封装到一消息中发送给其子进程。然后该子进程创建一会话状态结构,该状态结构类似于所述的虚拟域状态,并使用所述的方法完成对多个同步会话的处理。将来自单个虚拟域的所有会话分配给同一个子进程不是必需的,但是如这样做的话性能上会比较有优势。为了能够在子进程间适当地分配连接,在本发明的一实施例中,当一个会话断开时父进程接收到通告信息,这使得父进程能够跟踪为其每个子进程打开的会话的数目。
[0049]本发明的防火墙系统还可包括用于处理与所管理的任一虚拟域不相关联的网络内容的功能。这样的带外网络内容包括在高可用集群(HA)中的多个节点之间的通信,与板外(off-board)的网络驱动的硬件如服务器底架管理系统之间的通信,或来自终端服务器的连接。多数情况下,从这些网络发来的连接应该与来自其它网络的流量分开。在允许路由的情况下,为了避免将带外的流量与过滤的网络内容相混合,在本发明的一实施例中,将提供一独立的虚拟域以包含这些带外管理流量。
[0050]图5所示为用于实现本发明方法一实施例的计算机/服务器系统500的实施例。系统500包括计算机/服务器平台501,外围设备502和网络资源503。
[0051]计算机平台501包括数据总线504或者其他用于在计算机平台501内的各部分之间传输通信信息或者将信息传输通过该计算机平台的通信装置,以及与总线501结合用于处理信息和执行其他计算和控制任务的处理器505。计算机平台501还包括与总线504连接的易失性存储装置506,比如随机访问存储器(RAM)或者其他动态存储设备,用于存储处理器505所执行的各种信息与指令。易失性存储装置506也可以用于存储处理器505执行指令过程中的临时变量或其他中间信息。计算机平台501可以进一步包括与总线504连接的只读存储器(ROM或者EPROM或其它固件存储装置)507或者其他静态存储装置,用于存储处理器505所需的静态信息和指令,如基本输入输出系统(B1S),以及各种系统配置参数。还设置有永久存储装置508,如磁盘、光盘或者固态闪存装置,与总线501相连接,用于存储信息和指令。
[0052]计算机平台501可通过总线504与显示装置509相连接,比如阴极射线管(CRT)、等离子显示装置或者液晶显示装置(LCD),用于向计算机平台501的系统管理员或者用户显示信息。包括文字数字及其他键的输入设备510连接到总线501,用于与处理器505进行消息通信和命令选择。另一种用户输入设备为光标控制设备511,比如鼠标、轨迹球或者光标方向键,用于将方向信息和命令选择传送给处理器504,并用于控制光标在显示器509上的移动。这种输入设备典型地在两轴上具有两维自由度,第一轴(比如X轴)和第二轴(比如y轴),允许设备在平面内定位。
[0053]外部存储装置512通过总线504与计算机平台501连接,用于为计算机平台501提供额外的或者可移动的存储容量。在计算机系统500的实施例中,外部移动存储装置512可以使得与其他计算机系统的数据交换更便利。
[0054]本发明涉及用于实现本文描述的技术的计算机系统500的使用。在一实施例中,本发明的内容处理系统300和400可设置在如计算机平台501的装置中。在实施例中,数据库313可以配置在如计算机平台501的装置中。根据本发明的一实施例,在此描述的技术通过计算机系统500来执行以响应处理器505执行存储在易失性存储装置506中的一个或多个指令中的一个或者多个序列。这些指令可以从其他计算机可读介质如永久性存储装置508中读入易失性存储装置506中。易失性存储装置506中的指令序列的执行导致处理器505执行在此描述的处理步骤。在另一实施例中,硬线电路可以用于代替软件指令或者与软件指令相结合来实现本发明。因而,本发明的实施例并不局限于任何具体的硬线电路和软件的结合。
[0055]在此描述的“计算机可读介质”一词是指任何参与向处理器505提供执行指令的介质。计算机可读介质只是机器可读介质中的一个例子,其可承载用于实现在此描述的任何方法和/或技术的指令。这种介质有多种格式,包括但不限于,非易失性介质、易失性介质和传输介质。非易失性介质包括,例如,光盘或者磁盘,例如存储装置508。易失性介质包括动态存储器,如易失性存储器506。传输介质包括同轴电缆、铜线和光纤,其包括包含数据总线504的线缆。传输介质也可以采取声波或者光波的形式,比如在无线电波通信以及红外线数据通信中产生的波。
