOWSCE、WINDOWSXP;由California,Cupertino的Apple计算才几乂>司制造的MacOS;由NewYork,Armonk的InternationalBusinessMachines制造的OS/2;以及由Utah,SaltLakeCity的Caldera公司发布的、可自由获得的操作系统Linux,以及除此之外的任意类型和形式的Unix操作系统。0040在其它实施例中,计算装置100可以具有与该装置相容的不同的处理器、操作系统和输入装置。例如,在一个实施例中,计算机100是palm公司生产的Treol80、270、1060、600或者650的智能电话。在此实施例中,Treo智能电话在PalmOS操作系统的控制下运行并且包括触针输入装置以及五向导向装置。此外,计算装置IOO可以是任意工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话或任意其它计算机、或能够通信并有足够的处理器能力和存储空间完成这里所说明的操作的其它形式的计算或者电信装置。B、设备架构0041图2A示出设备200的一个示例实施例。图2A中的设备200的结构仅仅通过示意的方式被提供,并不意于要限制本发明。如图2所示的,设备200包括硬件层206和分为用户空间202和内核空间204的软件层。0042硬件层206提供硬件元件,在内核空间204和用户空间202内的程序和月l务在该硬件元件上被^Vf亍。硬件层206^i是供结构和元件,使得在内核空间204和用户空间202内的程序和服务对于设备200驴4内又向夕卜传输数据。如图2所示,硬件层206包括用于^/f亍软件程序和服务的处理单元262、用于^f诸软件和数悟的存储器264、用于在网络上发送和接收数据的网络端口266以頭于#^亍涉及数据在网络上^tt送和接收的加密套接字协议层处理功能的加密处理器260。在一些实施例17中,中^J:理单元262可在单独的处理器中扭/f亍加密处理器260的功能。另夕卜,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1C和1D所述的任意处理器101。在一些实施例中,中^t理单元262可在单独的处理器中扭軒加密处理器260的功能。另夕卜,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262,。在务f也实施例中,处理器262或者262,包括多核处理器。0043虽然示出的设备200的硬件层206通常带有加密处理器260,但是处理器260可为扭軒涉及〗封可加密协议的功能的处理器,例如加密套接字协议层(SSL)或者传输层^(TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并iL^进一步的实施例中,可为用于^f亍^f可^r相关协i^J:理的可l^亍指令。0044虽然在图2中设备200的硬件层206被示出具有一些元件,但是设备200的硬"f^卩分或部件可包^i十算装置的任何类型和形式的元件、硬件或软件,例如此处结合图1C和1D讨^^口示出的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、交换机、桥接器或其它类型的计算或网络装置,并且拥有与jtbf目关的^f可硬件和/或软件元件。0045设备200的才剁乍系统分配、管理或另外分离可用的系乡A^f诸器到内核空间204和用户空间202。在示例的软件结构200中,操作系统可为4^f可类型和/或形式的Unix才剎乍系统,^^发明并未如此限制。同样的,设备200可iLi^行^f可才刺乍系统,例如MicrosoftWindows才喿作系统的^^f可片反本,Unix和Linux才乘作系统的不同版本,用于Macintosh计算机的MacOS⑧的^^pd^,任"f可^v式才条怍系统,^f可网络4喿作系统,任何实时操怍系统,^f可开放源梯作系统,任何专有揭作系统,用于移动计算装置或网络装置的任何操作系统,或者可以在设备200上运行并"l^亍此处所述操怍的^f可其它操怍系统。0046内核空间204被保留用于运行内核230,包括^""i殳^^区动器、内核扩展或^^也内核相关软件。就^iM页域技术人员所知的,内核230是4^f乍系统的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根才^i殳备200的实施例,内核空间204也包括与高速緩存管理器232协同工作的多个网络服务或进程,有时^i^尔为集成的高速緩存,其益处此处将进一步详细描述。另夕卜,内核230的实施例^^赖于通it设备200安装、配置或其^也方式使用的4乘怍系统的实施例。0047在一个实施例中,设备200包括一个网络i斜戋267,例如基于TCP/IP的堆栈,用于与客户端102和/或服务器106通信。在一个实施例中,使用网络i斜戋267与诸如网络108的第一网络以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户端102的TCP连接,并建立到服务器106的第二传输层连接,用于由客户端102使用,例如,在设备200和服务器106处终止第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络i斜戋,例如267或267,,并且在一个网络i斜戋267可建立或终止第一传输层连接,在第二网络i斜戋267,上可建立或者终止第二传输层连接。例如,一个网络i斜戋可用于在第一网络上接收和传输网络包,并且另一个网络i械用于在第二网络上接收和传输网络包。在一个实施例中,网络i斜戋267包括用于排队一个或多个网络包的緩冲器243,其中网络包由设备200传输。0048如图2所示,内核空间204包括高速緩存管理器232、高速层2-7集成包引擎240、加密引擎234、策略引擎236以及多协i^E缩逻辑238。在内核空间204或内核才莫式而不^户空间202中运行这些部件或过程232、240、234、236和238提高这些部件中的每个单独的和结合的性能。内核操作意味着这些部件或过程232、240、234、236和238在设备200的操怍系统的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密4封乍到内核来改淑口密性能,从而可减少在#^诸空间或在内核模式中的内核线程与##空间或在用户模式中的线程的传输的数量。例如,在内核模式中获得的数据不需凌传输或拷贝到运行在用户模式的进禾liy財呈,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另夕卜,在<封可部件或过程232、240、235、236和238间的同步和^间的通信在内核空间204中可被才;W亍地更有效率。0049在一些实施例中,部件232、240、234、236和238的4^f可部分可在内核空间204中运行或才喿作,而这些部件232、240、234、236和238的其他部分可在用户空间202中运行iU剁乍。在一个实施例中,设备20(HM内核级数据结构来提供对一个或多个网络包的^f可部分的访问,例如,网络包包括来自客户端10的请求或者来自服务器106的响应。在一些实施例中,由包引擎240通过传输层驱动11#口或到网络:t械267的过滤器获得内核级数据结构。内核级数据结构可包4封封可接口和/或通过与网络:t斜戋267相关的内核空间204可访问的数据、由网绍J斜戋267接收或传输的网络业务或包。在其他实施例中,任4可部件或进程232、240、234、236和238可^fM内核级数据结构来#^亍部件或进程期望的4刻乍。在一个实施例中,当^JD内核级数据结构时,部件232、240、234、236和238在内核模式204中运行,而在另一19个实施例中,当^^]内核级数据结构时,部件232、240、234、236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传车t^第二内核级数据结构,或4封可期望的用户级凄t据结构。0050高速缓存管理器232可包括软件、硬件或软件和硬件的任意组合,以提供对任何类型和形式的内容的高速緩存访问、控制和管理,例如对象或由源服务器1061l务的、动态产生的对象。由高速緩存管理器232处理和^^渚的数据、对M内容可包括4勤可格式的数据,例如标记语言,或通过^^可+办i5Ut信。在一些实施例中,高速緩存管理器232复制^H诸在其它地方的原始数悟或先前被计算、产生或传输的数据,其中相对于读高速緩存元件,原始数据可能需要更长的访问时间以便取得、计算或以别的方式获得。一^l丈据^皮^^诸在高速缓存^i诸元件中,将来的^^可通过i方问高速緩存的副本而非再取回或再计算原始数据而获得,因而减少了访问时间。在一些实施例中,高速缓存^(渚元件nat包才射殳备200的^f诸器264中的数据对象。在其它实施例中,高速緩存^^渚元件可包括具有比^H渚器264更决的^^诸时间的^^诸器。在另一个实施例中,高速缓存^f诸元件可以包^i殳备200的<爿可类型和形式的^(诸元件,诸如硬盘的部分。在一些实施例中,处理单元262可^是供-故高速緩存管理器232<錢的高速緩存##器。在又一个实施例中,高速緩存管理器232可^^^j渚器、存储设备或处理单元的4封可部^^组合来高速緩存数据、对M其它内容。0051另外,高速^爰存管理器232包括用于扭軒此处描述的设备200的技术的任一实施例的^~"逻辑、功能、规则或才^i乍。例如,高速緩存管理器232包括基于无效时间周期的终止,或者/Xll户端102或服务器106接"t^效命令,无效对象的逻辑或功能。在一些实施例中,高速緩存管理器232可作为在内核空间204中#(^亍的禾踏、月良务、进牙1^任务来才剩乍,并财其它实施例中在用户空间202中才剁乍。