專利名稱：用于在具有流量管理的連接中使用端點審計的系統(tǒng)和方法
技術領域：
本申請總的涉及數(shù)據通信網絡。具體而言，本申請涉及用于在具有流量管理的連接中有選擇地認證、授權和審計的系統(tǒng)和方法。
背景技術：
公司或企業(yè)可跨越網絡部署各種服務以便服務來自多個區(qū)域的用戶。用戶可以使用客戶機來請求訪問由企業(yè)提供的諸如web和應用服務器的服務。為了改善對該服務的訪問，企業(yè)可以在多個不同地理位置動態(tài)地部署多個服務器以便改善流量管理，并且根據網絡帶寬、流量和其他因素來滿足用戶的需求。網絡服務器或設備結合流量管理策略可提供流量管理服務。例如，企業(yè)可使用負載平衡器來管理或分布跨越這些服務器的網絡流量。而且，為了確定是否對請求訪問該服務的客戶機準許訪問，可以對操作客戶機的用戶進行認證。該認證過程可以是由網絡中的認證服務器(例如RADIUS服務器)提供的，以及由訪問請求發(fā)起的。也可以提供其他的授權、認證和審計/記賬(AAA)服務以建立和監(jiān)控每個客戶機-服務器連接。這些AAA服務通常是由不同的網絡模塊提供的。而且，認證服務和流量管理服務通常是被分開實現(xiàn)和/或設計的。

發(fā)明內容
本方案提供為流量管理提供授權、認證和審計/記賬(AAA)支持的系統(tǒng)和方法，通過關聯(lián)策略特征并擴展握手能力來提高了兩個服務集合之間的集成度和互操作性。此外，在AAA和流量管理服務之間的關聯(lián)可以是動態(tài)的和/或靜態(tài)的，并且可以在多種配置中被實現(xiàn)?！矫?，用于對由流量管理虛擬服務器管理的網絡流量進行認證的方法包括由流量管理虛擬服務器從訪問服務器的客戶機請求確定該客戶機還未被認證。該請求包括第一統(tǒng)一資源定位符(URL)。響應于該請求，流量管理虛擬服務器可以向客戶機傳輸響應。該響應包括第一 URL和重定向到認證虛擬服務器的指令。認證虛擬服務器可以接收來自客戶機的第二請求。第二請求標識第一 URL。認證虛擬服務器接著可以對從客戶機收到的證書進行認證并為該客戶機建立認證會話。該認證會話可以識別一個或多個策略。而且，認證虛擬服務器可以傳輸?shù)诙憫员銓⒖蛻魴C重定向到流量管理虛擬服務器。第二響應標識該認證會話。流量管理虛擬服務器可以接收來自客戶機的第三請求。第三請求包含認證會話的標識符。在一些實施例中，流量管理虛擬服務器可以確定該請求不包含認證會話的標識符。在一個實施例中，流量管理虛擬服務器可以通過隱藏的表單傳輸標識第一 URL的響應。流量管理虛擬服務器也可以傳輸包括腳本的響應以觸發(fā)向認證虛擬服務器的POST請求的傳輸。響應于傳輸該響應，認證虛擬服務器可接收包含到預定的URL的POST消息的第二請求。在一些實施例中，除了對從客戶機接收的證書進行認證外，認證虛擬服務器將第一 URL和流量管理虛擬服務器的域名與認證會話存在一起。在一些實施例中，響應于收到第三請求，流量管理虛擬服務器(虛擬服務器有時也稱為“Werver”)可以驗證由標識符識別的認證會話。流量管理vServer也可以使用該標識符識別認證會話的一個或多個策略。而且，流量管理vServer可以將認證會話的一個或多個策略的授權策略應用于第三請求。流量管理vServer也可以將認證會話的一個或多個策略的流量管理策略應用于第三請求。在又一個方面，提供對由流量管理虛擬服務器管理的網絡流量的認證的系統(tǒng)包括流量管理虛擬服務器。流量管理虛擬服務器可以從訪問服務器的客戶機請求確定該客戶機還沒有被認證。該請求可包括第一統(tǒng)一資源定位符(URL)。響應于該請求，流量管理虛擬服務器可以向客戶機傳輸包括第一 URL和重定向到用于認證的第二虛擬服務器的指令的響應。系統(tǒng)也可以包括接收來自客戶機的第二請求的認證虛擬服務器。第二請求標識第一URL0而且，認證虛擬服務器可以對從客戶機收到的證書進行認證并為該客戶機建立認證會話。該認證會話可以識別一個或多個策略。此外，認證虛擬服務器可以傳輸?shù)诙憫员銓⒖蛻魴C重定向到流量管理虛擬服務器。第二響應標識該認證會話。流量管理虛擬服務器可以接收來自客戶機的第三請求。第三請求包含認證會話的標識符。在又一個方面，用于從多個認證虛擬服務器中動態(tài)地選擇認證虛擬服務器的方法包括由流量管理虛擬服務器從自客戶機接收的訪問服務器的內容的請求來確定客戶機還沒有被認證。流量管理虛擬服務器可識別用于從多個認證虛擬服務器選擇一個認證虛擬服務器的策略以便提供對客戶機的認證。流量管理虛擬服務器可以通過該策略從多個認證虛擬服務器選擇認證虛擬服務器以便認證客戶機。響應于該請求，流量管理虛擬服務器可以向客戶機傳輸響應。該響應包括重定向到所選擇的認證虛擬服務器的指令。在一個實施例中，流量管理虛擬服務器確定該請求不包含會話cookie。在又一個實施例中，流量管理虛擬服務器確定該請求不包含對有效的認證會話的索引。流量管理虛擬服務器可基于請求的用戶來識別用于選擇認證虛擬服務器的策略。流量管理虛擬服務器也可以基于所收集的關于在客戶機上安裝的軟件的信息來識別用于選擇認證虛擬服務器的策略。此外，流量管理虛擬服務器可以基于所收集的關于客戶機上的操作系統(tǒng)的信息來識別用于選擇認證虛擬服務器的策略。在一個實施例中，響應于該策略的識別，流量管理虛擬服務器從多種類型的認證虛擬服務器中選擇認證虛擬服務器作為第一類型的認證虛擬服務器。在又一個實施例中，響應于該策略，流量管理虛擬服務器基于多種認證類型的一種認證類型來選擇認證虛擬服務器。在又一個實施例中，流量管理虛擬服務器基于與客戶機的對多種認證類型的一種認證類型的協(xié)商來選擇認證虛擬服務器。在一些實施例中，流量管理虛擬服務器接收訪問資源的第二請求。第二請求可包括識別對認證虛擬服務器的認證會話的索引的會話cookie。流量管理虛擬服務器也可以從由該索引識別的認證會話確定要應用于第二請求的一個或多個流量管理策略。在又一個方面，用于從多個認證虛擬服務器中動態(tài)地選擇認證虛擬服務器的系統(tǒng)包括設備的流量管理虛擬服務器。流量管理虛擬服務器可從自客戶機接收的訪問服務器的內容的請求來確定客戶機還沒有被認證。流量管理虛擬服務器也可以識別用于從多個認證虛擬服務器選擇認證虛擬服務器的策略以便提供對客戶機的認證。該系統(tǒng)也可以包括策略引擎，其給流量管理虛擬服務器提供選擇多個認證虛擬服務器的一個認證虛擬服務器的策略以便認證客戶機。該系統(tǒng)也可包括流量管理虛擬服務器的網絡引擎。網絡引擎可向客戶機傳輸對該請求的響應。該響應包括重定向到所選擇的認證虛擬服務器的指令。在又一個方面，基于端點審計的結果管理經過中間設備的流量的方法包括由中間設備的認證虛擬服務器確定對客戶機的端點分析掃描的結果。流量管理虛擬服務器從認證虛擬服務器獲得該結果。此外，流量管理虛擬服務器可以將該結果應用于一個或多個流量管理策略以便管理經過中間設備的客戶機的連接的網絡流量。在一個實施例中，認證虛擬服務器從客戶機接收表達式，所述表達式標識在客戶機上的存在的下列的其中一個操作系統(tǒng)的版本、操作系統(tǒng)的服務包、正在運行的服務、正在運行的進程和文件。認證虛擬服務器也可以接收表達式，所述表達式標識在客戶機102上的存在的下列之一，或下列的版本反病毒軟件、個人防火墻軟件、反垃圾郵件軟件和互聯(lián)網安全軟件。在一些實施例中，認證虛擬服務器可以接收由客戶機求值的一個或多個表達式。所述一個或多個表達式標識客戶機的一個或多個屬性。認證虛擬服務器可以將對標識客戶機的一個或多個屬性的一個或多個表達式的求值提供為結果。認證虛擬服務器也可以將所述結果提供為對流量管理虛擬服務器的一個或多個流量管理策略的輸入。在一些實施例中，流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的壓縮類型。流量管理虛擬服務器也可以基于對使用該結果的一個或多個流量管理策略的應用來確定用于該連接的加密類型。此外，流量管理虛擬服務器可以基于對使用該結果的一個或多個流量管理策略的應用來確定用于所述連接的一個或多個文件類型關聯(lián)。流量管理虛擬服務器也可以基于經由一個或多個流量管理策略應用所述結果來確定對于所述連接使用或不使用單點登錄。在又一個方面，用于基于端點審計的結果管理經過中間設備的流量的中間設備包括認證虛擬服務器。認證虛擬服務器可以確定對客戶機的端點分析掃描的結果。中間設備也包括流量管理虛擬服務器，其從認證虛擬服務器獲得該結果，并且將該結果應用于一個或多個流量管理策略以管理經過中間設備的客戶機連接。在下面的附圖和描述中詳細闡述了本發(fā)明的各種實施例的細節(jié)。


本發(fā)明的前述和其它目的、方面、特征和優(yōu)點，通過參考下述結合附圖的描述將會更加明顯并更易于理解，其中圖IA是客戶機經由設備訪問服務器的網絡環(huán)境的實施例的框圖；圖IB是從服務器經由設備傳送計算環(huán)境到客戶機的環(huán)境的實施例的框圖IC是從服務器經由網絡傳送計算環(huán)境到客戶機的環(huán)境的實施例的框圖；圖IE到IF是計算裝置的實施例的框圖；圖2A是用于處理客戶機和服務器之間的通信的設備的實施例的框圖；圖2B是用于優(yōu)化、加速、負載平衡和路由客戶機和服務器之間的通信的設備的又一個實施例的框圖；圖3是用于通過設備與服務器通信的客戶機的實施例的框圖；圖4A-4E是在其中認證vServer可與流量管理vServer相關聯(lián)的配置的實施例的框圖；圖5是為流量管理提供AAA支持的系統(tǒng)的實施例的框圖；圖6A-6B是用于為流量管理提供AAA支持的方法的步驟的實施例的流程圖；圖7A-7B是用于為流量管理提供AAA支持的方法的步驟的多個實施例的流程圖；圖8是基于端點審計的結果來管理經過中間設備的流量的方法的步驟的實施例的流程圖。從下面結合附圖所闡述的詳細描述，本發(fā)明的特征和優(yōu)點將更明顯，其中，同樣的參考標記在全文中標識相應的元素。在附圖中，同樣的附圖標記通常表示相同的、功能上相似的和/或結構上相似的元素。
具體實施例方式為了閱讀下述本發(fā)明的各種具體實施例的描述，下述對于說明書的部分以及它們各自內容的描述是有用的-A部分描述有益于本發(fā)明的實施例的網絡環(huán)境和計算環(huán)境；-B部分描述用于向遠程用戶加速傳送計算環(huán)境的系統(tǒng)和設備架構的實施例；-C部分描述用于加速客戶機和服務器之間的通信的客戶機代理的實施例；-D部分描述用于向流量管理提供認證、授權和審計支持的系統(tǒng)和方法的實施例。A.網絡和計算環(huán)境在討論設備和/或客戶機的系統(tǒng)和方法的實施例的細節(jié)之前，討論可在其中部署這些實施例的網絡和計算環(huán)境是有幫助的。現(xiàn)在參見圖1A，描述了網絡環(huán)境的實施例。概括來講，網絡環(huán)境包括經由一個或多個網絡104、104’(總的稱為網絡104)與一個或多個服務器106a-106n(同樣總的稱為服務器106，或遠程機器106)通信的一個或多個客戶機102a-102n (同樣總的稱為本地機器102，或客戶機10 。在一些實施例中，客戶機102通過設備200與服務器106通信。雖然圖IA示出了在客戶機102和服務器106之間的網絡104和網絡104，，客戶機102和服務器106可以位于同一個的網絡104上。網絡104和104'可以是相同類型的網絡或不同類型的網絡。網絡104和/或104'可為局域網(LAN)例如公司內網，城域網(MAN)，或者廣域網(WAN)例如因特網或萬維網。在一個實施例中，網絡104’可為專用網絡并且網絡104可為公網。在一些實施例中，網絡104’可為專用網并且網絡104’可為公網。在又一個實施例中，網絡104和104’可都為專用網。在一些實施例中，客戶機102可位于公司企業(yè)的分支機構中，通過網絡104上的WAN連接與位于公司數(shù)據中心的服務器106通
網絡104和/或104’可以是任何類型和/或形式的網絡，并且可包括任何下述網絡點對點網絡，廣播網絡，廣域網，局域網，電信網絡，數(shù)據通信網絡，計算機網絡，ATM(異步傳輸模式)網絡，SONET(同步光纖網絡)網絡，SDH(同步數(shù)字體系)網絡，無線網絡和有線網絡。在一些實施例中，網絡104可以包括無線鏈路，諸如紅外信道或者衛(wèi)星頻帶。網絡104和/或104’的拓撲可為總線型、星型或環(huán)型網絡拓撲。網絡104和/或104’以及網絡拓撲可以是對于本領域普通技術人員所熟知的、可以支持此處描述的操作的任何這樣的網絡或網絡拓撲。如圖IA所示，設備200被顯示在網絡104和104’之間，設備200也可被稱為接口單元200或者網關200。在一些實施例中，設備200可位于網絡104上。例如，公司的分支機構可在分支機構中部署設備200。在其它實施例中，設備200可以位于網絡104'上。例如，設備200可位于公司的數(shù)據中心。在又一個實施例中，多個設備200可在網絡104上部署。在一些實施例中，多個設備200可部署在網絡104’上。在一個實施例中，第一設備200與第二設備200’通信。在其它實施例中，設備200可為位于與客戶機102同一或不同網絡104、104’的任一客戶機102或服務器106的一部分。一個或多個設備200可位于客戶機102和服務器106之間的網絡或網絡通信路徑中的任一點。在一些實施例中，設備200包括由位于佛羅里達州Ft. Lauderdale的CitrixSystems公司制造的被稱為Citrix Netkaler設備的任何網絡設備。在其它實施例中，設備200包括由位于華盛頓州西雅圖的F5 Networks公司制造的被稱為W^ebAcceIerator和BigIP的任何一個產品實施例。在又一個實施例中，設備205包括由位于加利福尼亞州Sunnyvale的JuniperNetworks公司制造的DX加速設備平臺和/或諸如SA700、SA2000、SA4000和SA6000的SSL VPN系列設備中的任何一個。在又一個實施例中，設備200包括由位于加利福尼亞州San Jose的Cisco Systems公司制造的任何應用加速和/或安全相關的設備和/或軟件，例如Cisco ACE應用控制引擎模塊服務(Application ControlEngine Module service)軟件和網絡模塊以及Cisco AVS系列應用速度系統(tǒng)(ApplicationVelocity System)。在一個實施例中，系統(tǒng)可包括多個邏輯分組的服務器106。在這些實施例中，服務器的邏輯分組可以被稱為服務器群38。在其中一些實施例中，服務器106可為地理上分散的。在一些情況中，群38可以作為單個實體被管理。在其它實施例中，服務器群38包括多個服務器群38。在一個實施例中，服務器群代表一個或多個客戶機102執(zhí)行一個或多個應用程序。在每個群38中的服務器106可為不同種類。一個或多個服務器106可根據一種類型的操作系統(tǒng)平臺(例如，由華盛頓州Redmond的Microsoft公司制造的WINDOWS NT)操作，而一個或多個其它服務器106可根據另一類型的操作系統(tǒng)平臺(例如，Unix或Linux)操作。每個群38的服務器106不需要與同一群38內的另一個服務器106物理上接近。因此，被邏輯分組為群38的服務器106組可使用廣域網(WAN)連接或城域網(MAN)連接互聯(lián)。例如，群38可包括物理上位于不同大陸或大陸的不同區(qū)域、國家、州、城市、校園或房間的服務器106。如果使用局域網(LAN)連接或一些直連形式來連接服務器106，則可增加群38中的服務器106間的數(shù)據傳送速度。服務器106可指文件服務器、應用服務器、web服務器、代理服務器或者網關服務器。在一些實施例中，服務器106可以有作為應用服務器或者作為主應用服務器工作的能力。在一個實施例中，服務器106可包括活動目錄。客戶機102也可稱為客戶端節(jié)點或端點。在一些實施例中，客戶機102可以有作為客戶機節(jié)點尋求訪問服務器上的應用的能力， 也可以有作為應用服務器為其它客戶機102a-102n提供對寄載的應用的訪問的能力。在一些實施例中，客戶機102與服務器106通信。在一個實施例中，客戶機102可與群38中的服務器106的其中一個直接通信。在又一個實施例中，客戶機102執(zhí)行程序鄰近應用(program neighborhood application)以與群38內的服務器106通信。在又一個實施例中，服務器106提供主節(jié)點的功能。在一些實施例中，客戶機102通過網絡104與群 38中的服務器106通信。