[0056]—般形式的计算机可读介质包括,比如,软盘、软碟、硬盘、磁带或者任何其他磁性介质、CD-ROM、任何其他光学介质、打孔卡片、纸带、任何其他有孔的物理介质、RAM、PROM,EPROM, FLASH-EPR0M、闪存驱动器、记忆卡、任何其他记忆片或者卡带、如下文描述的载波或者任何计算机可读的其它介质。
[0057]各种形式的计算机可读介质可承载处理器505执行的一个或者多个指令的一个或者多个序列。例如,指令最初可以是承载在远程计算机的磁盘中。或者,远程计算机可以将指令上载到它的动态内存中并使用调制解调器通过电话线发送指令。计算机系统500的本地调制解调器可以接收电话线上的数据并使用红外线转换器将数据转换成红外信号。红外检测器可以接收承载在红外信号上的数据且适当的电路可以将数据置于数据总线504上。总线504将数据传输到易失性存储装置506,处理器505从易失性存储装置506获取指令并执行。易失性存储装置506接收的指令可能在处理器505执行之前或者之后可选择地存储在永久存储装置508中。指令还可以通过互联网使用本领域公知的各种网络数据通信协议下载到计算机平台501中。
[0058]计算机平台501还包括通信接口,如与数据总线504连接的网络接口卡513。通信接口 513与连接到局域网络515的网络链路514可进行双向数据通信。例如,通信接口 513可以是向相应类型的电话线提供数据通信连接的综合服务数字网(ISDN)卡或者调制解调器。另外的示例中,通信接口 513可以是向兼容的LAN提供数据通信连接的局域网接口卡(LAN NIC)。无线链路,如公知的802.lla、802.llb、802.1lg以及蓝牙,也可以用于网络实现。上述任何实现中,通信接口 513发送和接收载有代表各种类型信息的数字数据流的电信号、电磁信号或者光信号。
[0059]网络链路514典型地通过一个或者多个网络向其他网络资源提供数据通信。例如,网络链路514可以通过局域网515提供到主机516或者网络存储器/服务器517的连接。另外或者作为选择地,网络链路514可以通过网关/防火墙517连接到广域网或者全球网518,如互联网。这样,计算机平台501可以访问位于互联网518上任何位置的网络资源,如远程网络存储器/网络服务器519。另一方面,计算机平台501也可以被位于局域网515和/或互联网518上任何位置的客户端访问。网络客户端520和521自身也可以基于与计算机平台501相似的平台来实现。
[0060]局域网络515和互联网518都使用载有数字数据流的电信号、电磁信号或光信号。承载着进出计算机平台501的数字数据的通过各种网络的信号、在网络链路514上的信号、以及通过网络接口 513的信号,是传输信息的载波的示例性形式。
[0061]计算机平台501可以通过包括互联网518、局域网515、网络链路514以及通信接口 513的各种网络发送信息和接收数据,包括程序代码。以互联网为例,当系统501作为网络服务器时,其可通过互联网518、网关/防火墙517、局域网络515以及通信接口 513为运行在客户端520和/或521的应用程序传输请求的代码或数据。类似地,它也可以从其他网络资源接收代码。
[0062]接收的代码可以在其被接收时即由处理器505执行,和/或分别存储在永久性或易失性存储装置508和506中,或者可存储在其他非易失性存储器中稍后执行。这种情况下,计算机系统501可以以载波的形式获得应用程序代码。
[0063]应该注意,本发明并不限于任何具体防火墙系统。本发明的基于策略的内容处理系统可以运行于任何防火墙模式中,包括但不限于网络地址翻译模式(NAT)、路由模式及透明模式。
[0064]最后,应该理解,本文所述的处理方法和技术并不固定涉及任何特殊装置,且其可通过任何组件的适当组合实现。此外,根据本文所述的指导可使用各种类型的通用目的装置。可证明构建专门的装置来执行本文所述的方法步骤是很有益的。本发明结合具体的示例进行描述,这些示例用于解释本发明而不是用于进行限制。本领域的技术人员将认识到硬件、软件和固件的多种不同的组合可适用于实施本发明。例如,所述软件可以用各种编程或者脚本语言实现,如Assembler、C/C++、per1、shell、PHP以及Java等。
[0065]而且,从本文对本发明的说明和实施的描述来考虑,本发明的