在一个实施例中,高速緩存管理器232的第一P分在用户空间202内衫W亍,而第二部分在内核空间204内#^亍。在一些实施例中,高速緩存管理器232可包括任何类型的通用处理器(GPP),或者^j可其它形式的集成电路,例如现场可编程门阵列(FPGA)、可编禾liE辑器件(PLD)或者专用集成电路(ASIC)。0052策略引擎236可包括,例如,智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、限定或配置高速緩存策略。在一些实施例中,策略引擎236也访问^j诸器以支持数据结构,例如查4汰(lookuptable)或哈希(hash)表,以启用用户选择的高速緩存策略决定。在其它实施例中,除了对安全、网络业务、网络访问、压缩或其它任何由设备200执行的功能或才射乍的访问、控制和管理W卜,策略引擎236可包括^f可逻辑、规则、功能或操作以决定和提供对设备200所高速緩存的对象、数据、或内容的访问、控制和管理。特定高速緩存策略的其它实施例在此处进一步描述。0053加密引擎234包括用于控制^f可^^相关协i^J:理,例如SSL或TLS,或其相关的^i可功能的^f可逻辑、商业规则、功能或才斜乍。例如,加密引擎234加密并解密通过设备200通信的网络包,或其^f可部分。加密引擎234也可43<^户端102a-102n、月良务器106a-106n或设备200来安絲建立SSL或TLS连接。同样的,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234佳月P^协i^^提供^l户端102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260通信。在其它实施例中,加密引擎234包括运行在加密处理器260上的可4W于指令。0054多协议压缩引擎238包括用于压缩一个或多个网络包协议(例:M皮设备200的网绍3斜戋267使用的^f可协议)的^f可逻辑、商业规则、功能或才^f乍。在一个实施例中,多协议压缩引擎238双向压缩#户端102a-102n和服务器106a-106n间^f可基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件email)、文件传丰tt办议(FTP)、超文本传丰針办议(HTTP)、通用Internet文件系统(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及IP_tig(VoIP)协议。在其它实施例中,多协i^缩引擎238提供基于超文W示记语言(HTML)的协议的压缩,并且在一些实施例中,提^f^f可标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协"iJUi缩引擎238提^f壬何高性能协议的压缩,例如为设备200设计的用于设备200通信的^f可协议。在另一个实施例中,多协议压缩引擎238使用修改的传输控制协议(例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP(TCP-LW)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议)来压缩^^可通信或其^itf效载荷。0055同样的,多协议压缩引擎238通过桌面客户端,例如MicosoftOutlook和非web瘦客户端,诸如由通用企业应用像Oracle、SAP和Siebel启动的任rf可客户端,甚至移动客户端(例如便携式个人计算机),拟。速用户访问应用的执行。在一些实施例中,多协"RH缩引擎238通錄内核模式204内部才;W亍并与访问网络i斜戋267的包处理引擎240集成,可以压缩TCP/IP协议承载的^frf可协议,例如4勤可应用层协议。,通常^#为包处理引擎,或包引擎,通过网络端口266负责设备200接收和传输的包的内核l狄理的管理。高i4^2-7集成包引擎240可包括在处理期间用于排队一个或多个网络包的緩沖器,例如用于网络包的接》]线者网络包的传输。另夕卜,高it^2-7絲包引擎240通过网络端口266与一个或多个网络i斜戋267通信以发送和接收网络包。高絲2-7絲包引擎240与加密引擎234、高速緩存管理器232、策略引擎236和多协iiOE缩逻辑238协同工作。更具体地,配勤卩密引擎234以执行包的SSL处理,配置策略引擎236以^W亍涉及业M^理的功能,例^t求级内容切换以及请求级高速緩冲重定向,并配置多协议压缩逻辑238以扭J亍涉^J史据压缩和解压缩的功能。0057集成高a2-7的包引擎240包括包处理定时器242。在一个实施例中,包处理定时器242提供一个或多个时间间隔以触发输入的(即接收的或者输出的(即传输的))网络包的处理。在一些实施例中,高ii^2-7集成包引擎240响应于定时器242处理网络包。包处理定时器242向包引擎240提#^~-类型和形式的信号以通知、触发或传输时间相的关事件、间隔或发生。在许多实施例中,包处理定时器242以毫秒旨行,例如100ms、50ms、或25ms。例如,在一些实施例中,包处理定时器242提供时间间隔或者使由高速层2-7集成的包引擎240以10ms时间间隔处理网络包,而在其它实施例中,以5ms时间间隔,并iL^进一步的实施例中,短到3、2或lms时间间隔。高速层2-7集成包引擎240在操怍期间可与加密引擎234、高速緩存管理器232、策略引擎236以及多协^^缩引擎238连接、城或通信。同样的,响应于包处理定时器242和/或包引擎240,可#^亍加密引擎234、高速緩存管理器232、策略引擎236以及多协议压缩引擎238的^f可逻辑、功能或操作。因此,可在由包处理定时器242^是供的时间间隔粒度(例如少于或等于10ms的时间间隔)扭J亍加密引擎"4、高速緩存管理器232、策略引擎236以及多协议压缩引擎238的^f可逻辑、功能或操作,。例如,在一个实施例中,响应于高i^2-7集成包引擎240和/或包处理定时器242,高速緩存管理器232可^f亍任何所高速緩存的对象的无效。在另一个实施例中,高速緩存的对象的终止或无效时间被设定为与包处理定时器242的时间间隔相同的粒度级,例如每10ms。0058与内核空间204不同,用户空间202是才剁乍系统的^f诸区itt部分,被用户模iUS用或在用户模式中以其他方錄行的禾踏所4躺。用户模iUS用不能直接访问内核空间204并且为了访问内核服务而^JI]服务调用。如图2所示,设备200的用户空间202包括图形用户界面(GUI)210、命令行接口(CLI)212、壳服务(shellservice)214、健康监控程序216以及守护(daemon)月l务218。GUI210和CLI212提供一种方法,通过该方法系统管理员或其他用户可与设备200的才斜乍交互并控制该设备200的#|乍,例如通过设备200的才剩乍系统,并M者^户空间202或者内核空间204。GUI210可为^f勤可类型和形式的图形用户界面,并且可通iii:本、图形或其它^-~类型的程序或应用来呈现,例如浏览器。CLI212可为任何类型和形式的命令行或基于文本的接口,例如通过操作系统提供的命令行。例如,CLI212可包4舌壳(shell),该壳是使得用户能够与#^系统交互的工具。在一些实施例中,可通过bash、csh、tcsh或者ksh类型的壳提供CLI212。壳服务214包4封誘、服务、任务、进禾試可才Aff指令以支持由用户通过GUI210和/或CLI212与#^乍系乡城者^殳备200的交互。0059^^it^监控禾辨216来监控、检查、报告并确保网络系乡说行正常以賴户jEit过网^4妾收请求的内容。At监控禾踏216包括一个或多个禾踏、月良务、任务、进禾咸可才W亍指令,为监控设备200的4^f可行为来提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216^#1并检查通过设备200传递的任何网络业务。在其他实施例中,健康监控程序216通过^f可合适的方法和/或机制与一个或多个下述设备连接加密引擎234、高速緩存管理器232、策略引擎236、多协议压缩逻辑238、包引擎240、守护服务218以及壳服务214。同样的,#^监控程序216可调用^^可应用编程接口(API)以确定设备200的4封可部分的状态、情况或俛泉。例如,it^监控牙1^216可定期查验或发送状态查询以检查禾踏、进程、月良务或任务是否净&敫活并当前iE^行。在另一个例子中,^^监控程序216可检查由^f可禾錄、进程、月良务或任务提供的^^可状态、4fi吴或历史日志以确定设备20(H勤可部分的^^可^^牛、状态或4射吴。0060守护服务218是连续地威在后台中运行的程序,,并M理由设备200接收的周期性服务请求。在一些实施例中,守护服务向其^4I^或进程转发请求,例如向合适的另一个守护服务218。如本领域技术人员所/^口的,守护服务218可M监护的运行,以扭軒连续的或周期性的系统范围功能,例如网络控制,或者^W亍^f可期望的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其他实施例中,一个或多个守护服务218运行在内核空间。00615^参见图2B,该框图描述设备200的另一个实施例。总的来说,设备200提供以下服务、功能性或者才剩乍的一个或者多个用于一个或者多个客户端102和一个或者多个服务器106之间的通信的SSLVPN连接性280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一个实施例中,设备200包括由Ft.LauderdaleFlorida的CitrixSystem公司制造的任意一个网络装置,称为CitrixNetScaler装置。