通過網絡104，客戶機102例如可以請求執(zhí)行群38中的服務器 106a-106n寄載的各種應用，并接收應用執(zhí)行結果的輸出進行顯示。在一些實施例中，只有主節(jié)點提供識別和提供與寄載所請求的應用的服務器106'相關的地址信息所需的功能。在一個實施例中，服務器106提供web服務器的功能。在又一個實施例中，服務器106a接收來自客戶機102的請求，將該請求轉發(fā)到第二服務器106b，并使用來自服務器 106b對該請求的響應來對客戶機102的請求進行響應。在又一個實施例中，服務器106獲得客戶機102可用的應用的列舉以及與由該應用的列舉所識別的應用的服務器106相關的地址信息。在又一個實施例中，服務器106使用web接口將對請求的響應提供給客戶機 102。在一個實施例中，客戶機102直接與服務器106通信以訪問所識別的應用。在又一個實施例中，客戶機102接收由執(zhí)行服務器106上所識別的應用的執(zhí)行而產生的諸如顯示數(shù)據的應用輸出數(shù)據。現(xiàn)在參考圖1B，描述了部署多個設備200的網絡環(huán)境的實施例。第一設備200可以部署在第一網絡104上，而第二設備200'部署在第二網絡104'上。例如，公司可以在分支機構部署第一設備200，而在數(shù)據中心部署第二設備200'。在又一個實施例中，第一設備200和第二設備200'被部署在同一個網絡104或網絡104上。例如，第一設備200可以被部署用于第一服務器群38，而第二設備200可以被部署用于第二服務器群38'。在另一個實例中，第一設備200可以被部署在第一分支機構，而第二設備200 ‘被部署在第二分支機構'。在一些實施例中，第一設備200和第二設備200'彼此協(xié)同或聯(lián)合工作，以加速客戶機和服務器之間的網絡流量或應用和數(shù)據的傳送?，F(xiàn)在參考圖1C，描述了網絡環(huán)境的又一個實施例，在該網絡環(huán)境中，將設備200和一個或多個其它類型的設備部署在一起，例如，部署在一個或多個WAN優(yōu)化設備205，205 ’ 之間。例如，第一 WAN優(yōu)化設備205顯示在網絡104和104'之間，而第二 WAN優(yōu)化設備 205'可以部署在設備200和一個或多個服務器106之間。例如，公司可以在分支機構部署第一 WAN優(yōu)化設備205，而在數(shù)據中心部署第二 WAN優(yōu)化設備205'。在一些實施例中，設備205可以位于網絡104'上。在其它實施例中，設備205'可以位于網絡104上。在一些實施例中，設備205'可以位于網絡104'或網絡104"上。在一個實施例中，設備205和 205'在同一個網絡上。在又一個實施例中，設備205和205'在不同的網絡上。在另一個實例中，第一 WAN優(yōu)化設備205可以被部署用于第一服務器群38，而第二 WAN優(yōu)化設備205' 可以被部署用于第二服務器群38'。在一個實施例中，設備205是用于加速、優(yōu)化或者以其他方式改善任何類型和形式的網絡流量(例如去往和/或來自WAN連接的流量)的性能、操作或服務質量的裝置。在一些實施例中，設備205是一個性能增強代理。在其它實施例中，設備205是任何類型和形式的WAN優(yōu)化或加速裝置，有時也被稱為WAN優(yōu)化控制器。在一個實施例中，設備205 是由位于佛羅里達州Ft. Lauderdale的Citrix Systems公司出品的被稱為WANkaler的產品實施例中的任何一種。在其它實施例中，設備205包括由位于華盛頓州kattle的F5 Networks公司出品的被稱為BIG-IP鏈路控制器和WANjet的產品實施例中的任何一種。在又一個實施例中，設備205包括由位于加利福尼亞州Sunnyvale的Juniper Netfforks公司出品的WX和WXC WAN加速裝置平臺中的任何一種。在一些實施例中，設備205包括由加利福尼亞州San Francisco的Riverbed Technology公司出品的虹鱒(steelhead)系列 WAN優(yōu)化設備中的任何一種。在其它實施例中，設備205包括由位于新澤西州Roseland的 Expand Networks公司出品的WAN相關裝置中的任何一種。在一個實施例中，設備205包括由位于加利福尼亞州Cupertino的I^acketeer公司出品的任何一種WAN相關設備，例如由Packeteer提供的PacketShaper、iShared和SkyX產品實施例。在又一個實施例中，設備205包括由位于加利福尼亞州San Jose的Cisco Systems公司出品的任何WAN相關設備和/或軟件，例如Cisco廣域網應用服務軟件和網絡模塊以及廣域網引擎設備。在一個實施例中，設備205為分支機構或遠程辦公室提供應用和數(shù)據加速服務。 在一個實施例中，設備205包括廣域文件服務(WAR5)的優(yōu)化。在又一個實施例中，設備205 加速文件的傳送，例如經由通用互聯(lián)網文件系統(tǒng)(CIFS)協(xié)議。在其它實施例中，設備205在存儲器和/或存儲裝置中提供高速緩存來加速應用和數(shù)據的傳送。在一個實施例中，設備 205在任何級別的網絡堆?；蛟谌魏蔚膮f(xié)議或網絡層中提供網絡流量的壓縮。在又一個實施例中，設備205提供傳輸層協(xié)議優(yōu)化、流量控制、性能增強或修改和/或管理，以加速WAN 連接上的應用和數(shù)據的傳送。例如，在一個實施例中，設備205提供傳輸控制協(xié)議(TCP)優(yōu)化。在其它實施例中，設備205提供對于任何會話或應用層協(xié)議的優(yōu)化、流量控制、性能增強或修改和/或管理。在又一個實施例中，設備205將任何類型和形式的數(shù)據或信息編碼成網絡分組的定制的或標準的TCP和/或IP的報頭字段或可選字段，以將其存在、功能或能力通告給另一個設備205'。在又一個實施例中，設備205'可以使用在TCP和/或IP報頭字段或選項中編碼的數(shù)據來與另一個設備205'進行通信。例如，設備可以使用TCP選項或IP報頭字段或選項來傳達在執(zhí)行諸如WAN加速的功能時或者為了彼此聯(lián)合工作而由設備205，205' 所使用的一個或多個參數(shù)。在一些實施例中，設備200保存在設備205和205 ‘之間傳達的TCP和/或IP報頭和/或可選字段中編碼的任何信息。例如，設備200可以終止經過設備200的傳輸層連接，例如經過設備205和205'的在客戶機和服務器之間的一個傳輸層連接。在一個實施例中，設備200識別并保存由第一設備205通過第一傳輸層連接發(fā)送的傳輸層分組中的任何編碼信息，并經由第二傳輸層連接來將具有編碼信息的傳輸層分組傳達到第二設備205'。現(xiàn)在參考圖1D，描述了用于傳送和/或操作客戶機102上的計算環(huán)境的網絡環(huán)境。 在一些實施例中，服務器106包括用于向一個或多個客戶機102傳送計算環(huán)境或應用和/ 或數(shù)據文件的應用傳送系統(tǒng)190?？偟膩碚f，客戶機10通過網絡104、104’和設備200與服務器106通信。例如，客戶機102可駐留在公司的遠程辦公室里，例如分支機構，并且服務器106可駐留在公司數(shù)據中心?？蛻魴C102包括客戶機代理120以及計算環(huán)境15。計算環(huán)境15可執(zhí)行或操作用于訪問、處理或使用數(shù)據文件的應用?？山浻稍O備200和/或服務器 106傳送計算環(huán)境15、應用和/或數(shù)據文件。在一些實施例中，設備200加速計算環(huán)境15或者其任何部分到客戶機102的傳送。在一個實施例中，設備200通過應用傳送系統(tǒng)190加速計算環(huán)境15的傳送。例如，可使用此處描述的實施例來加速從公司中央數(shù)據中心到遠程用戶位置(例如公司的分支機構) 的流應用(streaming application)及該應用可處理的數(shù)據文件的傳送。在又一個實施例中，設備200加速客戶機102和服務器106之間的傳輸層流量。設備200可以提供用于加速從服務器106到客戶機102的任何傳輸層有效載荷的加速技術，例如1)傳輸層連接池， 2)傳輸層連接多路復用，幻傳輸控制協(xié)議緩沖，4)壓縮和幻高速緩存。在一些實施例中， 設備200響應于來自客戶機102的請求提供服務器106的負載平衡。在其它實施例中，設備200充當代理或者訪問服務器來提供對一個或者多個服務器106的訪問。在又一個實施例中，設備200提供從客戶機102的第一網絡104到服務器106的第二網絡104’的安全虛擬專用網絡連接，諸如SSL VPN連接。在又一些實施例中，設備200提供客戶機102和服務器106之間的連接和通信的應用防火墻安全、控制和管理。在一些實施例中，基于多個執(zhí)行方法并且基于通過策略引擎195所應用的任一認證和授權策略，應用傳送管理系統(tǒng)190提供將計算環(huán)境傳送到遠程的或者另外的用戶的桌面的應用傳送技術。使用這些技術，遠程用戶可以從任何網絡連接裝置100獲取計算環(huán)境并且訪問服務器所存儲的應用和數(shù)據文件。在一個實施例中，應用傳送系統(tǒng)190可駐留在服務器106上或在其上執(zhí)行。在又一個實施例中，應用傳送系統(tǒng)190可駐留在多個服務器 106a-106n上或在其上執(zhí)行。在一些實施例中，應用傳送系統(tǒng)190可在服務器群38內執(zhí)行。 在一個實施例中，執(zhí)行應用傳送系統(tǒng)190的服務器106也可存儲或提供應用和數(shù)據文件。在又一個實施例中，一個或多個服務器106的第一組可執(zhí)行應用傳送系統(tǒng)190，而不同的服務器106η可存儲或提供應用和數(shù)據文件。在一些實施例中，應用傳送系統(tǒng)190、應用和數(shù)據文件中的每一個可駐留或位于不同的服務器。在又一個實施例中，應用傳送系統(tǒng)190的任何部分可駐留、執(zhí)行、或被存儲于或分發(fā)到設備200或多個設備?？蛻魴C102可包括用于執(zhí)行使用或處理數(shù)據文件的應用的計算環(huán)境15。客戶機 102可通過網絡104、104’和設備200請求來自服務器106的應用和數(shù)據文件。在一個實施例中，設備200可以將來自客戶機102的請求轉發(fā)到服務器106。例如，客戶機102可能不具有本地存儲或者本地可訪問的應用和數(shù)據文件。響應于請求，應用傳送系統(tǒng)190和/或服務器106可以傳送應用和數(shù)據文件到客戶機102。例如，在一個實施例中，服務器106可以把應用作為應用流來傳輸，以在客戶機102上的計算環(huán)境15中操作。在一些實施例中，應用傳送系統(tǒng)190包括Citrix Systems有限公司的Citrix Access Suite 的任一部分(例如 MetaFrame 或 Citrix PresentationServer )，和 / 或微軟公司幵發(fā)的Microsof t WindowS終端服務中的任何一個。在一個實施例中，應用傳送系統(tǒng)190可以通過遠程顯示協(xié)議或者以其它方式通過基于遠程計算或者基于服務器計算來傳送一個或者多個應用到客戶機102或者用戶。在又一個實施例中，應用傳送系統(tǒng)190可以通過應用流來傳送一個或者多個應用到客戶機或者用戶。在一個實施例中，應用傳送系統(tǒng)190包括策略引擎195，其用于控制和管理對應用的訪問、應用執(zhí)行方法的選擇以及應用的傳送。在一些實施例中，策略引擎195確定用戶或者客戶機102可以訪問的一個或者多個應用。在又一個實施例中，策略引擎195確定應用應該如何被傳送到用戶或者客戶機102，例如執(zhí)行方法。在一些實施例中，應用傳送系統(tǒng)190 提供多個傳送技術，從中選擇應用執(zhí)行的方法，例如基于服務器的計算、本地流式傳輸或傳送應用給客戶機120以用于本地執(zhí)行。在一個實施例中，客戶機102請求應用程序的執(zhí)行并且包括服務器106的應用傳送系統(tǒng)190選擇執(zhí)行應用程序的方法。在一些實施例中，服務器106從客戶機102接收證書。在又一個實施例中，服務器106從客戶機102接收對于可用應用的列舉的請求。在一個實施例中，響應該請求或者證書的接收，應用傳送系統(tǒng)190列舉對于客戶機102可用的多個應用程序。應用傳送系統(tǒng)190接收執(zhí)行所列舉的應用的請求。應用傳送系統(tǒng)190選擇預定數(shù)量的方法之一來執(zhí)行所列舉的應用，例如響應策略引擎的策略。應用傳送系統(tǒng)190可以選擇執(zhí)行應用的方法，使得客戶機102接收通過執(zhí)行服務器106上的應用程序所產生的應用輸出數(shù)據。應用傳送系統(tǒng)190可以選擇執(zhí)行應用的方法，使得本地機器10在檢索包括應用的多個應用文件之后本地執(zhí)行應用程序。在又一個實施例中，應用傳送系統(tǒng)190可以選擇執(zhí)行應用的方法，以通過網絡104流式傳輸應用到客戶機102?？蛻魴C102可以執(zhí)行、操作或者以其它方式提供應用，所述應用可為任何類型和/ 或形式的軟件、程序或者可執(zhí)行指令，例如任何類型和/或形式的web瀏覽器、基于web的客戶機、客戶機-服務器應用、瘦客戶端計算客戶機、ActiveX控件、或者Java程序、或者可以在客戶機102上執(zhí)行的任何其它類型和/或形式的可執(zhí)行指令。在一些實施例中，應用可以是代表客戶機102在服務器106上執(zhí)行的基于服務器或者基于遠程的應用。在一個實施例中，服務器106可以使用任何瘦-客戶端或遠程顯示協(xié)議來顯示輸出到客戶機102，所述瘦客戶端或遠程顯示協(xié)議例如由位于佛羅里達州Ft. Lauderdale的Citrix Systems公司出品的獨立計算架構(ICA)協(xié)議或由位于華盛頓州Redmond的微軟公司出品的遠程桌面協(xié)議(RDP)。應用可使用任何類型的協(xié)議，并且它可為，例如，HTTP客戶機、FTP客戶機、Oscar 客戶機或Telnet客戶機。在其它實施例中，應用包括和VoIP通信相關的任何類型的軟件， 例如軟IP電話。在進一步的實施例中，應用包括涉及到實時數(shù)據通信的任一應用，例如用于流式傳輸視頻和/或音頻的應用。在一些實施例中，服務器106或服務器群38可運行一個或多個應用，例如提供瘦客戶端計算或遠程顯示表示應用的應用。在一個實施例中，服務器106或服務器群38作為一個應用來執(zhí)行Citrix Systems有限公司的Citrix Access Suite 的任一部分(例如 MetaFrame 或 Citrix PresentationServer )，和 / 或微軟公司開發(fā)的Microsof t Windows終端服務中的任何一個。在一個實施例中，該應用是位于佛羅里達州R)rt Lauderdale的CitrixSystems有限公司開發(fā)的ICA客戶機。在其它實施例中，該應用包括由位于華盛頓州Redmond的Microsoft公司開發(fā)的遠程桌面(RDP)客戶機。另外，服務器 106可以運行一個應用，例如，其可以是提供電子郵件服務的應用服務器，例如由位于華盛頓州 Redmond 的 Microsoft 公司制造的 MicrosoftExchange, web 或 Internet 月艮務器，或者桌面共享服務器，或者協(xié)作服務器。在一些實施例中，任一應用可以包括任一類型的所寄載的服務或產品，例如位于加利福尼亞州Santa Barbara的Citrix Online Division提供的 GoToMeeting ,位于加利福尼亞州Santa Clara的WebEx有限公司提供的WebEx ，或者位于華盛頓州 Redmond 的 Microsoft 公司提供的 MicrosoftOfTice Live Meeting。