服务器106的#"~个可以提^-~个或者多个网络相关服务270a-270n(称为月良务270)。例如,月良务器106可以提供http月良务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协^(i良务器,称为vServer、VIP服务器或者^f又是VIP275a-275n(此处^#、为vServer275)。vServer275才財^i殳备200的配置和##来接收、拦截或者以其他方式处J1^户端102和服务器106之间的通信。0062vServer275可以包括软件、硬件或者软件和石更件的任意组合。vServer275包括在用户才莫式202、内核模式204或者设备200中的任意组合中运行的任意类型和形式的程序、服务、任务、进禾1^者可才^亍指令。vServer275包括任意逻辑、功能、规则或者净刻卡,以^/f亍此处所述技术的任意实施例,诸如SSLVPN280、转换/负载平衡284、i^^服务解析286、加速288和应用防火墙290。在一些实施例中,vServer275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户端102或者vServer275并与之通信的任意程序、应用、进程、任务或者可"i^亍指令集。例如,月良务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,月l务270为守护进禾試者网络驱动器,用于监听、接收和/或发送用于应用的通信,诸如电子邮件、数据库或者企业应用。在一些实施例中,服务270可以在特定的IPi4i止、或者IP地址和端口上通信。0063在一些实施例中,vServer275应用策略引擎236的一个或者多个策略到客户端102和服务器106之间的网络通信。在一个实施例中,该策略与vServer275相关。在另一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vServer275a-275n和通过设备100通信的任意用户或者用户组。在一些实施例中,策略引擎的策s^有基于通信的任意内容应用该策略的条件,通信的内容诸如协i^也址、端口、协议类型、包中的首部或者域、或者通信的上下文,该通信的上下文诸如用户、用户组、vServer275、传输层连接、和/或客户端102或者服务器106的标识或者属性。0064在其他实施例中,设备200和策略引擎236通信或者连接,以确定远程用户或者远禾錄户端102访问计算环境15、应用、和/或来自服务器106的数据文件的马^i財口/或授权。在另一个实施例中,设备200和策略引擎236通信或者连接,以确定远程用户或者远禾1^户端102的验证和/或授^^使得应用传送系统l卯传送一个或者多个计算环境15、应用、和/或数据文件。在又一个实施例中,设备200基于策略引擎236验i咏/或授权远程用户或者远禾l^户端102来建立VPN或者SSLVPN连接。在一个实施例中,设备200基于策略引擎236的策略来控制网络业务和通信会话的流。例如,设备200可以基于策略引擎236来控制对计算环嫂15、应用或者数才居文^f牛的i方问。0065在一些实施例中,vServer275与客户端102经客户端代理120建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275监听和接收来自客户端102的通信。在其他实施例中,vServer275与服务器106建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在另一个实施例中,vServer275将到客户端102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,vServer275建立到服务器106的传输层连接池并ili至^4匕的传输层连接多路1^客户端请求。0066沾一些实施例中,设备200提供客户端102和服务器106之间的SSLVPN连接280。例如,第一网络104上的客户端102请求建立到第二网络104,上的服务器106的连接。在一些实施例中,第二网络104,是不能从第一网络104路由的。在其他实施例中,客户端102位于公用网络104上,并JU良务器106位于专用网络104,上,例如企业网。在一个实施例中,客户端^J里120才誠第一网络104上的客户端102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户端102的所拦截的通信,加密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是〉'W匕的传输层连接。因此,设备200提供用于两个网络104、104,之间的客户端的端到端安她俞层连接。0067在一个实施例中,设备200寄M拟专用网络104上的客户端102的内部网互联网协议或者内部网IP282地址。客户端102具有;M也网络识别符,诸如互联网协议(IP)地iibf口/或第一网络104上的主才;U称。当经设备200连接到第二网络104',对于第二网络104,上的客户端102,设备200建立、分S己或者以其他方式提供内部网IP,其是网络识别符,诸如IP地址和/或主才/U称。设备200在第二或者专用网络104,上监听和接收^^]客户端建立的内部网IP282指向客户端102的任意通信。在一个实施例中,设备200用作或者代表第二专用网络104上的客户端102。例如,在另一个实施例中,vServer275监听和响应到客户端102的内部网IP282的25通信。在一些实施例中,如果第二网络104,上的计算装置100发送请求,设备200如同客户端102—样来处理该请求。例如,设备200可以响应对客户端内部网IP282的查验。在另一个实施例中,设备可以与第二网络104上请求与客户端内部网IP282的连接的计算装置100建立连接,诸如TCP或者UDP连接。0068在一些实施例中,设备200提供一个或者多个以下力口速技术288以錄户端102和服务器106之间通信l)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议緩沖;和6)高速緩存。在一个实施例中,设备200通过开启与f服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户端经互联网的重复数据访问,来为月良务器106衝醉由重复开启和关闭到客户端102的传输层连接所带来的多个处理负载。该技^此处^皮称为"连接池"。0069在一些实施例中,为了无缝拼接乂A^户端102经^/ft的传输层连接到服务器106的通信,设备200通ii^传输层协议级修改序列号和确认号来翻译或多路复用通信。这被称为"连接多路复用"。在一些实施例中,不需要应用层协议交互。例如,在入站包(即,/A^户端1024妄收的包)的例子中,包的源网络;4iiJ:被改变到诏:备200的输出端口的地址,并且目的网络地址被改变到指定的服务器的地址。在出站包(即,乂AI良务器106接收的包)的实例中,源网络i4iiU^l良务器106的地址被改变到设备200的输出端口的地址,并且目的MiiU人设备200的地址被改变到请》i^户端102的地址。包的序列号和确认号^f皮翻译为到客户端102的i殳备200的传输层连接上的^^户端102所期待的序列号和确认。在一些实施例中,传输层+办议的包斗交^^4皮重新计算以计Ail些翻译。0070在另一个实施例中,设备200提供转换或者负载平衡功能284用于^^端102和服务器106之间的通信。在一些实施例中,基于层4或者应用层请求数据,设备200分发业M"且将客户端请求指向服务器106。在一个实施例中,尽管网络层或者网络包的层2标识目的服务器106,但设备200确^l务器106利用传输层包的有效载荷所承载的应用信息和数据来分发网络包。在一个实施例中,设备200的健康监控程亭216监^创良务器的健康来确定分发客户端请求用于哪个服务器106。在一些实施例中,如果设备200探测到服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户端请求指向或者分发到另一个服务器106。0071在一些实施例中,设备200用作i^^服务(DNS)解析器或者以其他方式提供对来自客户端102的DNS请求的解析。在一些实施例中,设备拦截由客户端102发送的DNS请求。在一个实施例中,设备200以设备200所寄载的或其IP地iiL来响应客户端的DNS请求。在此实施例中,客户端102发送用于域名的网络通信到设备200。在另一个实施例中,设备200以第二设备200,所寄载的或其IP地址来响应客户端的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户端的DNS请求。0072在又一个实施例中,设备200提供用于客户端102和服务器106之间通信的应用防火墙功能性290。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙290防御拒^J良务(DoS)攻击。在其他实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236包括一个或者多个应用防火墙或者安全控制策略,用于提4^呆护避免不同类或者类型的基于web或者互联网的漏洞,诸如以下一个或者多个l)緩冲溢出,2)CGI-BIN^^彰从,3)表格/隐藏域才彰从,4)强制浏览(forcefulbrowsing),5)cookie或者^S舌定位,6)中断的访问控制列表(ACL)或者弱的口令,7)跨站脚本(XSS),8)命令注入,9)SQL注入,10)4fi^l虫发敏感信息漏,11)密码学的不安^f吏用,12)服务器误配置,13)后门和调试选项,14)web站点毁损,15)平台或者4喿怍系统漏洞,和16)零天攻击。在一个实施例中,应用防火墙290为以下一个或者多个以检查或者分析网络通信的形式来提供HTML格式域保护1)返回所请求的域,2)不允许增加域,3)只读和隐藏i絲行,4)下拉列表和单选^fel丑一致,5)表域最大长度^f亍。在一些实施例中,应用防火墙290确保没有修改cookie。在其他实施例中,应用防火墙290通过I^亍合法的URL以防御强制浏览。0073仍在又一些实施例中,应用防火墙290保护包括在网络通信中的任意机密信息。应用防火墙290可以根据51擎236的规则或者策略^^r查或者分析任意网络通信,以识别网络包的任一域中的任一机密信息。在一些实施例中,应用防火墙290识别网路通信中的信用卡号、口令、社会安全号码、名称、患者号码、接触信息和年龄的一个或者多个的出现。网络通信的编石解p分可以包4链些的出现或者机密信息。基于这些出现,在一个实施例中,应用防火墙290可以在网络通信上采取策略,诸如阻止传输网络通信。在另一个实施例中,应用防火墙290可以重写、移动或者以其他方式掩蔽该所识别的出现或者机密信息。C、客户端代理0074i^看图3,描ii^户端代理120的实施例。客户端102包括客户端代理120,用于经网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户端102在计算装置100上才剩乍,该计算装置100拥有带有内核模式302以A^]户模式303的操怍系统,以及带有一个或多个层310a-310b的网络i斜戋310。客户端102可以已经安装和/或#^亍一个或多个应用。在一些实施例中,一个或多个应用可通过网络i斜戋310与网络104通信。诸如web浏览器的应用之一也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或^^f亍客户端代理120,或其中任意部分。客户端代理120包括4^^几制或者4誠器350,用于l誠经由网络i斜戋310来自一个或者多个应用的网络通信。0075^:户端102的网络i斜戋310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络i斜戋310包括用于网络协"RI且的软件实现。网绍J斜戋310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式系统互联(OSI)通信模型的^i可网络层。同样的,网络i斜戋310可包括任意类型和形式的协议,这些协议用于OSI模型的^f可以下层l)物理船各层,2)射,各层,3)网络层,4)传输层,5)^舌层,6)表示层,以及7)应用层。在一个实施例中,网络i斜戋310可包括在互联网协议(IP)的网络层协iJUi的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在Ethernet协i5Ui承载TCP/IP协议,Ethernet协议可包括IEEE广域网(WAN)或局域网(LAN)协议的4封可族,例3—皮IEEE802.3覆盖的那些协议。在一些实施例中,网络i斜戋310包括<爿可类型和形式的无线协议,例如IEEE802.11和/或移动互耳关网协-议。0076考虑基于TCP/IP的网络,可^^HS可基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传车#|办议(FTP)、超文本传秀lrf办议(HTTP)、通用互联网文件系统(CIFS)协议(文件传输)、独立计勒匡架(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议,以及IP语音(VoIP)协议。在另一个实施例中,网络i斜戋310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP(T/TCP),带有选择确认的TCP(TCP-SACK),带有大窗口的TCP(TCP-LW),拥塞预测i"办议,例如TCP-Vegas协议,以及TCP电子其太骗切4义。在其他实施例中,^^可类型和形式的用户数据报协议(UDP),例如IP上UDP,可被网络i1^戋3l0使用,诸如用于语音通信或实时数据通信。0077另外,网络i斜戋310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP驱动器或网络层驱动器。网络驱动器可被包括作为计算装置100的才封卡系统的一p分或者作为计算装置100的^f可网纟^妾口卡或其它网络访问部件的-"^分。在一些实施例中,网络i斜戋310的^i可网络驱动器可^Jt制、修改或调整以提供网络堆28栈310的定制或修改部分,用来支持此处描述的任何技术。在其他实施例中,设计并构建加速程序120以与网络i斜戋310协同操怍或工作,上述网赠J械310由客户端102的4封乍系统安^iil以其他方式提供。0078网络;t斜戋310包括i^可类型和形式的接口,用于接收、获得、提供或以其他方式访问涉^l:户端102的网络通信的任何信息和数据。在一个实施例中,网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制、事件或回调机制、或^f可类型的接口技术。网络:^斜戋310通过接口可接》|线提供与网络i斜戋310的功能或才剁乍相关的^f可类型和形式的数据结构,例如对象。例如,数据结构可包括涉;oij网络包的信息和数据,或一个或多个网络包。在一些实施例中,数据结构包括在网络i斜戋310的协议层处理的网络包的一部分,例如传输层的网络包。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。内核^0'j数据结构可包括在内核模式302中才剁乍的网络舉戌310的部分获得的或涉及的数据结构,或者运行在内核模式302中的网络驱动器或其^4欠件,或者通雄才封乍系统的内核模式中运行或才斜乍的服务、进程、任务、线禾H其他可^f亍指令获得或接收的^f可数据结构。0079此外,网络i斜戋310的一些部分可在内核模式302中扭行或操作,例如,数^#^各或网络层,而其他部分在用户模式303中衫"亍或操怍,例如网络舉民310的应用层。例如,网络堆栈的第一部分310a可为应用提供对网络舉线310的用户模式的访问,而网络i斜戋310的第二部分310b提供对网络的访问。在一些实施例中,网络i斜戋的第一部分310a可包括网络i斜戋310的一个或多个更上层,例如层5-7的任意层。在其他实施例中,网络i斜戈310的第二部分310b包括一个或多个较低的层,例如层1-4的任意层。网络堆栈310第一部分310a和第二部分310b的每个可包括网络i斜戋310的^^可部分,在任意一个或多个网络层,在用户模式303、内核模式302,或其组合,或在网络层的^^可部分或者指向网络层的接口点,或用户模式303和内核模式302的1^可部分或指向用户模式303和内核模式302的接口点。0080拦截器350可以包括软件、硬件、或者软件和硬件的任意组合。在一个实施例中,"l議器350在网络i斜戋310的任意点4誠网络通信,并且重定向或者发送网络通信到由拦截器350或者客户端代理120所期望的、管理的或者控制的目的地。例如,^誠器350可以^M第一网络的网络i斜戋310的网络通信并M送该网络通信到设备200,用于在第二网络104,上传输。在一些实施例中,4誠器350包括含有诸^^皮构建^i殳计来与网络堆栈310连接并一同工作的网络驱动器的任意类型的驱动器的4誠器350。在一些实施例中,客户端代理120和/或I^器35(M剁乍在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,4誠器350包括滤波器驱动器、钩子机制、或者连接到网络舉线的传输层的任意形式和类型的合适网络驱动H4妄口,诸如通过传输驱动H4妄口(TDI)。在一些实施例中,^^器350连接到诸如传输层的第一协i^禾w者如传l針办^^之上的任意层的另一个协议层,例如,应用协i仏。在一个实施例中,4誠器350可以包括遵守网络驱动^^妄口规范(NDIS)的驱动器,或者NDIS驱动器。在另一个实施例中,拦截器350可以包括微型滤波器或者迷你端口驱动器。在一个实施例中,4誠器350或其部分在内核模式302中4剩乍。在另一个实施例中,拦截器350或其部分在用户模式303中操怍。在一些实施例中,拦截器350的"p分在内核模式302中才剁乍,而l誠器350的另"P分在用户模式303中才剁乍。在其他实施例中,客户端^J里120在用户模式303中才剩乍,^it过4誠器350连接到内核才莫式驱动器、过程、月良务、任务或者才剁乍系统的部分,诸如以获耳又内核级数据结构325。在其他实施例中,拦截器350为用户模式应用或者程序,诸如应用。0081在一个实施例中,拦截器350拦截任意的传输层连接请求。在这些实施例中,^誠器350^e传输层应用编程接口(API)调用以设置目的信息,诸如到期望位置的目的IP地址和/或端口用于定位。在此方式中,拉截器3504誠并且重定向传输层连接到由拦截器350或者客户端代理120控制或者管理的IP地址和端口。在一个实施例中,拦截器350为到客户端102的本地IP地址和端口的连接设置目的信息,客户端代理120正监听该本地IP地址和端口。例如,客户端代理120可以包括为重定向的传输层通信监听本地ip地址和端口的^jm务。在一些实施例中,客户端代理120随后将重定向的传输层通信传输到设备200。