仍然參看圖1D，網絡環(huán)境的一個實施例可以包括監(jiān)控服務器106A。監(jiān)控服務器 106A可以包括任何類型和形式的性能監(jiān)控服務198。性能監(jiān)控服務198可以包括監(jiān)控、測量和/或管理軟件和/或硬件，包括數(shù)據收集、集合、分析、管理和報告。在一個實施例中，性能監(jiān)控服務198包括一個或多個監(jiān)控代理197。監(jiān)控代理197包括用于在諸如客戶機102、服務器106或設備200和205的裝置上執(zhí)行監(jiān)控、測量和數(shù)據收集活動的任何軟件、硬件或其組合。在一些實施例中，監(jiān)控代理197包括諸如Visual Basic腳本或Javascript任何類型和形式的腳本。在一個實施例中，監(jiān)控代理197相對于裝置的任何應用和/或用戶透明地執(zhí)行。在一些實施例中，監(jiān)控代理197相對于應用或客戶機不顯眼地被安裝和操作。在又一個實施例中，監(jiān)控代理197的安裝和操作不需要用于該應用或裝置的任何設備。在一些實施例中，監(jiān)控代理197以預定頻率監(jiān)控、測量和收集數(shù)據。在其它實施例中，監(jiān)控代理197基于檢測到任何類型和形式的事件來監(jiān)控、測量和收集數(shù)據。例如，監(jiān)控代理197可以在檢測到對web頁面的請求或收到HTTP響應時收集數(shù)據。在另一個實例中， 監(jiān)控代理197可以在檢測到諸如鼠標點擊的任一用戶輸入事件時收集數(shù)據。監(jiān)控代理197 可以報告或提供任何所監(jiān)控、測量或收集的數(shù)據給監(jiān)控服務198。在一個實施例中，監(jiān)控代理197根據時間安排或預定頻率來發(fā)送信息給監(jiān)控服務198。在又一個實施例中，監(jiān)控代理 197在檢測到事件時發(fā)送信息給監(jiān)控服務198。在一些實施例中，監(jiān)控服務198和/或監(jiān)控代理197對諸如客戶機、服務器、服務器群、設備200、設備205或網絡連接的任何網絡資源或網絡基礎結構元件的進行監(jiān)控和性能測量。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197執(zhí)行諸如TCP或UDP連接的任何傳輸層連接的監(jiān)控和性能測量。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197 監(jiān)控和測量網絡等待時間。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量帶寬利用。在其它實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量終端用戶響應時間。在一些實施例中，監(jiān)控服務198執(zhí)行應用的監(jiān)控和性能測量。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197執(zhí)行到應用的任何會話或連接的監(jiān)控和性能測量。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量瀏覽器的性能。在又一個實施例中， 監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量基于HTTP的事務的性能。在一些實施例中， 監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量IP電話(VoIP)應用或會話的性能。在其它實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量諸如ICA客戶機或RDP客戶機的遠程顯示協(xié)議應用的性能。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量任何類型和形式的流媒體的性能。在進一步的實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量所寄載的應用或軟件即服務(Software-As-A-Service，SaaS)傳送模型的性能。在一些實施例中，監(jiān)控服務198和/或監(jiān)控代理197執(zhí)行與應用相關的一個或多個事務、請求或響應的監(jiān)控和性能測量。在其它實施例中，監(jiān)控服務198和/或監(jiān)控代理 197監(jiān)控和測量應用層堆棧的任何部分，例如任何.NET或J2EE調用。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量數(shù)據庫或SQL事務。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量任何方法、函數(shù)或應用編程接口(API)調用。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197對經由諸如設備200和/或設備205的一個或多個設備從服務器到客戶機的應用和/或數(shù)據的傳送進行監(jiān)控和性能測量。在一些實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量虛擬化應用的傳送的性能。在其它實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量流式應用的傳送的性能。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量傳送桌面應用到客戶機和/或在客戶機上執(zhí)行桌面應用的性能。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控和測量客戶機/服務器應用的性能。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197被設計和構建成為應用傳送系統(tǒng)190提供應用性能管理。例如，監(jiān)控服務198和/或監(jiān)控代理197可以監(jiān)控、測量和管理經由Citrix表示服務器(Citrix PresentationServer)傳送應用的性能。在該實例中， 監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控單獨的ICA會話。監(jiān)控服務198和/或監(jiān)控代理 197可以測量總的以及每次的會話系統(tǒng)資源使用，以及應用和連網性能。監(jiān)控服務198和/ 或監(jiān)控代理197可以對于給定用戶和/或用戶會話來標識有效服務器(activeserver)。在一些實施例中，監(jiān)控服務198和/或監(jiān)控代理197監(jiān)控在應用傳送系統(tǒng)190和應用和/或數(shù)據庫服務器之間的后端連接。監(jiān)控服務198和/或監(jiān)控代理197可以測量每個用戶會話或ICA會話的網絡等待時間、延遲和容量。在一些實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控對于應用傳送系統(tǒng)190的諸如總的存儲器使用、每個用戶會話和/或每個進程的存儲器使用。在其它實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控諸如總的CPU使用、每個用戶會話和/ 或每個進程的應用傳送系統(tǒng)190的CPU使用。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控登錄到諸如Citrix表示服務器的應用、服務器或應用傳送系統(tǒng)所需的時間。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控用戶登錄應用、服務器或應用傳送系統(tǒng)190的持續(xù)時間。在一些實施例中，監(jiān)控服務198和/或監(jiān)控代理197 測量和監(jiān)控應用、服務器或應用傳送系統(tǒng)會話的有效和無效的會話計數(shù)。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控用戶會話等待時間。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控任何類型和形式的服務器指標。在一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控與系統(tǒng)內存、CPU使用和磁盤存儲器有關的指標。在又一個實施例中，監(jiān)控服務198和/或監(jiān)控代理197測量和監(jiān)控和頁錯誤有關的指標，諸如每秒頁錯誤。在其它實施例中，監(jiān)控服務198 和/或監(jiān)控代理197測量和監(jiān)控往返時間的指標。在又一個實施例中，監(jiān)控服務198和/ 或監(jiān)控代理197測量和監(jiān)控與應用崩潰、錯誤和/或中止相關的指標。在一些實施例中，監(jiān)控服務198和監(jiān)控代理198包括由位于佛羅里達州 Ft. Lauderdale的Citrix Systems公司出品的被稱為EdgeSight的任何一種產品實施例。 在又一個實施例中，性能監(jiān)控服務198和/或監(jiān)控代理198包括由位于加利福尼亞州I^lo Alto的Symphoniq公司出品的被稱為TrueView產品套件的產品實施例的任一部分。在一個實施例中，性能監(jiān)控服務198和/或監(jiān)控代理198包括由位于加利福尼亞州San Francisco 的TeaLeaf技術公司出品的被稱為TeaLeafCX產品套件的產品實施例的任何部分。在其它實施例中，性能監(jiān)控服務198和/或監(jiān)控代理198包括由位于德克薩斯州Houston的BMC 軟件公司出品的諸如BMC性能管理器和巡邏產品(BMC Performance Manager and Patrol products)的商業(yè)服務管理產品的任何部分。
客戶機102、服務器106和設備200可以被部署為和/或執(zhí)行在任何類型和形式的計算裝置上，諸如能夠在任何類型和形式的網絡上通信并執(zhí)行此處描述的操作的計算機、 網絡裝置或者設備。圖IE和IF描述了可用于實施客戶機102、服務器106或設備200的實施例的計算裝置100的框圖。如圖IE和IF所示，每個計算裝置100包括中央處理單元101 和主存儲器單元122。如圖IE所示，計算裝置100可以包括可視顯示裝置124、鍵盤1 和 /或諸如鼠標的指示裝置127。每個計算裝置100也可包括其它可選元件，例如一個或多個輸入/輸出裝置130a-130b (總的使用附圖標記130表示)，以及與中央處理單元101通信的高速緩存存儲器140。中央處理單元101是響應并處理從主存儲器單元122取出的指令的任何邏輯電路。在許多實施例中，中央處理單元由微處理器單元提供，例如由加利福尼亞州Mountain View的Intel公司制造的微處理器單元；由伊利諾伊州Schaumburg的Motorola公司制造的微處理器單元；由加利福尼亞州Santa Clara的Transmeta公司制造的微處理器單元；由紐約州 White Plains 的 hterhational Business Machines 公司制造的 RS/6000 處理器； 或者由加利福尼亞州Sunnyvale的Advanced Micro Devices公司制造的微處理器單元。計算裝置100可以基于這些處理器中的任何一種，或者能夠按照這里所說明的那樣運行的任何其它處理器。主存儲器單元122可以是能夠存儲數(shù)據并允許微處理器101直接訪問任何存儲位置的一個或多個存儲器芯片，例如靜態(tài)隨機存取存儲器(SRAM)、突發(fā)SRAM或同步突發(fā)SRAM (BSRAM)、動態(tài)隨機存取存儲器DRAM、快速頁模式DRAM (FPM DRAM)、增強型 DRAM (EDRAM)、擴展數(shù)據輸出RAM (EDO RAM)、擴展數(shù)據輸出DRAM (EDO DRAM)、突發(fā)式擴展數(shù)據輸出 DRAM (BED0 DRAM)、增強型 DRAM (EDRAM)、同步 DRAM (SDRAM)、JEDEC SRAM、PClOO SDRAM、雙數(shù)據速率 SDRAM (DDR SDRAM)、增強型 SRAM (ESDRAM)、同步鏈路 DRAM (SLDRAM)、直接Rambus DRAM (DRDRAM)或鐵電RAM (FRAM)。主存儲器122可以基于上述存儲芯片的任何一種，或者能夠像這里所說明的那樣運行的任何其它可用存儲芯片。在圖IE中所示的實施例中，處理器101通過系統(tǒng)總線150(在下面進行更詳細的描述)與主存儲器122進行通信。圖IE描述了在其中處理器通過存儲器端口 103直接與主存儲器122通信的計算裝置 100的實施例。例如，在圖IF中，主存儲器122可以是DRDRAM。圖IF描述了在其中主處理器101通過第二總線與高速緩存存儲器140直接通信的實施例，第二總線有時也稱為背側總線。其他實施例中，主處理器101使用系統(tǒng)總線150 和高速緩存存儲器140通信。高速緩存存儲器140通常有比主存儲器122更快的響應時間，并且通常由SRAM、BSRAM或EDRAM提供。在圖IF中所示的實施例中，處理器101通過本地系統(tǒng)總線150與多個1/0裝置130進行通信?？梢允褂酶鞣N不同的總線將中央處理單元 101連接到任何1/0裝置130，所述總線包括VESA VL總線、ISA總線、EISA總線、微通道體系結構(MCA)總線、PCI總線、PCI-X總線、PCI-Express總線或NuBus。對于1/0裝置是視頻顯示器124的實施例，處理器101可以使用高級圖形端口(AGP)與顯示器IM通信。圖 IF說明了主處理器101通過超傳輸(HyperTransport)、快速1/0或者InfiniBand直接與 1/0裝置130通信的計算機100的一個實施例。圖IF還描述了在其中混合本地總線和直接通信的實施例處理器101使用本地互連總線與1/0裝置130進行通信，同時直接與1/0 裝置130進行通信。
計算裝置100可以支持任何適當?shù)陌惭b裝置116，例如用于接收像3. 5英寸、5. 25 英寸磁盤或ZIP磁盤這樣的軟盤的軟盤驅動器、CD-ROM驅動器、CD-R/RW驅動器、DVD-ROM 驅動器、多種格式的磁帶驅動器、USB裝置、硬盤驅動器或適于安裝像任何客戶機代理120 或其部分的軟件和程序的任何其它裝置。計算裝置100還可以包括存儲裝置128，諸如一個或者多個硬盤驅動器或者獨立磁盤冗余陣列，用于存儲操作系統(tǒng)和其它相關軟件，以及用于存儲諸如涉及客戶機代理120的任何程序的應用軟件程序?；蛘?，可以使用安裝裝置116 的任何一種作為存儲裝置128。此外，操作系統(tǒng)和軟件可從例如可引導CD的可引導介質運行，諸如KNOPPIX ，一種用于GNU/Linux的可引導CD，該可引導CD可自knoppix. net作為 GNU/Linux分發(fā)獲得。此外，計算裝置100可以包括通過多種連接接口到局域網(LAN)、廣域網(WAN)或因特網的網絡接口 118，所述多種連接包括但不限于標準電話線路、LAN或WAN鏈路(例如 802.11，Tl，T3、56kb、X. 25)、寬帶連接(如ISDN、幀中繼、ATM)、無線連接、或上述任何或所有連接的一些組合。網絡接口 118可以包括內置網絡適配器、網絡接口卡、PCMCIA網絡卡、卡總線網絡適配器、無線網絡適配器、USB網絡適配器、調制解調器或適用于將計算裝置 100接口到能夠通信并執(zhí)行這里所說明的操作的任何類型的網絡的任何其它設備。計算裝置100中可以包括各種I/O裝置130a-130n。輸入裝置包括鍵盤、鼠標、觸控板、軌跡球、麥克風和繪圖板。輸出裝置包括視頻顯示器、揚聲器、噴墨打印機、激光打印機和熱升華打印機。如圖IE所示，I/O裝置130可以由I/O控制器123控制。I/O控制器可以控制一個或多個I/O裝置，例如鍵盤1 和指示裝置127(如鼠標或光筆)。此外，I/ 0裝置還可以為計算裝置100提供存儲裝置1 和/或安裝介質116。在其它實施例中， 計算裝置100可以提供USB連接以接收手持USB存儲裝置，例如由位于加利福尼亞州Los Alamitos,的Twintech Industry公司生產的設備的USB閃存驅動器線。在一些實施例中，計算裝置100可以包括多個顯示裝置1對『12如或與其相連，這些顯示裝置各自可以是相同或不同的類型和/或形式。因而，任何一種I/O裝置130a-130n 和/或I/O控制器123可以包括任一類型和/或形式的適當?shù)挠布?