0082在一些实施例中,4議器35(H誠iiU服务(DNS)请求。在一个实施例中,客户端代理120和/或拦截器350解析DNS请求。在另一个实施例中,拦截器发i^斤拦截的DNS请求到设备200用于DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传输到客户端代理120。在一些实施例中,设备200经另一^"i殳备200,或者DNS月良务器106来解析DNS请求。0083在又一个实施例中,客户端代理120可以包括两个代理120和120,。在一个实施例中,第一代理120可以包括在网络i斜戋310的网络层操作的4議器"0。在一些实施例中,第一代理120^誠诸如互联网控制消息协议(ICMP)请求(例如,查马封口^i宗路由)的网络层请求。在其他实施例中,第二代理120,可以在传输层操作并Ji誠传输层通信。在一些实施例中,第一^J里120在网络i斜戋310的一层通信并且与第二^J里120,连接或者将所才^l的通信传输到第二代理120,。0084客户端代理120和/或4誠器350可以以对网络i斜戋310的任意其它协议层透明的方i^协i^操怍或与之连接。例如,在一个实施例中,拦截器350可以以对诸如网络层的、传输层之下的任意协"i^禾oi者如^^舌、表示或应用层协议的传输层之上的任意协"i^透明的方式在网蹈J斜戋310的传输层操作或与^ii接。这允许网络i斜戋310的其它协^^如意愿才斜卡并无需修改以用于^議器350。这样,客户端代理120和/或拦截器350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的^""协议提供的^^通信,诸如TCP/IP上的^—应用层协议。0085此外,客户端代理120和/或拦截器可以以对任意应用、客户端102的用户和与客户端102通信的诸如服务器的任意其它计算装置透明的方式在网络i斜戋310操Z乍或与之Ji-接。客户端代理120和/或4兰截器350可以以无需修改应用的方式被安装和/或#^亍^:户端102上。在一些实施例中,客户端102的用户或者与客户端102通信的计算装置未意识到客户端代理120和/或拦截器350的存在、扭行或者操作。这样,在一些实施例中,客户端代理120和/或拦截器350以对应用、客户端102的用户、诸如服务器的另一个计算装置、或者由拦截器350连接到的协i^之上和/或之下的任意协i^透明的方式被安装、IMt、和/或操作。0086客户端代理120包括加速程序302、流客户端306和/或收集^C理304。在一个实施例中,客户端代理120包括由Florida,FortLauderdale的CitrixSystems有限公司开发的独立计算结构(ICA)客户端或其任一部分,并且也指ICA客户端。在一些实施例中,客户端120包括应用流客户端306,用于从服务器106流式传输应用到客户端102。在一些实施例中,客户端代理120包括加速程序302,用于加速客户端102和服务器106之间的通信。在另一个实施例中,客户端代理120包括收集代理304,用于执行端点检测/扫描并且收集用于设备200和/或服务器106的端点信息。0087在一些实施例中,加速程序302包括客户端侧加速程序,用于^vf亍一个或多个加速技术以力口速、增强或以其他方法改iill户端与服务器106的通信和/或对服务器106的访问,例々"方问月良务器106才是供的应用。加速程序302的可才W亍指令的逻辑、功能和/或才剁乍可以#^亍一个或多个以下的力口速技术l)多协i滅缩,2)传输控制协议池,3)传输控制协议多路_^,4)传输控制协议緩冲,以及5)通过高速緩存管理器的高速緩冲。另夕卜,加速程序302可#^亍由客户端102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速禾辨302以集成的方式或者格式净W亍一个或者多个加速技术。另夕卜,力口速程序302可以在传输层协议的网络包的有效载荷承载的任意协议或者多协iiUi^^亍压缩。0088流客户端306包括用于接收和执行从服务器106所流式传输的应用的应用、程序、过程、服务、任务或者可执行指令。服务器106可以流式传输一个或者多个应用数据文件到流客户端306,用于播放、执行或者以其他方式引起客户端102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户端306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其他档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户端102。在另一个实施例中,客户端102解压缩、解包或者解档应用文件。流客户端306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户端306可以为可执行程序。在一些实施例中,流客户端306可以能够启动另一个可执行程序。0089收集代理304包括应用、程序、进程、服务、任务或者可^^行指令,用于识别、获取和/或收集关于客户端102的信息。在一些实施例中,设备200发送收集代理304到客户端102或者客户端代理120。收集代理304可以根据设备的策略引擎236的一个或者多个策略被配置。在其他实施例中,收集代理304发送在客户端102上所收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供客户端到网络104的连接的访问、验证和授权控制。0090在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户端的一个或者多个属性或者特征。例如,收集代理304可以识别和确定以下任意一个或者多个客户端侧属性1)操作系统和/或操作系统的版本,2)操作系统的服务包,3)运行的服务,4)运行的过程,和5)文件。收集代理304也可以识别和确定客户端上以下任意一个或者多个的存在或者版本1)防病毒软件,2)个人防火墙软件,3)防蠕虫软件,和4)互联网安全软件。策略引擎236可以具有基于客户端或者客户端侧属性的任意一个或者多个属性或者特征的一个或者多个策略。0091在一些实施例中,仍旧参见图3,第一程序322可以被用于自动地、静默地、透明地或者以其他方式安装和/或执行客户端代理120或其部分,诸如拦截器350。在一个实施例中,第一程序322包括^fH卩件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用#^亍。例如,第一禾J^包4封皮web浏览器应用运行和^的ActiveX控件,例如在##器空间或应用的上下文中。在另一个实施例中,第一程序322包括可^l^亍指令组,该可^Vf亍指^H且被例如浏览器的应用^A并^e。在一个实施例中,第一程序322包4封皮设计和构造的禾辨以安絲户端代理120。在一些实施例中,第一禾1^322通过网络从另一个计算装置获得、下载、或接4t^户端^J里120。在另一个实施例中,第"^1^322^于^1户端102的操作系统上安装例如网络驱动器的程序的安装程序或即插即用管理器。D、细粒度客户端侧機0092参见图4,描述用于提供细粒度客户端侧冲誠的系统的实施例。在一个实施例中,图4的系统提供用于^^户端102的通信的更细粒度机制,该客户端102具有经由设备200到网络104,的SSLVPN连接。总的来说,设备200包括应用路由表400。应用3各由表(ART)400提供网络目的描述410和/或客户端应用标识符450。在一些实施例中,应用路由表400经由网络目的描^识别被授权由客户端102访问的月良务器106上的应用或者服务270。在其他实施例中,应用路由表400经由客户端应用标识符450来识别运行在可以被授^J'j服务器106或者力l务器106的服务270的访问级别的客户端102上的应用。设备200可以发送应用路由表400到客户端102或者客户端代理120。客户端代理120使用应用路由表400基于应用路由表400来做出是否"f^l和发i^户端网络通信到设备200的决定,诸如经由到设备的SSLVPN卩錄。0093应用路由表400包括用于布置和存储此处所述信息的任意类型和形式的表、数据库、对象或者数据结构。在一些实施例中,应用路由表400经由设备的命令行接口212或者图形用户界面210被填充(populated)、配置、建立、编辑或者修改。在其他实施例中,设备路由表400经由客户端102、服务器106或者另一个计算装置100被填充(populated)、配置、建立、编辑或者修改。在一个实施例中,客户端102接收来自设备200的应用路由表400。例如,客户端代理120依据与设备200建立连接来接收应用路由表400。在另一个实施例中,客户端代理120从网络104上的服务器、web站点或者任意其它计算装置100来下载应用路由表400。在另一个实施例中,用户建立或者修改客户端102上的应用路由表400。30094在一些实施例中,应用路由表400包括一个或者多个网络目的描述410。网络目的描述410可以包括识别以下一个或者多个的信息目的网络标识符415、目的端口420、协议425、源网络标识符430、源端口435、和内部网应用名称440。目的网络标识符415和源网络标识符430可以包括主机或者域名称、和/或内部网协议地址。在一些实施例中,目的网络标识符415和源网络标识符43Q包括互联网协议地址的范围、互联网协议地址的列表和/或域或者主机名称的列表。目的端口420和源端口435识别网络通信端节点的一个或者多个端口号。例如,目的端口430可以识别用于http业务和http或者web服务器的端口80。在另一个例子中,目的端口430可以识别用于文件传输协议(ftp)的端口21。在一些实施例中,协议标识符425通过名称、号、版本或者应用来识别一个或者多个类型的协议。在其他实施例中,协议标识符425通过诸如层1-7的网络堆栈的层来识别协议。在一个实施例中,内部网应用名称440识别和目的网络标识符415和/或目的端口420相关联的应用的名称或者标识符。例如,内部网应用名称440可以识别经由目的网络标识符415和/或目的端口420访问的公司应用、数据库、或者电子邮件的名称。0095在一个实施例中,网络目的描述410通过互联网协议层信息或者网络层信息来识别网络104上的应用或者服务270的位置。例如,目的网络标识符415和目的端口可以识别网络104上应用的目的地址。在一些实施例中,网络目的描述410识别授权经由设备200访问的目的地。在另一个实施例中,网络目的描述410通过互联网协议层信息或者网络层信息来识别经由网络104访问服务器106的应用或者服务270的客户端的位置。例如,目的网络标识符415和目的端口420可以识别网络上应用的目的位置。在一些实施例中,网络目的描述410识别授权经由设备200访问网络104或者服务器106的客户端。在又一个实施例中,网络目的描述通过互联网协议或者网络层信息来识别客户端102和服务器106之间的业务流的源和目的。在一个实施例中,网络目的描述410识别客户端102和授权经由设备200访问的服务器106之间的业务流。0096在一些实施例中,应用路由表400包括一个或者多个客户端应用标识符450。客户端应用标识符450识别客户端102上操作或者被安装的应用,该客户端102被授权用于经由设备200访问网络104或者服务器106。在一个实施例中,客户端应用标识符450包括用于应用的可执行文件的名称,诸如应用的.exe文件的名称。例如,客户端应用标识符450可以包括名称"explorer.exe,,、"outlook.exe,,或者"wi丽ord.exe',。在其他实施例中,客户端应用标识符450识别进程或者可执行(文件)的镜像名称。在其他实施例中,客户端应用标识符450包括脚本的名称。在又一个实施例中,客户端应用标识符450包括可以或者正在客户端上操作的进程、任务或者服务的名称。仍在另一个实施例中,客户端应用标识符450包括进程标识符、或者PID、或者PID的范围。0097在一个实施例中,设备200的策略引擎236包括和应用路由表400关联的一个或者多个规则,或者其中任意部分。在一些实施例中,策略引擎236包括用于基于网络目的描述410访问、授权、和/或审核的策略。在其他实施例中,策略引擎236包括用于基于客户端应用标识符450访问、授权、和/或审核的策略。在其他实施例中,策略引擎236包括基于网络目的描述410和/或客户端应用标识符450的会话策略和/或业务管理策略。在又一个实施例中,客户端102包括用于基于网络目的描述410和/或客户端应用标识符450应用一个或者多个策略或者规则的策略引擎236。0098在操怍中,客户端代理120使用应用路由表400用于确定网络i械310上的网络通信以拦截。在一个实施例中,客户端代理120拦截具有识别或者对应于网络目的描述410的信息的网络通信。例如,对于应用路由表400的网络目的描述410的目的网络标识符415和/或目的端口420,客户端代理120可以^誠所指定的网络^N戋310上的网络包。在另一个实施例中,客户端代-里120拦截网络:t斜戋310上的网络通信,该网络通信;^自客户端102上与应用路由表400的客户端应用标识符450相对应的应用。在^^也实施例中,客户端代理120不4誠不对应于网路目的说明410或者客户端应用标识;降450的网络舉戌310上的网络通信。0099参见图5,描述客户端102基于由应用路由表400指定的粒度来拦截客户端102的网络通信的方法500的实施例。总的来说,该方法500,在步骤505,客户端102建立与设备200的诸如SSLVPN连接的连接。在步骤510,客户端代理120从设备200接收应用路由表400。在步骤515,客户端代理120拦截客户端102的请求。在一个实施例中,在步骤520,客户端代理120识别发起或者产生请求的应用。在步骤525,客户端代理120确定是否基于应用路由表400经由与设备200的连接发送所拦截的请求。例如,如果请求发起自客户端应用标识符450识别的应用,客户端代理120经由到设备200的连接来发送所拦截的请求。如果在步骤530客户端代理120确定允许所拦截的请求经由设备200访问网络104,客户端代理120经由到设备200的连接来发送所拦截的请求。否则客户端代理120丟弃该请求,或者允许其经由客户端102的网络堆栈310被发送。0100在进一步的细节中,在步骤505,客户端代理120与设备200建立传输层连接,诸如经由传输控制协议或者用户数据报协议。在一个实施例中,客户端代理120使用任意类型和形式的隧道协议来建立与设备200的隧道连接。在另一个实施例中,客户端代理120经由设备200建立与网络104的虚拟专用网络连接。例如,客户端代理120可以与设备200建立虚拟专用网络连接来连接第一网络104上的客户端102到第二网络104,。在一些实施例中,客户端代理120与设备200建立SSLVPN连4妄。在又一个实施例中,客户端代理120使用传输层安全(TLS)协议建立隧道或者虚拟专用网络连接。在一个实施例中,客户端代理120使用由FloridaFt.Lauderdale的CitrixSystemInc制造的公共网关协议(CGP)来建立隧道连接。0101在步骤510,客户端代理120获Wl者接JJ棘自设备200、客户端102的用户或者计算装置100的应用路由表400。在一个实施例中,客户端代理120依据与设备200建立连接来接收应用路由表400。例如,客户端代理120可以从设备200请求应用路由表400。在另一个实施例中,设备200发送应用路由表400到客户端代理120。例如,如果应用路由表400发生改变,设备200可以将改变传输或者推i^J)J客户端^J里120。在一些实施例中,客户端代理120Mi至由网络104可访问的客户端102或者计算装置100上的存储器加载或者打开应用路由表400。在又一个实施例中,客户端代理120从web站点诸如经由http下载应用路由表400。在进一步的实施例中,客户端^J里120经由文件传!針办议(FTP)传输具有应用路由表400的文件。在一个实施例中,用户#户端102上建立或者产生应用路由表。在另一个实施例中,用户配置^^户端代》里120以具有应用^各由表400。0102在步骤515,客户端代理120在网络堆栈310上拦截客户端102的请求。在一个实施例中,客户端代理120拦截来自客户端102上的应用的请求以打开传输层连接。在另一个实施例中,客户端代理120为已建立的传输层连接拦截应用的请求。在一些实施例中,客户端代理120拦截发往客户端102的第一网络104的网络包。在另一个实施例中,客户端代理120拦截36发往由到设备200的VPN连接所提供的第二网络104,的网络包。在一个实施例中,客户端代理120在网络堆栈310的传输层的接口拦截传输层网络包,诸如经由传输驱动接口(TDI)。在其他实施例中,客户端代理120在网络堆栈310的层4或者传输层或者之下的任意层拦截网络包,诸如网络或者IP层。在又一些实施例中,客户端代理120在层4或者之上的层拦截网络包,诸如网络堆栈310的应用层。0103在一些实施例中,在步骤520,客户端代理120通过任意适合的装置和/或机制来识别发起或者产生所拦截的请求的应用。在一个实施例中,客户端代理120经由系统级或者内核模式功能调用来确定应用的标识符。在一个实施例中,客户端代理120经由应用编程接口(API)确定应用的过程ID(PID)和/或名称,该应用与拦截请求的连接或者上下文相关联。在一些实施例中,客户端代理12G在客户端代理120经由网络堆栈310拦截应用的连接请求时确定应用的标识符。在其他实施例中,客户端代理120经由所拦截请求的有效载荷的检查来确定应用的标识符。在一个实施例中,客户端代理120在存储器中存储应用标识符,诸如数据结构、对象、表、文件或者数据库。在另一个实施例中,客户端120将应用的标识符和应用的传输层连接相关联并且保持这种关联,诸如经由客户端代理120建立的到设备200的传输层连接。0104在步骤525,客户端代理120使用应用路由表400来确定拦截客户端102的哪个网络通信并且经由与设备200所建立的连接发送。在一些实施例中,客户端代理120在第一网络104上拦截客户端102的网络通信,并且通过传输层连接或者应用层协议经由设备200发送到第二网络104,。通过仅拦截对应于应用路由表400的网络目的描述410和/或客户端应用标识符450的客户端的那些网络通信,客户端代理120提供经由到第二网络104,的隧道或者连接发送网络通信的更安全机制和更细粒度控制。在一个实施例中,客户端代理120检查或者分析所拦截的请求,以确定以下一个或者多个信息目的IP地址、目的端口、源IP地址、和源端口。在一些实施例中,客户端代理120获取该请求的网络包的网络层或者IP相关的信息中的任一个。0105在一个实施例中,客户端^j里120比4好射誠的请求的信息和应用路由表400的网络目的描述410。如果所拄截的请求匹配网络目的描述410,在步骤530,客户端代理120经由到设备200的连接来发i^斤栏截的请求。在其他实施例中,如果所^誠的请求不对应于网络目的描述410,在步骤535,客户端4"里120不经由到设备200的连接来发i^斤拦截的请求。在一些实施例中,客户端代理120丢弃所拦截的请求。在另一个实施例中,客户端代理120不栏截请求,而AAi午其经由客户端102的网络堆栈310通过。在一些例子中,客户端102经由客户端的第一网络104发送请求,而不是经由到设备200的连接。