、軟件或硬件和軟件的組合，以支持、允許或提供通過計算裝置100連接和使用多個顯示裝置12如-1對11。例如， 計算裝置100可以包括任何類型和/或形式的視頻適配器、視頻卡、驅動器和/或庫，以與顯示裝置1對『12如接口、通信、連接或以其他方式使用顯示裝置。在一個實施例中，視頻適配器可以包括多個連接器以與多個顯示裝置1對『12如接口。在其它實施例中，計算裝置100可以包括多個視頻適配器，每個視頻適配器與顯示裝置12如-1對11中的一個或多個連接。在一些實施例中，計算裝置100的操作系統(tǒng)的任一部分都可以被配置用于使用多個顯示器12如-1對11。在其它實施例中，顯示裝置12^-124n中的一個或多個可以由一個或多個其它計算裝置提供，諸如例如通過網絡與計算裝置100連接的計算裝置IOOa和100b。 這些實施例可以包括被設計和構造為將另一個計算機的顯示裝置用作計算裝置100的第二顯示裝置12 的任一類型的軟件。本領域的普通技術人員會認識和理解可以將計算裝置100配置成具有多個顯示裝置12如-1對11的各種方法和實施例。在進一步的實施例中，I/O裝置130可以是系統(tǒng)總線150和外部通信總線之間的橋170，所述外部通信總線例如USB總線、Apple桌面總線、RS-232串行連接、SCSI總線、 Fireffire總線、Fireffire800總線、以太網總線、AppleTalk總線、千兆位以太網總線、異步傳輸模式總線、HIPPI總線、超級HIPPI總線、SerialPlus總線、SCI/LAMP總線、光纖信道總線或串行SCSI總線。圖IE和IF中描述的那類計算裝置100通常在控制任務的調度和對系統(tǒng)資源的訪問的操作系統(tǒng)的控制下操作。計算裝置100可以運行任何操作系統(tǒng)，如 Microsoft Windows操作系統(tǒng)，不同發(fā)行版本的Unix和Linux操作系統(tǒng)，用于Macintosh 計算機的任何版本的MAC OS ,任何嵌入式操作系統(tǒng)，任何實時操作系統(tǒng)，任何開源操作系統(tǒng)，任何專有操作系統(tǒng)，任何用于移動計算裝置的操作系統(tǒng)，或者任何其它能夠在計算裝置上運行并完成這里所述操作的操作系統(tǒng)。典型的操作系統(tǒng)包括WIND0WS 3. x.WINDOWS 95、 WINDOWS 98,WINDOWS 2000,WINDOWS NT 3. 5UffINDOffS NT 4. 0、WINDOWS CE禾口WIND0WSXP， 所有這些均由位于華盛頓州Redmond的微軟公司出品；由位于加利福尼亞州Cupertino的蘋果計算機出品的MacOS ；由位于紐約州Armonk的國際商業(yè)機器公司出品的OS/2 ；以及由位于猶他州Mlt Lake City的Caldera公司發(fā)布的可免費使用的Linux操作系統(tǒng)或者任何類型和/或形式的Unix操作系統(tǒng)，以及其它。在其它實施例中，計算裝置100可以有符合該裝置的不同的處理器、操作系統(tǒng)和輸入設備。例如，在一個實施例中，計算機100是由I^alm公司出品的Treo 180、270、1060、600 或650智能電話。在該實施例中，Treo智能電話在I3aImOS操作系統(tǒng)的控制下操作，并包括指示筆輸入裝置以及五向導航裝置。此外，計算裝置100可以是任何工作站、桌面計算機、 膝上型或筆記本計算機、服務器、手持計算機、移動電話、任何其它計算機、或能夠通信并有足夠的處理器能力和存儲容量以執(zhí)行此處所述的操作的其它形式的計算或者電信裝置。B.設備架構圖2A示出設備200的一個示例實施例。提供圖2A的設備200架構僅用于示例， 并不意于作為限制性的架構。如圖2所示，設備200包括硬件層206和被分為用戶空間202 和內核空間204的軟件層。硬件層206提供硬件元件，在內核空間204和用戶空間202中的程序和服務在該硬件元件上被執(zhí)行。硬件層206也提供結構和元件，就設備200而言，這些結構和元件允許在內核空間204和用戶空間202內的程序和服務既在內部進行數(shù)據通信又與外部進行數(shù)據通信。如圖2所示，硬件層206包括用于執(zhí)行軟件程序和服務的處理單元沈2，用于存儲軟件和數(shù)據的存儲器264，用于通過網絡傳輸和接收數(shù)據的網絡端口沈6，以及用于執(zhí)行與安全套接字協(xié)議層相關的功能處理通過網絡傳輸和接收的數(shù)據的加密處理器260。在一些實施例中，中央處理單元262可在單獨的處理器中執(zhí)行加密處理器260的功能。另外，硬件層 206可包括用于每個處理單元262和加密處理器沈0的多處理器。處理器262可以包括以上結合圖IE和IF所述的任一處理器101。例如，在一個實施例中，設備200包括第一處理器262和第二處理器沈2，。在其它實施例中，處理器262或者沈2，包括多核處理器。雖然示出的設備200的硬件層206通常帶有加密處理器沈0，但是處理器260可為執(zhí)行涉及任何加密協(xié)議的功能的處理器，例如安全套接字協(xié)議層(SSL)或者傳輸層安全 (TLS)協(xié)議。在一些實施例中，處理器260可為通用處理器(GPP)，并且在進一步的實施例中，可為用于執(zhí)行任何安全相關協(xié)議處理的可執(zhí)行指令。雖然圖2中設備200的硬件層206包括了某些元件，但是設備200的硬件部分或組件可包括計算裝置的任何類型和形式的元件、硬件或軟件，例如此處結合圖IE和IF示出和討論的計算裝置100。在一些實施例中，設備200可包括服務器、網關、路由器、開關、橋接器或其它類型的計算或網絡設備，并且擁有與此相關的任何硬件和/或軟件元件。設備200的操作系統(tǒng)分配、管理或另外分離可用的系統(tǒng)存儲器到內核空間204和用戶空間204。在示例的軟件架構200中，操作系統(tǒng)可以是任何類型和/或形式的Unix操作系統(tǒng)，盡管本發(fā)明并未這樣限制。這樣，設備200可以運行任何操作系統(tǒng)，如任何版本的 Microsoft Windows操作系統(tǒng)、不同版本的Unix和Linux操作系統(tǒng)、用于Macintosh計算機的任何版本的Mac OS 、任何的嵌入式操作系統(tǒng)、任何的網絡操作系統(tǒng)、任何的實時操作系統(tǒng)、任何的開放源操作系統(tǒng)、任何的專用操作系統(tǒng)、用于移動計算裝置或網絡裝置的任何操作系統(tǒng)、或者能夠運行在設備200上并執(zhí)行此處所描述的操作的任何其它操作系統(tǒng)。保留內核空間204用于運行內核230，內核230包括任何設備驅動器，內核擴展或其他內核相關軟件。就像本領域技術人員所知的，內核230是操作系統(tǒng)的核心，并提供對資源以及設備104的相關硬件元件的訪問、控制和管理。根據設備200的實施例，內核空間 204也包括與高速緩存管理器232協(xié)同工作的多個網絡服務或進程，高速緩存管理器232有時也稱為集成的高速緩存，其益處此處將進一步詳細描述。另外，內核230的實施例將依賴于通過設備200安裝、配置或其他使用的操作系統(tǒng)的實施例。在一個實施例中，設備200包括一個網絡堆棧沈7，例如基于TCP/IP的堆棧，用于與客戶機102和/或服務器106通信。在一個實施例中，使用網絡堆棧267與第一網絡(例如網絡108)以及第二網絡110通信。在一些實施例中，設備200終止第一傳輸層連接，例如客戶機102的TCP連接，并建立客戶機102使用的到服務器106的第二傳輸層連接，例如， 終止在設備200和服務器106的第二傳輸層連接。可通過單獨的網絡堆棧267建立第一和第二傳輸層連接。在其他實施例中，設備200可包括多個網絡堆棧，例如267或沈7’，并且在一個網絡堆棧267可建立或終止第一傳輸層連接，在第二網絡堆棧沈7’上可建立或者終止第二傳輸層連接。例如，一個網絡堆?？捎糜谠诘谝痪W絡上接收和傳輸網絡分組，并且另一個網絡堆棧用于在第二網絡上接收和傳輸網絡分組。在一個實施例中，網絡堆棧267包括用于為一個或多個網絡分組進行排隊的緩沖器M3，其中網絡分組由設備200傳輸。如圖2所示，內核空間204包括高速緩存管理器232、高速層2_7集成分組引擎 M0、加密引擎234、策略引擎236以及多協(xié)議壓縮邏輯238。在內核空間204或內核模式而不是用戶空間202中運行這些組件或進程232、M0、234、236和238提高這些組件中的每個單獨的和結合的性能。內核操作意味著這些組件或進程232、M0、234、236和238在設備 200的操作系統(tǒng)的核地址空間中運行。例如，在內核模式中運行加密引擎234通過移動加密和解密操作到內核可改進加密性能，從而可減少在內核模式中的存儲空間或內核線程與在用戶模式中的存儲空間或線程之間的傳輸?shù)臄?shù)量。例如，在內核模式獲得的數(shù)據可能不需要傳輸或拷貝到運行在用戶模式的進程或線程，例如從內核級數(shù)據結構到用戶級數(shù)據結構。在另一個方面，也可減少內核模式和用戶模式之間的上下文切換的數(shù)量。另外，在任何組件或進程232、M0、235、236和238間的同步和通信在內核空間204中可被執(zhí)行的更有效率。在一些實施例中，組件232、M0、234、236和238的任何部分可在內核空間204中運行或操作，而這些組件232、M0、234、236和238的其它部分可在用戶空間202中運行或操作。在一個實施例中，設備200使用內核級數(shù)據結構來提供對一個或多個網絡分組的任何部分的訪問，例如，包括來自客戶機102的請求或者來自服務器106的響應的網絡分組。 在一些實施例中，可以由分組引擎240通過到網絡堆棧沈7的傳輸層驅動器接口或過濾器獲得內核級數(shù)據結構。內核級數(shù)據結構可包括通過與網絡堆棧267相關的內核空間204可訪問的任何接口和/或數(shù)據、由網絡堆棧267接收或發(fā)送的網絡流量或分組。在其他實施例中，任何組件或進程232、M0、234、236和238可使用內核級數(shù)據結構來執(zhí)行組件或進程的需要的操作。在一個實例中，當使用內核級數(shù)據結構時，組件232、M0、234、236和238在內核模式204中運行，而在又一個實施例中，當使用內核級數(shù)據結構時，組件232、對0、234、 236和238在用戶模式中運行。在一些實施例中，內核級數(shù)據結構可被拷貝或傳遞到第二內核級數(shù)據結構，或任何期望的用戶級數(shù)據結構。高速緩存管理器232可包括軟件、硬件或軟件和硬件的任何組合，以提供對任何類型和形式的內容的高速緩存訪問、控制和管理，例如對象或由源服務器106提供服務的動態(tài)產生的對象。由高速緩存管理器232處理和存儲的數(shù)據、對象或內容可包括任何格式 (例如標記語言)的數(shù)據，或者通過任何協(xié)議的通信的任何類型的數(shù)據。在一些實施例中， 高速緩存管理器232復制存儲在其他地方的原始數(shù)據或先前計算、產生或傳輸?shù)臄?shù)據，其中相對于讀高速緩存存儲器元件，需要更長的訪問時間以取得、計算或以其他方式得到原始數(shù)據。一旦數(shù)據被存儲在高速緩存存儲元件中，通過訪問高速緩存的副本而不是重新獲得或重新計算原始數(shù)據即可進行后續(xù)操作，因此而減少了訪問時間。在一些實施例中，高速緩存元件可以包括設備200的存儲器沈4中的數(shù)據對象。在其它實施例中，高速緩存存儲元件可包括有比存儲器264更快的存取時間的存儲器。在又一個實施例中，高速緩存元件可以包括設備200的任一類型和形式的存儲元件，諸如硬盤的一部分。在一些實施例中，處理單元262可提供被高速緩存管理器232使用的高速緩存存儲器。在又一個實施例中，高速緩存管理器232可使用存儲器、存儲區(qū)或處理單元的任何部分和組合來高速緩存數(shù)據、 對象或其它內容。另外，高速緩存管理器232包括用于執(zhí)行此處描述的設備200的技術的任一實施例的任何邏輯、功能、規(guī)則或操作。例如，高速緩存管理器232包括基于無效時間周期的終止，或者從客戶機102或服務器106接收無效命令使對象無效的邏輯或功能。在一些實施例中，高速緩存管理器232可作為程序、服務、進程或任務操作執(zhí)行在內核空間204中，并且在其他實施例中，在用戶空間202中執(zhí)行。在一個實施例中，高速緩存管理器232的第一部分在用戶空間202中執(zhí)行，而第二部分在內核空間204中執(zhí)行。在一些實施例中，高速緩存管理器232可包括任何類型的通用處理器(GPP)，或任何其他類型的集成電路，例如現(xiàn)場可編程門陣列(FPGA)，可編程邏輯設備(PLD)，或者專用集成電路(ASIC)。策略引擎236可包括例如智能統(tǒng)計引擎或其它可編程應用。在一個實施例中，策略引擎236提供配置機制以允許用戶識別、指定、定義或配置高速緩存策略。策略引擎236， 在一些實施例中，也訪問存儲器以支持數(shù)據結構，例如備份表或ha sh表，以啟用用戶選擇的高速緩存策略決定。在其它實施例中，除了對安全、網絡流量、網絡訪問、壓縮或其它任何由設備200執(zhí)行的功能或操作的訪問、控制和管理之外，策略引擎236可包括任何邏輯、規(guī)則、功能或操作以確定和提供對設備200所高速緩存的對象、數(shù)據、或內容的訪問、控制和管理。特定高速緩存策略的其它實施例此處進一步描述。在一些實施例中，策略引擎236可以提供配置機制以允許用戶識別、指定、定義或配置指導包括但不限于圖2B中描述的諸如vServers 275、VPN功能觀0、內聯(lián)網IP功能觀2、交換功能觀4、DNS功能觀6、加速功能觀8、應用防火墻功能290和監(jiān)控代理197的部件的設備的任何其它部件或功能的行為的策略。在其它實施例中，策略引擎236可以響應于任一配置的策略來進行檢查、評價、實現(xiàn)或者以其他方式產生作用，并且還可以響應于策略來指導一個或多個設備功能的操作。加密引擎234包括用于操控諸如SSL或TLS的任何安全相關協(xié)議或其中涉及的任何功能的處理的任何邏輯、商業(yè)規(guī)則、功能或操作。例如，加密引擎234加密并解密通過設備200傳輸?shù)木W絡分組，或其任何部分。加密引擎234也可代表客戶機10加-10211、服務器 106a-106n或設備200來設置或建立SSL或TLS連接。因此，加密引擎234提供SSL處理的卸載和加速。在一個實施例中，加密引擎234使用隧道協(xié)議來提供在客戶機102a-102n和服務器106a-106n間的虛擬專用網絡。在一些實施例中，加密引擎234與加密處理器260 通信。在其它實施例中，加密引擎234包括運行在加密處理器260上的可執(zhí)行指令。多協(xié)議壓縮引擎238包括用于壓縮一個或多個網絡分組協(xié)議(例如被設備200的網絡堆棧267使用的任何協(xié)議)的任何邏輯、商業(yè)規(guī)則、功能或操作。在一個實施例中，多協(xié)議壓縮引擎238雙向壓縮在客戶機102a-102n和服務器106a-106n間任一基于TCP/IP 的協(xié)議，包括消息應用編程接口(MAPI)(電子郵件)、文件傳輸協(xié)議(FTP)、超文本傳輸協(xié)議 (HTTP)、通用互聯(lián)網文件系統(tǒng)(Cire)協(xié)議(文件傳輸)、獨立計算架構(ICA)協(xié)議、遠程桌面協(xié)議(RDP)、無線應用協(xié)議(WAP)、移動IP協(xié)議以及IP上語音(VoIP)協(xié)議。在其它實施例中，多協(xié)議壓縮引擎238提供基于超文本標記語言(HTML)的協(xié)議的壓縮，并且在一些實施例中，提供任何標記語言的壓縮，例如可擴展標記語言(XML)。在一個實施例中，多協(xié)議壓縮引擎238提供任何高性能協(xié)議的壓縮，例如設計用于設備200到設備200通信的任何協(xié)議。在又一個實施例中，多協(xié)議壓縮引擎238使用修改的傳輸控制協(xié)議來壓縮任何通信的任何載荷或任何通信，例如事務TCP(T/TCP)、帶有選擇確認的TCP(TCP-SACK)、帶有大窗口的TCP (TCP-Lff)、例如TCP-Vegas協(xié)議的擁塞預報協(xié)議以及TCP欺騙協(xié)議(TCP spoofing protocol)0同樣的，多協(xié)議壓縮引擎238為用戶加速經由桌面客戶機乃至移動客戶機訪問應用的性能，所述桌面客戶機例如Micosoft Outlook和非web瘦客戶機，諸如由像Oracle、 SAP和Siebel的通用企業(yè)應用所啟動的任何客戶機，所述移動客戶機例如掌上電腦。在一些實施例中，通過在內核模式204內部執(zhí)行并與訪問網絡堆棧267的分組處理引擎240集成，多協(xié)議壓縮引擎238可以壓縮TCP/IP協(xié)議攜帶的任何協(xié)議，例如任何應用層協(xié)議。高速層27集成分組引擎M0，通常也稱為分組處理引擎，或分組引擎，負責設備 200通過網絡端口 266接收和發(fā)送的分組的內核級處理的管理。高速層2-7集成分組引擎 240可包括用于在例如接收網絡分組和傳輸網絡分組的處理期間排隊一個或多個網絡分組的緩沖器。另外，高速層2-7集成分組引擎240與一個或多個網絡堆棧267通信以通過網絡端口 266發(fā)送和接收網絡分組。高速層2-7集成分組引擎240與加密引擎234、高速緩存管理器232、策略引擎236和多協(xié)議壓縮邏輯238協(xié)同工作。更具體地，配置加密引擎234 以執(zhí)行分組的SSL處理，配置策略引擎236以執(zhí)行涉及流量管理的功能，例如請求級內容切換以及請求級高速緩存重定向，并配置多協(xié)議壓縮邏輯238以執(zhí)行涉及數(shù)據壓縮和解壓縮的功能。
高速層2-7集成分組引擎240包括分組處理定時器M2。在一個實施例中，分組處理定時器242提供一個或多個時間間隔以觸發(fā)輸入處理，例如，接收或者輸出(即傳輸) 網絡分組。在一些實施例中，高速層27集成分組引擎240響應于定時器242處理網絡分組。分組處理定時器對2向分組引擎240提供任何類型和形式的信號以通知、觸發(fā)或傳輸時間相關的事件、間隔或發(fā)生。在許多實施例中，分組處理定時器M2以毫秒級操作，例如 100ms、50ms、或25ms。例如，在一些實例中，分組處理定時器242提供時間間隔或者以其它方式使得由高速層2-7集成分組引擎MO以IOms時間間隔處理網絡分組，而在其它實施例中，使高速層2-7集成分組引擎MO以5ms時間間隔處理網絡分組，并且在進一步的實施例中，短到3、2或Ims時間間隔。高速層2-7集成分組引擎240在操作期間可與加密引擎234、 高速緩存管理器232、策略引擎236以及多協(xié)議壓縮引擎238連接、集成或通信。因此，響應于分組處理定時器242和/或分組引擎對0，可執(zhí)行加密引擎234、高速緩存管理器232、策略引擎236以及多協(xié)議壓縮引擎238的任何邏輯、功能或操作。因此，在由分組處理定時器 242提供的時間間隔粒度，可執(zhí)行加密引擎234、高速緩存管理器232、策略引擎236以及多協(xié)議壓縮引擎238的任何邏輯、功能或操作，例如，時間間隔少于或等于10ms。例如，在一個實施例中，高速緩存管理器232可響應于高速層27集成分組引擎240和/或分組處理定時器242來執(zhí)行任何高速緩存的對象的無效。在又一個實施例中，高速緩存的對象的終止或無效時間被設定為與分組處理定時器242的時間間隔相同的粒度級，例如每10ms。與內核空間204不同，用戶空間202是被用戶模式應用或在用戶模式運行的程序所使用的操作系統(tǒng)的存儲區(qū)域或部分。用戶模式應用不能直接訪問內核空間204而使用服務調用以訪問內核服務。如圖2所示，設備200的用戶空間202包括圖形用戶接口 (⑶1)210、命令行接口(CLI) 212、殼服務(shell service) 214、健康監(jiān)控程序216以及守護 (daemon)服務218。⑶I 210和GLI212提供系統(tǒng)管理員或其他用戶可與之交互并控制設備 200操作的裝置，例如通過設備200的操作系統(tǒng)。⑶1210和GLI 212可包括運行在用戶空間202或內核框架204中的代碼。⑶1210可以是任何類型或形式的圖形用戶接口，可以通過文本、圖形或其他形式由任何類型的程序或應用(如瀏覽器)來呈現(xiàn)。CLI 212可為任何類型和形式的命令行或基于文本的接口，例如通過操作系統(tǒng)提供的命令行。例如，CLI 212 可包括殼，該殼是使用戶與操作系統(tǒng)相互作用的工具。在一些實施例中，可通過bash、csh、 tcsh或者ksh類型的殼提供GLI 212。殼服務214包括程序、服務、任務、進程或可執(zhí)行指令以支持由用戶通過⑶I 210和/或CLI 212的與設備200或者操作系統(tǒng)的交互健康監(jiān)控程序216用于監(jiān)控、檢查、報告并確保網絡系統(tǒng)正常運行，以及用戶正通過網絡接收請求的內容。健康監(jiān)控程序216包括一個或多個程序、服務、任務、進程或可執(zhí)行指令，為監(jiān)控設備200的任何行為提供邏輯、規(guī)則、功能或操作。在一些實施例中，健康監(jiān)控程序216攔截并檢查通過設備200傳遞的任何網絡流量。在其他實施例中，健康監(jiān)控程序216通過任何合適的方法和/或機制與一個或多個下述設備連接加密引擎234，高速緩存管理器232，策略引擎236，多協(xié)議壓縮邏輯238，分組引擎M0，守護服務218以及殼服務 214。因此，健康監(jiān)控程序216可調用任何應用編程接口(API)以確定設備200的任何部分的狀態(tài)、情況或健康。例如，健康監(jiān)控程序216可周期性地查驗(ping)或發(fā)送狀態(tài)查詢以檢查程序、進程、服務或任務是否活動并當前正在運行。在又一個實施例中，健康監(jiān)控程序216 可檢查由任何程序、進程、服務或任務提供的任何狀態(tài)、錯誤或歷史日志以確定設備200任何部分的任何狀況、狀態(tài)或錯誤。守護服務218是連續(xù)運行或在背景中運行的程序，并且處理設備200接收的周期性服務請求。在一些實施例中，守護服務可向其他程序或進程(例如合適的另一個守護服務218)轉發(fā)請求。如本領域技術人員所公知的，守護服務218可無人監(jiān)護的運行，以執(zhí)行連續(xù)的或周期性的系統(tǒng)范圍功能，例如網絡控制，或者執(zhí)行任何需要的任務。在一些實施例中，一個或多個守護服務218運行在用戶空間202中，而在其它實施例中，一個或多個守護服務218運行在內核空間。現(xiàn)在參考圖2B，描述了設備200的又一個實施例?？偟膩碚f，設備200提供下列服務、功能或操作中的一個或多個用于一個或多個客戶機102以及一個或多個服務器106 之間的通信的SSL VPN連通觀0、交換/負載平衡觀4、域名服務解析觀6、加速288和應用防火墻四0。服務器106的每一個可以提供一個或者多個網絡相關服務270a-270n(稱為服務270。例如，服務器106可以提供http服務270。設備200包括一個或者多個虛擬服務器或者虛擬互聯(lián)網協(xié)議服務器，稱為vServer 275、vS 275、VIP服務器或者僅是VIP 275a-275n (此處也稱為vServer 275)。vServer275根據設備200的配置和操作來接收、攔截或者以其它方式處理客戶機102和服務器106之間的通信。vServer 275可以包括軟件、硬件或者軟件和硬件的任何組合。vServer275可包括在設備200中的用戶模式202、內核模式204或者其任何組合中運行的任何類型和形式的程序、服務、任務、進程或者可執(zhí)行指令。vServer275包括任何邏輯、功能、規(guī)則或者操作， 以執(zhí)行此處所述技術的任何實施例，諸如SSL VPN觀0、轉換/負載平衡觀4、域名服務解析觀6、加速288和應用防火墻四0。在一些實施例中，Werver 275建立到服務器106的服務 270的連接。服務275可以包括能夠連接到設備200、客戶機102或者vServer 275并與之通信的任何程序、應用、進程、任務或者可執(zhí)行指令集。例如，服務275可以包括web服務器、 http服務器、ftp、電子郵件或者數(shù)據庫服務器。在一些實施例中，服務270是守護進程或者網絡驅動器，用于監(jiān)聽、接收和/或發(fā)送應用的通信，諸如電子郵件、數(shù)據庫或者企業(yè)應用。 在一些實施例中，服務270可以在特定的IP地址、或者IP地址和端口上通信。在一些實施例中，vServer 275應用策略引擎236的一個或者多個策略到客戶機 102和服務器106之間的網絡通信。在一個實施例中，該策略與vServer 275相關聯(lián)。在又一個實施例中，該策略基于用戶或者用戶組。在又一個實施例中，策略為通用的并且應用到一個或者多個vSerVer275a-275n，和通過設備200通信的任何用戶或者用戶組。在一些實施例中，策略引擎的策略具有基于通信的任何內容應用該策略的條件，通信的內容諸如互聯(lián)網協(xié)議地址、端口、協(xié)議類型、分組中的首部或者字段、或者通信的上下文，諸如用戶、用戶組、vServer 275、傳輸層連接、和/或客戶機102或者服務器106的標識或者屬性。在其他實施例中，設備200與策略引擎236通信或接口，以便確定遠程用戶或遠程客戶機102的認證和/或授權，以訪問來自服務器106的計算環(huán)境15、應用和/或數(shù)據文件。在又一個實施例中，設備200與策略引擎236通信或交互，以便確定遠程用戶或遠程客戶機102的認證和/或授權，使得應用傳送系統(tǒng)190傳送一個或多個計算環(huán)境15、應用和/ 或數(shù)據文件。在又一個實施例中，設備200基于策略引擎236對遠程用戶或遠程客戶機102 的認證和/或授權建立VPN或SSL VPN連接。一個實施例中，設備200基于策略引擎236 的策略控制網絡業(yè)務流量以及通信會話。例如，基于策略引擎236，設備200可控制對計算環(huán)境15、應用或數(shù)據文件的訪問。在一些實施例中，Werver 275與客戶機102經客戶機代理120建立傳輸層連接， 諸如TCP或者UDP連接。在一個實施例中，vServer 275監(jiān)聽和接收來自客戶機102的通信。在其它實施例中，Werver 275與客戶機服務器106建立傳輸層連接，諸如TCP或者UDP 連接。在一個實施例中，vkrver275建立到運行在服務器106上的服務器270的互聯(lián)網協(xié)議地址和端口的傳輸層連接。在又一個實施例中，Werver 275將到客戶機102的第一傳輸層連接與到服務器106的第二傳輸層連接相關聯(lián)。在一些實施例中，WerVer275建立到服務器106的傳輸層連接池并經由所述池化(pooled)的傳輸層連接多路復用客戶機的請求。在一些實施例中，設備200提供客戶機102和服務器106之間的SSL VPN連接觀0。 例如，第一網絡102上的客戶機102請求建立到第二網絡104’上的服務器106的連接。在一些實施例中，第二網絡104’是不能從第一網絡104路由的。在其它實施例中，客戶機102 位于公用網絡104上，并且服務器106位于專用網絡104’上，例如企業(yè)網。在一個實施例中，客戶機代理120攔截第一網絡104上的客戶機102的通信，加密該通信，并且經第一傳輸層連接發(fā)送該通信到設備200。設備200將第一網絡104上的第一傳輸層連接與到第二網絡104上的服務器106的第二傳輸層連接相關聯(lián)。設備200接收來自客戶機代理102的所攔截的通信，解密該通信，并且經第二傳輸層連接發(fā)送該通信到第二網絡104上的服務器106。第二傳輸層連接可以是池化的傳輸層連接。同樣的，設備200為兩個網絡104、104’ 之間的客戶機102提供端到端安全傳輸層連接。在一個實施例中，設備200寄載虛擬專用網絡104上的客戶機102的內部網互聯(lián)網協(xié)議或者htranetIP 282地址?？蛻魴C102具有本地網絡標識符，諸如第一網絡104上的互聯(lián)網協(xié)議(IP)地址和/或主機名稱。當經設備200連接到第二網絡104’時，設備200 在第二網絡104’上為客戶機102建立、分配或者以其它方式提供htranetIP，其是諸如IP 地址和/或主機名稱的網絡標識符。使用為客戶機的所建立的htranetIP^2，設備200在第二或專用網104'上監(jiān)聽并接收指向該客戶機102的任何通信。在一個實施例中，設備 200在第二專用網絡104上用作或者代表客戶機102。例如，在又一個實施例中，Werver 275監(jiān)聽和響應到客戶機102的htranetIP 282的通信。在一些實施例中，如果第二網絡 104’上的計算裝置100發(fā)送請求，設備200如同客戶機102 —樣來處理該請求。例如，設備 200可以響應對客戶機htranetIP 282的查驗。在又一個實施例中，設備可以與請求和客戶機htranetIP 282連接的第二網絡104上的計算裝置100建立連接，諸如TCP或者UDP 連接。在一些實施例中，設備200為客戶機102和服務器106之間的通信提供下列一個或多個加速技術觀8 1)壓縮；幻解壓縮；幻傳輸控制協(xié)議池；4)傳輸控制協(xié)議多路復用； 5)傳輸控制協(xié)議緩沖；以及6)高速緩存。在一個實施例中，設備200通過開啟與每一服務器106的一個或者多個傳輸層連接并且維持這些連接以允許由客戶機經因特網的重復數(shù)據訪問，來為服務器106緩解由重復開啟和關閉到客戶機102的傳輸層連接所造成的大量處理負載。該技術此處稱為“連接池”。在一些實施例中，為了經池化的傳輸層連接無縫拼接從客戶機102到服務器106 的通信，設備200通過在傳輸層協(xié)議級修改序列號和確認號來轉換或多路復用通信。這被稱為“連接多路復用”。在一些實施例中，不需要應用層協(xié)議相互作用。例如，在到來分組 (即，自客戶機102接收的分組)的情況中，所述分組的源網絡地址被改變?yōu)樵O備200的輸出端口的網絡地址，而目的網絡地址被改為目的服務器的網絡地址。在發(fā)出分組(即，自服務器106接收的一個分組)的情況中，源網絡地址被從服務器106的網絡地址改變?yōu)樵O備 200的輸出端口的網絡地址，而目的地址被從設備200的網絡地址改變?yōu)檎埱蟮目蛻魴C102 的網絡地址。分組的序列號和確認號也被轉換為到客戶機102的設備200的傳輸層連接上的客戶機102所期待的序列號和確認。在一些實施例中，傳輸層協(xié)議的分組校驗和被重新計算以計及這些轉換。在又一個實施例中，設備200為客戶機102和服務器106之間的通信提供交換或負載平衡功能觀4。在一些實施例中，設備200根據層4有效載荷或應用層請求數(shù)據來分配流量并將客戶機請求定向到服務器106。在一個實施例中，盡管網絡分組的網絡層或者層2 識別目的服務器106，但設備200利用承載為為傳輸層分組的有效載荷的數(shù)據和應用信息來確定服務器106以便分發(fā)網絡分組。在一個實施例中，設備200的健康監(jiān)控程序216監(jiān)控服務器的健康來確定分發(fā)客戶機請求到哪個服務器106。在一些實施例中，如果設備200 探測到某個服務器106不可用或者具有超過預定閾值的負載，設備200可以將客戶機請求指向或者分發(fā)到另一個服務器106。在一些實施例中，設備200用作域名服務(DNS)解析器或者以其它方式為來自客戶機102的DNS請求提供解析。在一些實施例中，設備攔截由客戶機102發(fā)送的DNS請求。 在一個實施例中，設備200以設備200的IP地址或其所寄載的IP地址來響應客戶機的DNS 請求。在此實施例中，客戶機102把用于域名的網絡通信發(fā)送到設備200。在又一個實施例中，設備200以第二設備200’的或其所寄載的IP地址來響應客戶機的DNS請求。在一些實施例中，設備200使用由設備200確定的服務器106的IP地址來響應客戶機的DNS請求。在又一個實施例中，設備200為客戶機102和服務器106之間的通信提供應用防火墻功能四0。在一個實施例中，策略引擎236提供用于探測和阻斷非法請求的規(guī)則。在一些實施例中，應用防火墻四0防御拒絕服務(DoS)攻擊。在其它實施例中，設備檢查所攔截的請求的內容，以識別和阻斷基于應用的攻擊。在一些實施例中，規(guī)則/策略引擎236 包括用于提供對多個種類和類型的基于web或因特網的脆弱點的保護的一個或多個應用防火墻或安全控制策略，例如下列的一個或多個脆弱點1)緩沖區(qū)泄出，2)CGI-BIN參數(shù)操縱，3)表單/隱藏字段操縱，4)強制瀏覽，5) cookie或會話中毒，6)被破壞的訪問控制列表 (ACLs)或弱密碼，7)跨站腳本處理(XSS)，8)命令注入，9) SQL注入，10)錯誤觸發(fā)敏感信息泄露，11)對加密的不安全使用，1 服務器錯誤配置，1 后門和調試選項，14)網站涂改， 15)平臺或操作系統(tǒng)弱點，和16)零天攻擊。