0106在一个例子中,客户端代理120/;J斤拦截的请求确定应用的标识符。在一些实施例中,客户端代理120查询和请求的连接或者上下文相关联的应用。在另一个实施例中,客户端代理120经由系统API调用来确定应用的名称和/或PID。在一些实施例中,客户端代理120从请求的网络包的检查或者分析来确^用。例如,在一个实施例中,客户端代理120使用网络包的有效载荷的信息来识别应用。0107在一个实施例中,在步骤525,客户端^里120比4^射誠的请求的信息与应用路由表400的^:户端应用标识符450。如果应用识别出的j^或者发i^斤拦截的请求匹酉逸户端应用标识符450,在步骤530,客户端代理120经由到设备200的连接发i^斤拦截的请求。在其他实施例中,如果所拦截的请求不对应于客户端应用标识符450,客户端代理120不经由到设备200的连接发i^斤拦截的请求。在一些实施例中,客户端代理120丢弃所拦截的请求,在另一个实施例中,客户端代理120不4議请求,而^L许其经由客户端102的网络i斜戋310传送。在一些例子中,客户端102经由客户端的第一网络104发送该请求,而不是到设备200的连接。0108在一些实施例中,应用路由表400识别客户端4V里120不应该冲誠的网络目的描述410和/或客户端应用标识符450。同样,在一个实施例中,上述描述的端请求。在另一个实施例中,客户端代理120如果不对应于网络目的描述410或者客户端应用标识符450,则经由设备200发iil^户端102或者应用的^f壬意网络通信。0109使用上述方法500,客户端代理120拦截并发送符合细微控制的应用说明的客户端102的那些网络包。以此方式并且在一些实施例中,客户端代理120和设备200提供更安全的网络隧道机制以连接客户端102到专用网络104'。在一个实施例中,客户端代理120拦截具有特定网络层并路由信息的网络包,并且转换经由层4的网络包的传输或者经由传输层连接的应用层信息到设备200。0110参见图6,描述了用于基于应用的标识来施加策略以控制应用经由设备200的访问方法的实施例的步骤。总的来说,在步骤605,客户端代理120建立与设备200的连接。在步骤610,客户端代理120拦截客户端102上的应用的请求,在步骤615,识别做出请求的客户端上的应用。在步骤620,客户端代理12G发送应用的标识符到设备200。在步骤625,客户端代理120发送所拦截的应用的请求到设备200。在步骤630,基于应用的标识和相关的策略,设备200确定访问级别以提供客户端102的应用。在步骤635,在一个实施例中,设备200授予应用经由设备对网络104或者服务器106的其中之一的访问级别。在另一个实施例中,在步骤640,设备200拒绝应用经由设备对网络104或者服务器106的访问级别。0111在详细描述中,在步骤605,客户端102诸如经由客户端代理120,来建立与设备200的连接。在一些实施例中,客户端代理120建立与设备200的传输层连接,诸如经由传输控制协议或者用户数据报协议。在一个实施例中,客户端代理120佳月任意类型和形式的隧道协i^建立与设备200的隧iti^接。在另一个实施例中,客户端代理120经由设备200建立与网络104的虚拟专用网络连接,诸如SSLVPN或者TLSVPN连接。在又一个实施例中,客户端代理120使用由Ft.Lauderdale的CitrixSystemInc制造的通用网关协议(CGP)来建立^titi^接。0112在步骤610,客户端代理120在网络堆栈310上4誠应用的请求。在一个实施例中,客户端^J里120才誠请求以打开经由设备200到月良务器106的传输层连接。在另一个实施例中,客户端代理120经由与设备200的所建立的传输层连4^誠到服务器的应用的请求。在一些实施例中,客户端代理120^tta^户端102的第一网络104的网络包。在另一个实施例中,客户端代理120^^^^ii必)j设备200的VPN连接所提供的第二网络104,的网络包。在一个实施例中,客户端代理120在位于网络i斜戋310的传输层的接口"f誠传输层网络包,诸如经由传输驱动接口(TDI)。截网络包,诸如网络或者IP层。仍在另一个实施例中,客户端代理120在网络i斜戋310的层4或者之上4誠网络包,诸如网络i斜戋310的应用层。0113在步骤615,客户端代理120识别产生或者^^斤拦截的请求的应用。在一个实施例中,客户端代理120经由系统层或者内核模式功能调用确定应用的标识符。在一个实施例中,客户端代理120经由应用编程接口(API)确定应用的过程ID(PID)和/或名称,该应用与拦截请求的连接或者上下文相关联。在一些实施例中,客户端代理120在客户端代理120拦截经由网络堆栈310的应用的连接请求时确定应用的标识符。在其他实施例中,客户端代理120经由所拦截请求的有效载荷的检查来确定应用的标识符。在一个实施例中,客户端代理120从数据结构、对象、表、文件或者数据库查询或者询问应用的标识符。在另一个实施例中,客户端代理120将应用的标识符和经由代理120到设备200的应用的传输层连接相关联并且保持这种关联。0114在步骤620,客户端代理120发送应用的标识符到设备200,诸如名称或者PID。在一个实施例中,客户端代理120经由在步骤605建立的连接发送应用的标识符到设备200,例如应用的传输层连接。在一些实施例中,客户端代理120经由网络包的首部或者域耒发送应用的标识符到设备200。在又一个实施例中,客户端代理120发送设备200的标识符作为发送到设备200的网络包的有效载荷的部分。在其他实施例中,客户端4V里120经由客户端代理120禾S殳备200之间的控制或者通信信iij^送应用的标识符。例如,客户端代理120^i史备200可以通过用于交换信息而建立的传输层连接(诸如TCP或者UDP)来传输信息。在一些实施例中,客户端代理120可以做出对设备200的远程过程或者功能调用,以为设备200识别应用。在一个实施例中,设备200关联应用的标识符到设备200所建立的应用的连接。在又一个实施例中,设备200依据经由设备200的应用的连接请求或者通过检查或者分析经由设备200的应用的网络业务的内容来确#用的标识。0115在步骤625,客户端代理120发送所拦截的应用的请求到设备200。请求可以是来自应用的任意类型和形式的网络通信。在一个实施例中,客户端代理120发送客户端102上的应用的连接请求到设备200。例如,应用可以请求打开与设备200或者经由设备200到服务器106的传输层、SSL或者TLS连接。在其他实施例中,客户端代理120可以拦截将经由到设备200的连接发送的应用的网络通信,并且发送所拦截的网络通信到设备200。在一个实施例中,随着所拦截请求的发送,客户端代理120发送应用的标识。在其他实施例中,设备200已经从客户端代理120接收到用于到设备200的连接的应用的标识。0116在步骤630,基于应用的标识和相关的策略,设备200确定访问级别以提供客户端102的应用。对于在步骤625发送的所拦截的请求,设备200从与应用关联的策略确定访问级别以提供到应用。在一个实施例中,设备200从客户端代理120接收所拦截的请求,并且查询用于和该请求或者用于发送该请求的连接相关联的应用的策略。在一些实施例中,用于由策略引擎236提供的应用的策略识别授权、访问和/或审核的类型以应用到所拦截的请求。在一些其他实施例中,设备200可以基于应用的标识来确定审核的内容、审核日志的位置和审核的类型和级别,用于执行。0117通过应用的名称、应用的类型或者通过应用的才莫式匹配名称,诸如以"ms*.exe,,开始,或者以诸如"*.pl"的特定文件类型扩展名结束的应用,策略可以与一个或者多个应用的列表相关联。在一些实施例中,对于应用,策略识别授权的类型以执行。例如,策略可以指示从该应用请求一个证书,用来在网络104,上发送所拦截的请求或发送所拦截的请求到服务器106。在另一个实施例中,策略可以指示应用可以需要双因素(two-factor)或者二次验证以准许经由设备200访问。在一些实施例中,策略可以基于应用的请求的类型来指示验证的类型。例如,诸如双因子验证的第一验证类型对到服务器106的打开连接请求可以是必需的,并且第二验证类型用于查询服务器106上的受保护目录。0118在另一个实施例中,策略识别经由设备200对网络104,或者服务器106的访问级别。在一个实施例中,策略通过应用的标识符来识别访问被准许或者拒绝。例如,设备200可以通过具有特定名称的应用来拒绝或者准许访问,诸如"outlook.exe"或者"msword.exe,,。在另一个实施例中,除非应用的标识符匹配未经由策略的给定访问的一个或者多个应用的列表,否则设备200可以准许访问所有的应用。在一些实施例中,除非应用的标识符匹配经由策略的给定访问的一个或者多个应用的列表,否则设备200可以拒绝访问所有的应用。在又一个实施例中,基于应用的标识符,设备200可以提供或者分配多个访问级别的其中之一给拦截的请求或者应用。例如,第一应用可以被分配经由设备对网络104或者服务器106的隔离的或受限的访问级别。在另一个实施例中,基于应用的名称,第二应用可以被分配给用户组,诸如分配命名为"perforce.exe"的应用到工程用户组,或者商业的名称或者RRP应用到商业用户组。0119基于步骤630的策略确定,在步骤635,在一个实施例中,设备200准许应用经由设备对网络104或者服务器106的其中之一的访问级别。在一些实施例中,基于应用提供的验证,诸如接收或者没有接收证书,以及应用的标识,设备200可以分配设备200的访问级别,诸如降级或者升级访问级别。在一个实施例中,设备200准许通过应用访问,并且发送所拦截的请求到其目的。在另一个实施例中,设备200许在接收第一请求时通过应用的访问,并且随后在将策略采用到第一请求之后,设备200允许通过应用持续访问。