在一個實施例中，對下列情況的一種或多種，應用防火墻四0以檢查或分析網絡通信的形式來提供HTML格式字段的保護1)返回所需的字段，幻不允許附加字段，幻只讀和隱藏字段強制(enforcement)，4)下拉列表和單選按鈕字段的一致，以及幻格式字段最大長度強制。在一些實施例中，應用防火墻四0確保cookie 不被修改。在其它實施例中，應用防火墻290通過執(zhí)行合法的URL來防御強制瀏覽。在其他實施例中，應用防火墻290保護在網絡通信中包含的任何機密信息。應用防火墻290可以根據引擎236的規(guī)則或策略來檢查或分析任一網絡通信以識別在網絡分組的任一字段中的任一機密信息。在一些實施例中，應用防火墻290在網絡通信中識別信用卡號、口令、社會保險號、姓名、病人代碼、聯(lián)系信息和年齡的一次或多次出現(xiàn)。網絡通信的編碼部分可以包括這些出現(xiàn)或機密信息?；谶@些出現(xiàn)，在一個實施例中，應用防火墻290 可以對網絡通信采取策略行動，諸如阻止發(fā)送網絡通信。在又一個實施例中，應用防火墻 290可以重寫、移動或者以其它方式掩蓋該所識別的出現(xiàn)或者機密信息。仍然參考圖2B，設備200可以包括如上面結合圖ID所討論的性能監(jiān)控代理197。 在一個實施例中，設備200從如圖ID中所描述的監(jiān)控服務198或監(jiān)控服務器106中接收監(jiān)控代理197。在一些實施例中，設備200在諸如磁盤的存儲裝置中保存監(jiān)控代理197，以用于傳送給與設備200通信的任何客戶機或服務器。例如，在一個實施例中，設備200在接收到建立傳輸層連接的請求時發(fā)送監(jiān)控代理197給客戶機。在其它實施例中，設備200在建立與客戶機102的傳輸層連接時發(fā)送監(jiān)控代理197。在又一個實施例中，設備200在攔截或檢測對web頁面的請求時發(fā)送監(jiān)控代理197給客戶機。在又一個實施例中，設備200響應于監(jiān)控服務器198的請求來發(fā)送監(jiān)控代理197到客戶機或服務器。在一個實施例中，設備 200發(fā)送監(jiān)控代理197到第二設備200'或設備205。在其它實施例中，設備200執(zhí)行監(jiān)控代理197。在一個實施例中，監(jiān)控代理197測量和監(jiān)控在設備200上執(zhí)行的任何應用、程序、進程、服務、任務或線程的性能。例如，監(jiān)控代理197可以監(jiān)控和測量vServers 275A 275N的性能與操作。在又一個實施例中，監(jiān)控代理197測量和監(jiān)控設備200的任何傳輸層連接的性能。在一些實施例中，監(jiān)控代理197測量和監(jiān)控通過設備200的任何用戶會話的性能。在一個實施例中，監(jiān)控代理197測量和監(jiān)控通過設備200的諸如SSL VPN會話的任何虛擬專用網連接和/或會話的性能。在進一步的實施例中，監(jiān)控代理197測量和監(jiān)控設備200的內存、CPU和磁盤使用以及性能。在又一個實施例中，監(jiān)控代理197測量和監(jiān)控諸如SSL卸載、連接池和多路復用、高速緩存以及壓縮的由設備200執(zhí)行的任何加速技術觀8的性能。在一些實施例中，監(jiān)控代理197測量和監(jiān)控由設備200執(zhí)行的任一負載平衡和/或內容交換觀4的性能。在其它實施例中，監(jiān)控代理197測量和監(jiān)控由設備200執(zhí)行的應用防火墻290保護和處理的性能。C.客戶機代理現(xiàn)參考圖3，描述客戶機代理120的實施例?？蛻魴C102包括客戶機代理120，用于經由網絡104與設備200和/或服務器106來建立和交換通信?？偟膩碚f，客戶機102在計算裝置100上操作，該計算裝置100擁有帶有內核模式302以及用戶模式303的操作系統(tǒng)，以及帶有一個或多個層310a-310b的網絡堆棧310?？蛻魴C102可以已經安裝和/或執(zhí)行一個或多個應用。在一些實施例中，一個或多個應用可通過網絡堆棧310與網絡104通信。所述應用之一，諸如web瀏覽器，也可包括第一程序322。例如，可在一些實施例中使用第一程序322來安裝和/或執(zhí)行客戶機代理120，或其中任何部分?？蛻魴C代理120包括攔截機制或者攔截器350，用于從網絡堆棧310攔截來自一個或者多個應用的網絡通信?？蛻魴C102的網絡堆棧310可包括任何類型和形式的軟件、或硬件或其組合，用于提供與網絡的連接和通信。在一個實施例中，網絡堆棧310包括用于網絡協(xié)議組的軟件實現(xiàn)。網絡堆棧310可包括一個或多個網絡層，例如為本領域技術人員所公認和了解的開放式系統(tǒng)互聯(lián)(OSI)通信模型的任何網絡層。這樣，網絡堆棧310可包括用于任何以下OSI 模型層的任何類型和形式的協(xié)議1)物理鏈路層；幻數(shù)據鏈路層；幻網絡層；4)傳輸層；5)會話層)；6)表示層，以及7)應用層。在一個實施例中，網絡堆棧310可包括在因特網協(xié)議 (IP)的網絡層協(xié)議上的傳輸控制協(xié)議(TCP)，通常稱為TCP/IP。在一些實施例中，可在以太網協(xié)議上承載TCP/IP協(xié)議，以太網協(xié)議可包括IEEE廣域網(WAN)或局域網(LAN)協(xié)議的任何族，例如被IEEE 802. 3覆蓋的這些協(xié)議。在一些實施例中，網絡堆棧310包括任何類型和形式的無線協(xié)議，例如IEEE 802. 11和/或移動因特網協(xié)議?？紤]基于TCP/IP的網絡，可使用任何基于TCP/IP的協(xié)議，包括消息應用編程接口(MAPI) (email)、文件傳輸協(xié)議(FTP)、超文本傳輸協(xié)議(HTTP)、通用因特網文件系統(tǒng) (CIFS)協(xié)議(文件傳輸)、獨立計算架構(ICA)協(xié)議、遠程桌面協(xié)議(RDP)、無線應用協(xié)議 (WAP)、移動IP協(xié)議，以及IP語音(VoIP)協(xié)議。在又一個實施例中，網絡堆棧310包括任何類型和形式的傳輸控制協(xié)議，諸如修改的傳輸控制協(xié)議，例如事務TCP (T/TCP)，帶有選擇確認的TCP (TCP-SACK)，帶有大窗口的TCP (TCP-Lff)，例如TCP-Vegas協(xié)議的擁塞預測協(xié)議， 以及TCP欺騙協(xié)議。在其他實施例中，網絡堆棧310可使用諸如IP上UDP的任何類型和形式的用戶數(shù)據報協(xié)議(UDP)，例如用于語音通信或實時數(shù)據通信。另外，網絡堆棧310可包括支持一個或多個層的一個或多個網絡驅動器，例如TCP 驅動器或網絡層驅動器。網絡層驅動器可作為計算裝置100的操作系統(tǒng)的一部分或者作為計算裝置100的任何網絡接口卡或其它網絡訪問組件的一部分被包括。在一些實施例中， 網絡堆棧310的任何網絡驅動器可被定制、修改或調整以提供網絡堆棧310的定制或修改部分，用來支持此處描述的任何技術。在其它實施例中，設計并構建加速程序302以與網絡堆棧310協(xié)同操作或工作，上述網絡堆棧310由客戶機102的操作系統(tǒng)安裝或以其它方式提供。網絡堆棧310包括任何類型和形式的接口，用于接收、獲得、提供或以其它方式訪問涉及客戶機102的網絡通信的任何信息和數(shù)據。在一個實施例中，與網絡堆棧310的接口包括應用編程接口(API)。接口也可包括任何函數(shù)調用、鉤子或過濾機制，事件或回調機制、或任何類型的接口技術。網絡堆棧310通過接口可接收或提供與網絡堆棧310的功能或操作相關的任何類型和形式的數(shù)據結構，例如對象。例如，數(shù)據結構可以包括與網絡分組相關的信息和數(shù)據或者一個或多個網絡分組。在一些實施例中，數(shù)據結構包括在網絡堆棧 310的協(xié)議層處理的網絡分組的一部分，例如傳輸層的網絡分組。在一些實施例中，數(shù)據結構325包括內核級別數(shù)據結構，而在其他實施例中，數(shù)據結構325包括用戶模式數(shù)據結構。 內核級數(shù)據結構可以包括獲得的或與在內核模式302中操作的網絡堆棧310的一部分相關的數(shù)據結構、或者運行在內核模式302中的網絡驅動程序或其它軟件、或者由運行或操作在操作系統(tǒng)的內核模式的服務、進程、任務、線程或其它可執(zhí)行指令獲得或收到的任何數(shù)據結構。此外，網絡堆棧310的一些部分可在內核模式302執(zhí)行或操作，例如，數(shù)據鏈路或網絡層，而其他部分在用戶模式303執(zhí)行或操作，例如網絡堆棧310的應用層。例如，網絡堆棧的第一部分310a可以給應用提供對網絡堆棧310的用戶模式訪問，而網絡堆棧310的第二部分310a提供對網絡的訪問。在一些實施例中，網絡堆棧的第一部分310a可包括網絡堆棧310的一個或多個更上層，例如層5-7的任何層。在其它實施例中，網絡堆棧310的第二部分310b包括一個或多個較低的層，例如層1-4的任何層。網絡堆棧310的每個第一部分310a和第二部分310b可包括網絡堆棧310的任何部分，位于任何一個或多個網絡層，處于用戶模式203、內核模式202，或其組合，或在網絡層的任何部分或者到網絡層的接口點， 或用戶模式203和內核模式202的任何部分或到用戶模式203和內核模式202的接口點。攔截器350可以包括軟件、硬件、或者軟件和硬件的任何組合。在一個實施例中， 攔截器350在網絡堆棧310的任一點攔截網絡通信，并且重定向或者發(fā)送網絡通信到由攔截器350或者客戶機代理120所期望的、管理的或者控制的目的地。例如，攔截器350可以攔截第一網絡的網絡堆棧310的網絡通信并且發(fā)送該網絡通信到設備200，用于在第二網絡104上發(fā)送。在一些實施例中，攔截器350包括含有諸如被構建和設計來與網絡堆棧310 對接并一同工作的網絡驅動器的驅動器的任一類型的攔截器350。在一些實施例中，客戶機代理120和/或攔截器350操作在網絡堆棧310的一個或者多個層，諸如在傳輸層。在一個實施例中，攔截器350包括過濾器驅動器、鉤子機制、或者連接到網絡堆棧的傳輸層的任一形式和類型的合適網絡驅動器接口，諸如通過傳輸驅動器接口(TDI)。在一些實施例中， 攔截器350連接到諸如傳輸層的第一協(xié)議層和諸如傳輸協(xié)議層之上的任何層的另一個協(xié)議層，例如，應用協(xié)議層。在一個實施例中，攔截器350可以包括遵守網絡驅動器接口規(guī)范 (NDIS)的驅動器，或者NDIS驅動器。在又一個實施例中，攔截器350可以包括微型過濾器或者微端口驅動器。在一個實施例中，攔截器350或其部分在內核模式202中操作。在又一個實施例中，攔截器350或其部分在用戶模式203中操作。在一些實施例中，攔截器350 的一部分在內核模式202中操作，而攔截器350的另一部分在用戶模式203中操作。在其它實施例中，客戶機代理120在用戶模式203操作，但通過攔截器350連接到內核模式驅動器、進程、服務、任務或者操作系統(tǒng)的部分，諸如以獲取內核級數(shù)據結構225。在其它實施例中，攔截器350為用戶模式應用或者程序，諸如應用。在一個實施例中，攔截器350攔截任何的傳輸層連接請求。在這些實施例中，攔截器350執(zhí)行傳輸層應用編程接口(API)調用以設置目的地信息，諸如到期望位置的目的地 IP地址和/或端口用于定位。以此方式，攔截器350攔截并重定向傳輸層連接到由攔截器 350或客戶機代理120控制或管理的IP地址和端口。在一個實施例中，攔截器350把連接的目的地信息設置為客戶機代理120監(jiān)聽的客戶機102的本地IP地址和端口。例如，客戶機代理120可以包括為重定向的傳輸層通信監(jiān)聽本地IP地址和端口的代理服務。在一些實施例中，客戶機代理120隨后將重定向的傳輸層通信傳送到設備200。在一些實施例中，攔截器350攔截域名服務(DNS)請求。在一個實施例中，客戶機代理120和/或攔截器350解析DNS請求。在又一個實施例中，攔截器發(fā)送所攔截的DNS 請求到設備200以進行DNS解析。在一個實施例中，設備200解析DNS請求并且將DNS響應傳送到客戶機代理120。在一些實施例中，設備200經另一個設備200’或者DNS服務器 106來解析DNS請求。在又一個實施例中，客戶機代理120可以包括兩個代理120和120’。在一個實施例中，第一代理120可以包括在網絡堆棧310的網絡層操作的攔截器350。在一些實施例中，第一代理120攔截網絡層請求，諸如因特網控制消息協(xié)議(ICMP)請求(例如，查驗和跟蹤路由)。在其它實施例中，第二代理120’可以在傳輸層操作并且攔截傳輸層通信。在一些實施例中，第一代理120在網絡堆棧210的一層攔截通信并且與第二代理120’連接或者將所攔截的通信傳送到第二代理120’?？蛻魴C代理120和/或攔截器350可以以對網絡堆棧310的任何其它協(xié)議層透明的方式在協(xié)議層操作或與之對接。例如，在一個實施例中，攔截器350可以以對諸如網絡層的傳輸層之下的任何協(xié)議層和諸如會話、表示或應用層協(xié)議的傳輸層之上的任何協(xié)議層透明的方式在網絡堆棧310的傳輸層操作或與之對接。這允許網絡堆棧310的其它協(xié)議層如所期望的進行操作并無需修改以使用攔截器350。這樣，客戶機代理120和/或攔截器350 可以與傳輸層連接以安全、優(yōu)化、加速、路由或者負載平衡經由傳輸層承載的任一協(xié)議提供的任一通信，諸如TCP/IP上的任一應用層協(xié)議。此外，客戶機代理120和/或攔截器可以以對任何應用、客戶機102的用戶和與客戶機102通信的諸如服務器的任何其它計算裝置透明的方式在網絡堆棧310上操作或與之對接?？蛻魴C代理120和/或攔截器350可以以無需修改應用的方式被安裝和/或執(zhí)行在客戶機102上。在一些實施例中，客戶機102的用戶或者與客戶機102通信的計算裝置未意識到客戶機代理120和/或攔截器350的存在、執(zhí)行或者操作。同樣，在一些實施例中， 相對于應用、客戶機102的用戶、諸如服務器的另一個計算裝置、或者在由攔截器350連接的協(xié)議層之上和/或之下的任何協(xié)議層透明地來安裝、執(zhí)行和/或操作客戶機代理120和 /或攔截器350?？蛻魴C代理120包括加速程序302、流客戶機306、收集代理304和/或監(jiān)控代理197。在一個實施例中，客戶機代理120包括由佛羅里達州FortLauderdale的Citrix Systems有限公司開發(fā)的獨立計算架構(ICA)客戶機或其任一部分，并且也指ICA客戶機。 在一些實施例中，客戶機代理120包括應用流客戶機306，用于從服務器106流式傳輸應用到客戶機102。在一些實施例中，客戶機代理120包括加速程序302，用于加速客戶機102 和服務器106之間的通信。在又一個實施例中，客戶機代理120包括收集代理304，用于執(zhí)行端點檢測/掃描并且用于為設備200和/或服務器106收集端點信息。在一些實施例中，加速程序302包括用于執(zhí)行一個或多個加速技術的客戶機側加速程序，以加速、增強或者以其他方式改善客戶機與服務器106的通信和/或對服務器106 的訪問，諸如訪問由服務器106提供的應用。加速程序302的可執(zhí)行指令的邏輯、函數(shù)和/ 或操作可以執(zhí)行一個或多個下列加速技術1)多協(xié)議壓縮，幻傳輸控制協(xié)議池，幻傳輸控制協(xié)議多路復用，4)傳輸控制協(xié)議緩沖，以及幻通過高速緩存管理器的高速緩存。另外， 加速程序302可執(zhí)行由客戶機102接收和/或發(fā)送的任何通信的加密和/或解密。在一些實施例中，加速程序302以集成的方式或者格式執(zhí)行一個或者多個加速技術。另外，加速程序302可以對作為傳輸層協(xié)議的網絡分組的有效載荷所承載的任一協(xié)議或者多協(xié)議執(zhí)行壓縮。流客戶機306包括應用、程序、進程、服務、任務或者可執(zhí)行指令，所述應用、程序、 進程、服務、任務或者可執(zhí)行指令用于接收和執(zhí)行從服務器106所流式傳輸?shù)膽?。服務?106可以流式傳輸一個或者多個應用數(shù)據文件到流客戶機306，用于播放、執(zhí)行或者以其它方式引起客戶機102上的應用被執(zhí)行。在一些實施例中，服務器106發(fā)送一組壓縮或者打包的應用數(shù)據文件到流客戶機306。在一些實施例中，多個應用文件被壓縮并存儲在文件服務器上檔案文件中，例如CAB、ZIP、SIT、TAR、JAR或其它檔案文件。在一個實施例中，服務器106解壓縮、解包或者解檔應用文件并且將該文件發(fā)送到客戶機102。在又一個實施例中，客戶機102解壓縮、解包或者解檔應用文件。流客戶機306動態(tài)安裝應用或其部分，并且執(zhí)行該應用。在一個實施例中，流客戶機306可以為可執(zhí)行程序。在一些實施例中，流客戶機306可以能夠啟動另一個可執(zhí)行程序。收集代理304包括應用、程序、進程、服務、任務或者可執(zhí)行指令，用于識別、獲取和/或收集關于客戶機102的信息。在一些實施例中，設備200發(fā)送收集代理304到客戶機102或者客戶機代理120?？梢愿鶕O備的策略引擎236的一個或多個策略來配置收集代理304。在其它實施例中，收集代理304發(fā)送在客戶機102上收集的信息到設備200。在一個實施例中，設備200的策略引擎236使用所收集的信息來確定和提供客戶機到網絡104 的連接的訪問、認證和授權控制。在一個實施例中，收集代理304包括端點檢測和掃描機制，其識別并且確定客戶機的一個或者多個屬性或者特征。例如，收集代理304可以識別和確定任何一個或多個以下的客戶機側屬性1)操作系統(tǒng)和/或操作系統(tǒng)的版本，2)操作系統(tǒng)的服務包，3)運行的服務，4)運行的進程，和幻文件。收集代理304還可以識別并確定客戶機上任何一個或多個以下軟件的存在或版本1)防病毒軟件；幻個人防火墻軟件；3)防垃圾郵件軟件，和4) 互聯(lián)網安全軟件。策略引擎236可以具有基于客戶機或客戶機側屬性的任何一個或多個屬性或特性的一個或多個策略。在一些實施例中，客戶機代理120包括如結合圖ID和2B所討論的監(jiān)控代理197。 監(jiān)控代理197可以是諸如Visual Basic或Java腳本的任何類型和形式的腳本。在一個實施例中，監(jiān)控代理197監(jiān)控和測量客戶機代理120的任何部分的性能。例如，在一些實施例中，監(jiān)控代理197監(jiān)控和測量加速程序302的性能。在又一個實施例中，監(jiān)控代理197監(jiān)控和測量流客戶機306的性能。在其它實施例中，監(jiān)控代理197監(jiān)控和測量收集代理304的性能。在又一個實施例中，監(jiān)控代理197監(jiān)控和測量攔截器350的性能。在一些實施例中， 監(jiān)控代理197監(jiān)控和測量客戶機102的諸如存儲器、CPU和磁盤的任何資源。監(jiān)控代理197可以監(jiān)控和測量客戶機的任何應用的性能。在一個實施例中，監(jiān)控代理197監(jiān)控和測量客戶機102上的瀏覽器的性能。在一些實施例中，監(jiān)控代理197監(jiān)控和測量經由客戶機代理120傳送的任何應用的性能。在其它實施例中，監(jiān)控代理197測量和監(jiān)控應用的最終用戶響應時間，例如基于web的響應時間或HTTP響應時間。監(jiān)控代理197 可以監(jiān)控和測量ICA或RDP客戶機的性能。在又一個實施例中，監(jiān)控代理197測量和監(jiān)控用戶會話或應用會話的指標。在一些實施例中，監(jiān)控代理197測量和監(jiān)控ICA或RDP會話。 在一個實施例中，監(jiān)控代理197測量和監(jiān)控設備200在加速傳送應用和/或數(shù)據到客戶機 102的過程中的性能。在一些實施例中，仍參見圖3，第一程序322可以用于自動地、靜默地、透明地或者以其它方式安裝和/或執(zhí)行客戶機代理120或其部分，諸如攔截器350。在一個實施例中， 第一程序322包括插件組件，例如ActiveX控件或Java控件或腳本，其加載到應用并由應用執(zhí)行。例如，第一程序包括由web瀏覽器應用載入和運行的ActiveX控件，例如在存儲器空間或應用的上下文中。在又一個實施例中，第一程序322包括可執(zhí)行指令組，該可執(zhí)行指令組被例如瀏覽器的應用載入并執(zhí)行。在一個實施例中，第一程序322包括被設計和構造的程序以安裝客戶機代理120。在一些實施例中，第一程序322通過網絡從另一個計算裝置獲得、下載、或接收客戶機代理120。在又一個實施例中，第一程序322是用于在客戶機102 的操作系統(tǒng)上安裝如網絡驅動的程序的安裝程序或即插即用管理器。D.對流量管理的認證、授權和審計(AAA)支持
在流量管理系統(tǒng)的一些實施例中，客戶機102傳輸訪問由一個或多個服務器106 提供的服務270的請求。該請求可以由提供流量管理功能的中間設備(例如設備200)進行攔截和處理。通過舉例且考慮到不同的流量管理和負載平衡產品，設備200可以是由 Citrix System公司出品的被稱為NeUcaler的產品實施例、由F5網絡公司出品的BigIP 裝置、由Radware有限責任公司出品的AppDirector設備，或者由Cisco System公司或 NortelNetwork公司出品的設備中的任何一個。設備200可以具有一個或多個虛擬服務器 275A-275N，所述虛擬服務器275A-275N被配置、構建或設計為提供如上文結合圖2A描述的各種網絡通信功能。設備200可以包括一個或多個流量管理vServer 275tv或與其通信，所述流量管理vServer 275tv提供在一個或多個網絡104、104’上的客戶機102與一個或多個服務器 106之間的流量管理(TM)功能。在一些實施例中，設備200包括一個或多個認證(AuthN) vServer 275av或與其通信，所述認證vServer 275av提供用于控制客戶機102對服務 270的訪問的認證服務。為了給流量管理特征提供AAA支持，流量管理vServer 275tv和認證vServer275av可以通信以便處理客戶機-服務器訪問和流量的任意方面。流量管理 vServer 275tv和認證vServer 275av的任何一個也可以駐留在一個或多個設備200或服務器106中并通過一個或多個網絡104、104’通信。此外，可以通過其各自的宿主服務器在結構上或者在邏輯上分層次地連接或布置任何數(shù)量的流量管理vServer 275tv和認證 vServer 275av,以便提供流量管理和認證服務。流量管理vServer流量管理vServer 275tv可以是用于執(zhí)行流量管理活動的任何類型的虛擬服務器，包括負載平衡(LB)、內容交換(⑶)和高速緩存重定向(CR)。例如，在一些實施例中，高速緩存重定向Server識別用于重定向到另一個服務器的可緩存的和不可緩存的消息，所述另一個服務器可以是vServeH例如，LB Server)、高速緩存服務器或源服務器。通過有選擇地重定向流量，可以從高速緩存檢索一些請求的內容，例如經常訪問的內容。在這些實施例的一個中，高速緩存重定向識別對于HTTP事務的可緩存的和不可緩存的請求。高速緩存重定向可以通過解析每個請求的HTTP頭部和URL識別對于HTTP事務的可緩存的和不可緩存的請求。另一方面，內容交換可包括各種操作技術，所述各種操作技術用于以可優(yōu)化網絡使用的方式使數(shù)據從一個或多個源到達端點。流量管理vServer 275tv可包括上文結合圖2B所描述的vServer275的任意實施例，并提供任何類型的功能和特征。流量管理vServer 275tv可根據一個或多個TM策略的集合來操作。而且，TM vServer 275tv可包括策略引擎236或用策略引擎236進行操作， 所述策略引擎236例如上文結合圖2A所描述的策略引擎236的任意實施例。在一些實施例中，可以將來自一個或多個TM vServer 275tv的一個或多個流量管理特征與一組或多組 TM策略進行組合。在一個實施例中，可以在互相之間不沖突的范圍內來組合一個或多個特征。舉例說明，在一個實施例中，由TM Werver支持的特征和/或流量管理策略可包括，但不限于〇401認證方法支持，例如基本認證(Basic-Authentication)；〇對非HTTP客戶機的認證支持；〇對在認證和流量管理vServer之間的任何類型或形式的復雜的和/或靈活的關聯(lián)的支持，■除了被關聯(lián)到LB vServer之外，認證vServer也可被關聯(lián)到CS或CR vServer ；■支持認證和流量管理vServer之間多對多的關系；■允許基于策略動態(tài)地選擇認證vServer ；■允許對使用哪種類型的認證的交互性決策。認證Werver可決定執(zhí)行哪種類型的認證。也允許客戶機與認證Werver就該客戶機能選擇的認證的類型進行協(xié)商。〇會話同步(Session Sync)以支持在主動的/主動配置的設備(例如CITRIX Netscaler設備)之間的外部認證。這在一些實施例中可支持認證vServer駐留在一個設備(其中可以定義或控制認證行為)而流量管理vServer駐留在另一個設備上的需求，也就是屬于同一域的流量管理vServer為了負載分布的目的可散布在多個設備上但仍使用單點登錄(SSO)認證。例如，在一個實施例中，在一個設備上認證的用戶(例如，由于訪問在該設備上的流量管理vServer并被重定向到用于認證服務的另一個設備)可單點登錄到屬于同一域的任何其他設備上的任何流量管理vServer。〇支持對于端用戶的可定制的會話管理門戶網頁；〇支持與其他模塊的集成■應用防火墻(AppFirewall)，包括XML支持■集成緩存■壓縮網絡引擎流量管理vServer 275tv可包括和/或操作網絡引擎M0。網絡引擎240可以是硬件和軟件的組合。網絡引擎240可包含來自上文結合圖2A所描述的集成的分組引擎 240的任意實施例的一個或多個特征。網絡引擎240可包括用于接收和傳輸網絡流量的收發(fā)器。在一些實施例中，網絡引擎240也可包含硬件接口，例如來自設備200，以與網絡104 和其他網絡組件連接。在一個實施例中，網絡引擎240與客戶機102和/或認證vServer 275av相接口。網絡引擎240可執(zhí)行任何類型或形式的數(shù)據處理，例如壓縮、加密、加速、緩沖、檢索、轉換、重定向，以及協(xié)議處理。此外，網絡引擎可訪問和/或更新所存儲的會話表， 例如AAA-TM會話表。網絡引擎240可以包括策略引擎236或與策略引擎236通信并訪問一個或多個策略。在一個實施例中，網絡引擎240可提供和/或應用所訪問的一個或多個策略。在一些實施例中，網絡引擎240可提供流量管理vServer 275tv的一些或全部功能。認證 vServer認證vServer 275av可以是執(zhí)行AAA服務的授權、認證和審計/記賬特征的任意組合的虛擬服務器。在一些實施例中，認證vServer 275av可包括上文結合圖2B所描述的VSerVer275的任意實施例，并提供任何數(shù)量和類型的功能和特征。而且，認證vServer 275av可包括上文結合圖2A所描述的策略引擎236的任意實施例或用其進行操作。在一些實施例中，認證vServer275av可包括虛擬專用網(VPN) vServer的任意實施例和/或特征， 用于對訪問TM vServer 275tv和/或服務270的用戶進行認證。在這些實施例的一個中， VPN Werver可以是輕量級的vServer。在一些實施例中，認證vServer 275av可以駐留于一個或多個認證服務器上或與其通信，所述一個或多個認證服務器例如在一個或多個網絡104、104'上聚集或分布的遠程訪問遠程認證撥入用戶服務(RADIUQ服務器、防火墻、訪問控制服務器以及認證、授權和審計/記賬(AAA)服務器。認證vServer 275av可支持靈活的基于策略的規(guī)則。認證vServer 275av也可根據不同的訪問請求方案提供任何AAA服務。認證vServer 275av可根據一個或多個認證策略568的集合來進行操作。認證策略568也可以包括至少一個授權策略和/或至少一個審計/記賬(此后總的稱為“審計”)策略。在一些實施例中，可以由在流量管理vServer 275tv上配置的授權策略執(zhí)行授權。在這些實施例的一些中，認證vServer 275av僅提供認證相關的服務。進一步地，認證策略568可包括至少一個VPN策略。在一些實施例中，可以通過將現(xiàn)有的VPN特征(例如VPN策略和數(shù)據結構)與其他認證特征相組合來實現(xiàn)對流量管理的認證支持。在一些實施例中，可被包含到對流量管理的AAA支持中的VPN特征包括但不限于■單點登錄(SSO)服務■ Cookie 代理■動態(tài)的每用戶/組感知的流量管理策略(例如，集成緩存、AppFirewall等)■基于表單的SSO■接受從Microsoft ADFS到來的SSO斷言■接受從Netegrity到來的SSO斷言。例如，基于安全和標記語言(SAML)的支持?！鼋邮軓钠渌J證或互聯(lián)網下載管理(IDM)供應商到來的SSO斷言。■對自定制的/自主開發(fā)的/ 一次性認證系統(tǒng)的可擴展的認證認證vServer 275av可支持任何數(shù)量、類型和形式的認證和/或授權服務器，例如活動目錄(AD)、輕量級目錄訪問協(xié)議(LDAP)、RADIUS、RSAkcureID、終端訪問控制器訪問-控制(TACACS)和TACACS+、WINDOWS NT LAN管理器(NTLM)和智能卡登錄。在一些實施例中，多個認證vServer可支持兩個或多個不同類型的認證。在這些實施例的一個中，可以依據認證vServer275av支持的認證類型(例如，TACACS+)來選擇該認證vServer 275av0 通過認證vServer可用的認證類型可以被一個或多個認證和/或授權服務器支持。例如， 兩個RADIUS服務器可以支持RADIUS vServer 0可基于一個或多個因素，例如地理上的接近性、網絡流量和每個服務器上的處理負載來將一個或兩個RADIUS服務器(例如，靜態(tài)地或動態(tài)地)綁定到或分配給該認證vServer。在一些實施例中，基于一個或多個策略的應用將一個或多個認證服務器關聯(lián)或分配或綁定到認證vServer 27fev。例如，可以在結構上或邏輯上以級聯(lián)的形式布置所述一個或多個認證服務器?？梢曰谏舷挛膭討B(tài)地或以其他方式支持和定制各種認證配置，例如雙因素認證 (T-FA)或雙重密碼認證。認證vServer 275av也可支持基于證書的認證。在一些實施例中，來自一個或多個認證vServer 275av的AAA特征可能會同一組或多組AAA或認證策略組合在一起?？梢詫⒄J證vServer 275av關聯(lián)到、或分配給或綁定到下面將要討論的多個不同配置中的一個或多個TMWerver 275tv。認證服務器275av可以通過預定義的綁定與 TM vServer275tv靜態(tài)地關聯(lián)，或者基于一個或多個策略與TM vServer 275tv動態(tài)地關聯(lián)?，F(xiàn)參考圖4A，描述了用于將認證vServer 275av關聯(lián)到一個或多個TMvkrver 275tv的系統(tǒng)的實施例。認證vServer 275av可以被靜態(tài)地綁定到一個TM Werver或者由多個包括靜態(tài)和/或非靜態(tài)綁定的TM vServer共享。