在一些实施例中,设备200将基于应用的策略施加到经由设备200发送的每一个所拦截的请求。在又一些实施例中,设备200将基于应用的策略施加到应用的请求的类型。0120在另一个实施例中,在步骤640,设备200拒绝应用经由设备对网络104或者服务器106的访问级别。在一些实施例中,设备200根据基于应用的策略拒绝通过应用的任意访问,并且丢弃所拄截的请求。在其他实施例中,设备20G降低通过应用的访问级别,并且根据分配的访问级别发送所拦截的请求。在一个实施例中,设备200在每一请求的基础上拒绝通过应用的访问。依据应用的一些请求,设备200拒绝访问,而设备200依据其他请求准许访问。例如,设备可以基于请求的类型来施加每个请求策略。0121在一些实施例中,在步骤630、635和/或640,基于应用的标识和任意临时信息,诸如请求的时间、应用经由设备建立连接的时间、和/或任意临时策略规则,设备200可以做出验证、授权或者审核策略决策。例如,设备200可以在特定时间周期被授权用于访问。如果设备在授权时间周期之外接收到所拦截的请求,设备200可以具有策略来拒绝对于所拦截请求的访问。此外,基于应用的策略可以与用户或者组策略组合来做出附加的访问、授权和验证策略决策,来提供或者不提供通过设备的访问级别。0122考虑到上述的客户端^j里禾^i殳备的结构、功能和才剩乍,客户端代理提供对客户端经由设备发送的网络通信的控制的细粒度,诸如经SSLVPN连接。客户端代理120可以通过应用名称或者网络或者IP层信息的任意部分和组合(诸如目的和源IP地址以及目的和源端口)来l誠通信。以此方式,客户端代理120能够4颠己置来拦截特定的网络业务模式,诸如从特定应用到特定应用的业务,和/或特定源端点到特定目的端点之间的业务。通it^户端或者其附近拦截和过滤网络业务,避免了不必要的网络业务被设M理,并JJ^免了设备需要;^口策略以保护网络。狄由设备保护的网^各^^供附加的安全性,而客户端^CJ里不发送不期望的网络业务到设备。jtUt,以每次应用为彭出,并且甚至以对于每次应用的每次请求为勤出,设备提供验i正、授权和审核策略的更细粒度的控制。4权利要求1、一种用于客户端代理基于应用的标识拦截从客户端经由虚拟专用网络连接发送的通信的方法,所述方法包括步骤(a)由第一网络的客户端代理接收识别第一应用的信息,以拦截自所述第一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信;(b)由所述代理从由所述客户端建立的多个网络通信中确定发起自所述第一应用的网络通信;(c)由所述代理拦截所述第一应用的所述网络通信;并且(d)由所述代理经由所述虚拟专用网络连接来发送所述第一应用的所述网络通信到所述第二网络。2、权利要求l的方法,包括由所述^J里从多个网络通信中确:t^自所^户端上的第二应用的第二网络通信,并且不拦截所述网络通信。3、权利要求2的方法,包括由所i^l户端经由所述第一网络发i^斤述第二网络通信。4、4又利要求1的方法,包括由所述设备发i^斤述信息到所述代理。5、权利要求l的方法,包括由所述设备发i^斤述第一应用的名称到所述代理。6、权利要求l的方法,包括由所述^J里拦截所识别的用于经由所述虚拟专用网络连接发送的客户端上的第一组应用的网络通信,并且所述代理不4^^户端上第二组一个或者多个应用的网络通信。7、权利要求l的方法,包括由所述^J里建立经由设备的到所述第二网络的虚拟专用网络连接。8、权利要求7的方法,包括由所述设备基于所述第一应用的标识准许或者拒绝对所述第一应用的i方问船'j。9、权利要求8的方法,包括由所述^Jl^i^斤述第一应用的标识到所述设备。10、一种用于客户端f^里基于应用的标识冲/^户端经由虛拟专用网络连接发送的通信的系统,所述系统包括用于由第一网络的客户端代理接收识别第一应用的信息的装置,以拦截自所述第一应用经由设备建立的虚拟专用网络连接向第二网络传输的网络通信;用于由所述代理从由客户端发送的多个网络通信中确定一个;^自所述第一应用的网络通信的装置;用于由所述代理4誠所述第一应用的所述网络通信的装置;和用于由所述代理经由所述虚拟专用网络连接发送所述第一应用的所述网络通信到所述第二网络的装置。11、权利要求10的系统,包括用于由所述^RJ里从多个网络通信中确^^自所*户端上第二应用的第二网络通信并且不拦截所述网络通信的装置。12、权利要求ll的系统,包括:用于由所4户端经由所述第一网络发^^斤述第二网络通信的装置。13、权利要求10的系统,包括用于由所述设备发i^斤述信息到所述代理的装置。14、权利要求10的系统,包括用于由所述设备发it/斤述第一应用的名称到所述代理的装置。15、权利要求10的系统,包括用于由所述^J里^^所识别的用于经由所述虚拟专用网络连接发送的客户端上的第一组应用的网络通信并JD斤述代理不^^客户端上第二组一个或者多个应用的网络通信的装置。16、权利要求10的系统,包括用于由所述代理建立经由设备的、到所述第二网络的虚拟专用网络连接的装置。17、权利要求16的系统,包括用于由所述设备基于所述第一应用的标识准许或者拒^^f所述第一应用的访问船'J的装置。18、权利要求17的系统,包括用于由所述4^^送所述第一应用的标识到所述设备的装置。19、一种用于i殳^^基于应用的标i口^f客户端上的所述应用经由虚拟专用网络连接对资源的访问船'J进行允许或者拒绝的方法,所述方法包括步骤(a)由设备建立第一网络上的客户端的应用和第二网络上的服务器之间的虛拟专用网络连接;(b)由所述设备接jR^斤述应用的标i。4寻;(c)由所述设备基于所述应用的标识符将所述虛拟专用网络连接与授权策略相关联;(d)由设备接收来自客户端上的应用经由所述虚拟专用网络连接对第二网络上的资源访问的请求;并且(e)由所述设备基于所述应用的标i口vT寻乂A^斤述授权策略来确;tiL许或者拒绝所述应用访问资源。20、权利要求19的方法,包括由所述i殳备拒绝由所述应用访问所述资源。21、权利要求20的方法,包括由所述设备发送指^^方问资源被拒绝的通信到客户端或者应用的其中之一。22、权利要求19的方法,包括由所述设备允许由所述应用访问资源。23、权利要求22的方法,包括由所述设备在第二网络嫂i^斤述请求。24、权利要求19的方法,包括由所ii^户端上的代》^^i^斤述应用的名称到所述设备。25、权利要求19的方法,包括由所述客户端上的代理经所述设备建立到所述第二网络的虚拟专用网络连接。26、权利要求19的方法,其中,所述应用的标识符包括所述应用的名称。27、权利要求19的方法,包括由所^户端的代理4^A^斤述应用连接到所述月良务器的i^^妄i青求。28、权利要求27的方法,由所述^J里/A/斤iii^接请求来确定所述应用的标识符。29、权利要求19的方法,包括由所述授4^:^旨^用的名称^i方问或者拒绝的授权。30、权利要求19的方法,包括由所述设备将应用的授权策略与客户端的用户相关联。31、权利要求19的方法,包括由所述设备基于所i^户端的用户来识别所述应用的所iiy受4又策略。资源的访问级别进行允许或者拒绝的系统,所述系统包括用于由设备建立第一网络上的客户端的应用和第二网络上的服务器之间的虚拟专用网络连接的装置;用于由所述"i殳备4矣收应用的标识符的装置;用于由所述i殳^^基于所述应用的标识符将所述虚拟专用网络连4妄与4更^L^^4目关4关的^^置;32用于由设备接>1棘自客户端上的应用经由所述虛拟专用网络连接对第二网络上的资源访问的请求的装置;并且用于由所述i殳备基于所述应用的标识符乂W斤述授权策略来确定允许或者拒绝所述应用访问资源的装置。33、权利要求32的系统,包括用于由所述设备拒绝所述应用访问资源的装置。34、权利要求33的系统,包括用于由所述设备发送指^H方问资源被拒绝的通信到客户端或者应用的其中之一的装置。35、权利要求32的系统,包括用于由所述设备允许所述应用访问资源的装置。36、权利要求35的系统,包括用于由所述设备在第二网络Ji^i^斤述请求的装置。37、权利要求32的系统,包括用于由所述客户端上的代^^i^斤述应用的名称到所述设备的装置。38、权利要求32的系统,包括用于由所述客户端上的代應经所述设备建立到所述第二网络的虚拟专用网络连接的装置。39、权利要求32的系统,其中,所述应用的标识符包括所述应用的名称。40、权利要求32的系统,包括用于由所ii^户端的代理I^A^斤述应用连接到所i^良务器的连接请求的装置。41、权利要求40的系统,包括用于由所述^5l^J斤iil^接请求确定所述应用的标识符的装置。42、权利要求32的系统,包括用于由所述授权策9^旨定应用的名称和访问或者拒绝的授权的装置。43、权利要求32的系统,包括用于由所述设备将应用的授权策略与客户端的用户相关联的装置。44、权利要求32的系统,包括用于由所述设备基于所ii^户端的用户来识别所述应用的所述授权策略的装置。全文摘要用于由客户端的代理拦截来自客户端的、经由虚拟专用网络连接发送的通信的方法包括基于通信发起的应用的标识来拦截通信的步骤。代理接收识别第一应用的信息。代理确定客户端发送的网络通信发起自第一应用,并且拦截该通信。代理经由虚拟专用网络连接发送所拦截的通信。所描述的另一个方法用于由设备允许或者拒绝客户端上的应用经由虚拟专用网络连接访问资源,包括基于决策依据应用的标识以允许或者拒绝访问。基于应用的标识,设备将拦截的请求与授权策略相关联。设备使用授权策略和应用的标识确定允许或者拒绝由应用访问资源。文档编号H04L29/06GK101636998SQ200780037175公开日2010年1月27日申请日期2007年8月2日优先权日2006年8月3日发明者A·穆立克,A·索尼,C·温卡塔拉曼,J·哈里斯,S·南琼达斯瓦米,何军晓申请人:思杰系统有限公司