現(xiàn)參考圖4B，描述了用于將認證vServer 275av關聯(lián)到一個或多個TMvkrver 275tv的系統(tǒng)的兩個實施例。在一個實施例中，第一認證vserver275avl可以被關聯(lián)到多個 TM vServer 275tvl、275tv2，而第二認證 vServer275av2 可以被關聯(lián)到一個 TM vServer 275tv3?？梢砸蕾囉谥T如流量管理域的大小、負載和諸如就近分組的地理上的考慮的因素來創(chuàng)建這樣的分組或分配。在一些實施例中，其中多個認證vServer 275av與TM vServer 275tv配置在一起，跟蹤和/或驗證過程可確保一直在該TM vServer 275tv和所選擇的認證vServer 275av之間處理客戶機請求。例如，該TM vServer 275tv可以驗證重定向消息是從在該 TM vServer 275tv收到初始的客戶機請求時所選擇的同一認證vServer 275av接收的?，F(xiàn)參考圖4C，描述了用于將一個或多個認證vServer 275av關聯(lián)到TMvkrver 275tv的系統(tǒng)的實施例?？偟膩碚f，該系統(tǒng)包括一個或多個策略、多個認證vServer 275avl_N，和TM vServer 275tv?？梢曰谝粋€或多個策略將認證vServer 275av動態(tài)地分配給TM vServer 275tv?？梢栽谶\行時將一個或多個策略綁定到TM vServer 275tv。而且，可以在運行時經由一個或多個策略將一個或多個認證vServer 275av的任何一個或多個分配給該TMWerver 275tv以建立認證會話。在一些實施例中，一個或多個策略可包括AppFW策略。AppFW策略和與AppFW模塊一起操作，所述AppFW模塊在由Citrix Systems公司出品的設備的環(huán)境中有時也被稱為 AppSecure模塊。AppSecure模塊可包括用于執(zhí)行任何類型和形式的內容重寫(例如，URL重寫)的邏輯、功能或操作。在一些實施例中，AppSecure模塊可執(zhí)行對在客戶機和服務器之間的請求和/或響應的任何類型或形式的內容注入。AppSecure模塊可將諸如JavMcript 的腳本注入到對客戶機的響應中以執(zhí)行任何類型和形式的期望的功能。在一個實施例中， AppFW策略可以被設計和構造來重寫請求和響應的URL以便重定向到特定的認證vServer 275av或以其他方式與其關聯(lián)。例如，可以由TM Werver對在認證會話期間所接收的消息中的鏈接(例如，URL)進行修改，這樣將該鏈接指向特定認證vServer 275av0認證vServer 275av可以被關聯(lián)到任何形式或類型的TM vServer 275tv，包括 CR、CS和LB Server的任意組合或分層布置。在該分層結構中可以將流量的單位(例如消息或分組)從第一 TM Server重定向到另一個TMvServer。這個過程可以發(fā)生在該分層結構的多個層次上，直到最終的TMWerver被指定為管理該流量為止。在一些實施例中，其中將多個認證vServer 275av關聯(lián)到TM vServer的分層結構。與最具體的TM vServer關聯(lián)的認證vServer 275av優(yōu)先提供AAA功能。然而，在一些其他實施例中，優(yōu)先考慮與處于分層結構頂部的TM vServer 275tv關聯(lián)的認證vServer275av。可以將管理響應于客戶機請求的全部流量的TM vSerer 275tv指定為分層結構的頂部。在其他實施例中，可以通過一個或多個策略來確定任一認證vServer 275av的優(yōu)先級，該一個或多個策略例如與處于分層結構頂部的TM vServer 275tv關聯(lián)的策略?，F(xiàn)參考圖4D，描述了用于給流量管理提供AAA支持的系統(tǒng)的實施例?？偟膩碚f，該系統(tǒng)包括與多個認證vServer 275av關聯(lián)的、并且以分層配置布置的多個CR、CS和 LB TM vServer.該系統(tǒng)可包括上文結合圖4A-4C描述的配置的任意組合和實施例。在一些實施例中，分層配置支持內容感知的流量管理和認證。例如，在一個實施例中，在 CR Werver275crv處收到的流量可以被分為可緩存的和不可緩存的流量。該流量可以包括在一個或多個客戶機102、服務器106和中間設備之間的任何類型和形式的消息，包括請求和響應。在一些實施例中，可緩存的流量被定向到CS WerVer275CSV2，而不可緩存的流量被定向到CS vServer275csvl0 CS vServer275csvl可將不可緩存的流量分布到 LB Werver2751bvll、2751bvl2 上，而 CS Werver275csv2 可在 LB vServer2751bv2U 2751bv22之間分布可緩存的流量。在圖4D的進一步的細節(jié)中，舉例說明分層配置的一個實施例，該配置包括在LB vServer2751bvlU2751bv21 和 CS vServer275csvl 處動態(tài)地關聯(lián)的認證 vServer ；在 LB vServer2751bvl2、CS vServer275csv2 和 CRvServer275crv 處靜態(tài)地關聯(lián)的認證 vServer ； 以及關聯(lián)到LBvServer2751bv22的非認證vServer。例如，如果LB Werver2751bvl2被選擇來執(zhí)行流量管理，那么關聯(lián)到LB vServer2751bvl2的認證vServer可提供AAA特征。在又一個實施例中，如果未關聯(lián)到任何認證vServer 275av的TM Werver被選擇來執(zhí)行流量管理，那么可通過與該TM Werver的父親關聯(lián)的認證vServer 275av來提供AAA特征。例如,如果選擇了 LBvServer2751bv22，那么關聯(lián)到CS vServer275csv2的認證vServer可提供AAA特征。如果在分層結構中TM Werver在同一層或不同層上有多個父親，則例如，根據認證vServer的可用性、地理上或邏輯上的接近度，和/或一個或多個策略，多個父親的其中一個可提供關聯(lián)的認證vServer 275av0現(xiàn)參考圖4E，描述了用于給流量管理提供AAA支持的系統(tǒng)的另一個實施例。在進一步的細節(jié)中，圖4E示出了在其中可以由多個TM Werver共享一個認證vServer
的實施例。在一些實施例中，為系統(tǒng)配置了單個認證vServer 27fev，這樣可以不要求跟蹤和/或驗證過程，和/或將該認證vServer 275av綁定到TM vServer 275tv的策略。在一些實施例中，父TMWerver可將所有流量管理責任定向到子TM vServer以便關聯(lián)認證vServer275av。例如，CS vServer275csv2可以將所有的流量管理責任定向到 LBvServer2751b21而不是LB vServer2751bv220在一些其他實施例中，可以在沒有AAA支持的情況下管理被定向到不與任何認證vServer 275av關聯(lián)的TM vServer的流量管理責任，或者可以將其重定向到與認證vServer 275av關聯(lián)的另一個TM vServer。現(xiàn)參考圖5，描述了用于為流量管理提供AAA支持的系統(tǒng)500的實施例?？偟膩碚f，系統(tǒng)500包括與一個或多個認證vServer (此后總的稱為“認證vServer”)關聯(lián)的一個或多個TM vServer 275tv (此后，總的稱為“TM Werver”)?？梢匀魏畏绞絹聿贾眠@些vServer，例如根據上文結合圖4A-E描述的配置的任意實施例。TM Werver根據一個或多個流量管理策略586在客戶機102和服務器群582中的一個或多個服務器106之間提供流量管理服務?？梢杂烧J證vServer根據一個或多個認證策略568為任何客戶機-服務器流量提供AAA服務。此外，收集代理304可以為TM Werver和認證vServer之一或全部獲取來自客戶機102的信息。盡管在圖5所示的實施例中只描述了一個客戶機102、收集代理304、應用服務器群582和存儲裝置560，但應理解該系統(tǒng)可提供這些組件中任意個或每個的多個。收集代理收集代理304可包括上文結合圖3描述的收集代理304和/或結合圖2B描述的監(jiān)控代理197的任何實施例或組件?？梢詮鸟v留在設備200、存儲裝置560和/或網絡104 中的任何其他機器或存儲裝置中的任何腳本或程序來生成收集代理304。在一些實施例中，將腳本和/或程序傳輸?shù)娇蛻魴C102并生成收集代理304。在一些其他實施例中，收集代理 304執(zhí)行于設備200或網絡中的任何其他機器中并且遠程地輪詢、請求或收集來自客戶機 102的信息。收集代理304、腳本和/或程序可以是用于收集諸如客戶機102的端點裝置的屬性的端點審計(EPA)系統(tǒng)或解決方案的部分。EPA可以包含端點分析、端點掃描和端點檢測的一個或多個。EPA解決方案可在做出AAA和/或流量管理決策之前在客戶機102上執(zhí)行一系列安全、身份和裝置完整性檢查。例如，EPA解決方案可以掃描客戶機102的文件和注冊表設置，并且檢查沒有引入未授權的、非法的或沒有許可證的可執(zhí)行代碼(包括間諜軟件、惡意軟件和木馬)。EPA解決方案在用于系統(tǒng)500的實施例中時，也可以包含上文結合圖3所描述的端點檢測和掃描技術和/或組件的任何實施例的全部或部分。EPA解決方案的一個實施例是CITRIX訪問網關高級端點分析軟件開發(fā)工具包(端點分析SDK)。EPA解決方案的其他實施例包括來自EPA FACTORY和EXTENTRIX的解決方案。在圖5的進一步的細節(jié)中，設備200可操作或執(zhí)行TM vServer和認證vServer的其中一個、二者、或二者都不操作或執(zhí)行。在一些實施例中，認證vServer在第一設備或第一組設備200a上執(zhí)行，而TM Werver在第二設備或第二組設備200b上執(zhí)行。在一個實施例中，設備200被配置、設計和構造來使用私有的或定制的協(xié)議和/或通信模型。在又一個實施例中，設備200可以支持一個或多個協(xié)議和/或通信模型。設備200可包括一個或多個策略引擎236或與其通信。在一些實施例中，流量管理和/或認證服務各自操作或執(zhí)行于一個或多個設備200的用戶空間202和內核空間204的其中一個或者用戶空間202和內核空間204的組合。如結合圖4A-E所討論的，TMvServer和認證vServer可駐留于網絡104 上的一個或多個服務器106和/或中間設備200。TM vServer和/或認證vServer可包括一個或多個策略引擎236或與其通信。策略引擎一個或多個策略引擎236可各自駐留于系統(tǒng)500的任意組件上。所述一個或多個策略引擎236的每一個可以是上文結合圖2A所描述的策略引擎236的任意實施例。而且， 每個策略引擎236可被靜態(tài)地或動態(tài)地綁定到一個或多個策略或者策略的集合，例如流量管理策略586和認證策略568。此外，一個或多個策略引擎236可以識別用于TM vServer 和認證vServer的一個或多個策略。在一些實施例中，一個或多個策略引擎236應用一個或多個策略用于TM vServer或認證vServer并且將該應用的一個或多個結果發(fā)送到TM vServer或認證vServer。在其他實施例中，一個或多個策略引擎236可以將一個或多個所識別的策略發(fā)送到TM vServer和/或認證vServer。存儲裝置設備200可包括存儲裝置560。存儲裝置560可以是上文結合圖IE所描述的存儲裝置、上文結合圖IF所描述的主存儲器122或高速緩存140，以及上文結合圖2A所描述的存儲器264的任意實施例。存儲裝置560可存儲任何類型或形式的信息，包括持續(xù)性信息 (例如，在認證會話期間持續(xù)的客戶機信息)和臨時信息(在運行期間生成的中間數(shù)據)。 在一些實施例中，存儲裝置560可存儲一個或多個URL，例如與客戶機請求關聯(lián)的URL。存儲裝置560也可以存儲機器或vServer275的域名、地址、定位符、索引或其他標識符，例如 TM Werver的域名。存儲裝置560也可以存儲一個或多個策略，例如流量管理策略586和認證策略568。而且，存儲裝置560可存儲跟蹤AAA和流量管理事務或記錄AAA和流量管理事務日志的AAA-TM會話表。策略流量管理策略586、認證策略568和一個或多個策略引擎236 (此后總稱為“策略” 或“策略引擎236”)可包括響應于一組輸入和/或條件而被應用和/或輸出的任何形式和類型的策略、規(guī)則、程序、要求、指令、指南和建議。一些流量管理策略586和/或認證策略 568可以例如在連接會話或認證會話期間無限期地持續(xù)或在固定時間段內持續(xù)。一些流量管理策略586和/或認證策略568可以是持續(xù)的，直到事件發(fā)生為止。一些流量管理策略 586和認證策略568可以是靜態(tài)的，其是由管理員預定義的或由機器生成的。一些流量管理策略586和認證策略568可以是動態(tài)的，例如，根據包括網絡、流量模式、服務器負載、訪問頻率和訪問歷史的條件的任意組合的條件而適應性改變或調整。而且，可以由其他策略修改和/或生成這些策略的一些。流量管理策略586和認證策略568可駐留于網絡104的任何地方的一個或多個存儲裝置中。這樣的存儲裝置可以是結合圖IE所描述的存儲、結合圖IF所描述的主存儲器 122或高速緩存140，結合圖2A所描述的存儲器沈4、以及結合圖5所描述的存儲裝置560 的任意實施例。在一些實施例中，流量管理策略586和認證策略568可一起駐留在例如設備200和/或存儲裝置560中。在其他實施例中，這些策略可包括地理上或邏輯上分開的策略組，例如根據上文結合圖4A-4E所描述的配置而分布的策略。流量管理策略586可包括直接或間接影響流量管理活動和/或決策的任何策略。 例如，流量管理策略586可包括與非流量管理策略(例如，認證策略568)聯(lián)合應用的策略以做出流量管理決策。而且，流量管理策略586可包括與下列內容相關的任何策略1)流量路由、重定向、尋址、分布，幻服務器、服務器群、網關、客戶機、vServer、設備或其他網絡組件的選擇和分配，幻流量數(shù)據加密、壓縮、加速、緩沖和其他類型的處理，4)流量溢出支持， 5)網絡或網絡組件失效支持，6)流量數(shù)據收集、分析、報告，以及7)服務水平的管理。認證策略568可包括直接或間接影響AAA活動和/或決策的任何策略。例如，認證策略568可包括與非AAA策略(例如，流量管理策略586)聯(lián)合應用的策略以做出AAA決策。在一些實施例中，認證策略568可包括與安全和訪問控制特征關聯(lián)的任何策略，所述安全和訪問特征例如安全套接字層(SSL)、虛擬專用網(VPN)、防火墻、加密、水印、安全密鑰、 用戶或客戶注冊、上下文的訪問級別，以及EPA。認證策略568可支持由認證vServer和所關聯(lián)的認證服務器580所支持的特征的全部或任意子集。在一些實施例中，將授權和/或審計/記賬策略與認證策略分開組織，邏輯上分區(qū)或物理上存儲于不同的存儲裝置中。一個或多個認證、授權和/或審計/記賬策略可以在這些策略的另一個之前、之后被使用或與這些策略的另一個聯(lián)合使用。在特定的條件發(fā)生或滿足時，或者被另一策略調用時，可以使用這些AAA策略的任何一個。而且，這些AAA策略的任何一個可以與AAA或認證vServer相關聯(lián)或者綁定到AAA或認證vServer。此外，例如，根據上文結合圖4A-4E描述的配置的任意實施例，這些AAA策略的任何個可以經由AAA 或認證vServer與TM vServer相關聯(lián)或者綁定到TM vServer 可以響應于來自客戶機102的請求來使用與TM Werver相關聯(lián)的或綁定到TM vServer的授權策略。在一些實施例中，可以在客戶機102已被認證后使用授權策略。在這些實施例的一個中，可以在客戶機102已被認證后將綁定到TM vServer的授權策略應用于相關的流量。授權策略可以被關聯(lián)或綁定到用戶、組、Server或全局級別。在一些實施例中，可以支持或優(yōu)選綁定到某些級別的授權策略。例如，在一個實施例中，由于所有流量被定向到TM vServer，所以可以容易地支持在TM Werver級別對授權策略的支持。由于沖突、冗余、協(xié)同或其他，第一級授權策略的存在或缺席也可以影響對第二級授權策略的支持。例如，如果已經支持諸如內容過濾策略的組級別的策略，這可能與vServer級別的策略相沖突或優(yōu)于vServer級別的策略。例如，在一些實施例中，可以從關于各種流量管理特征的已有的或替代的全局授權策略的角度來評估支持組級別的策略的決策，例如用于VPN特征的默認授權組。在一些實施例中，認證、授權和審計特征是分開的和/或由不同的Werver提供的。例如，在一個實施例中，認證策略可以被綁定到認證vServer并且在認證會話建立期間被應用于驗證用戶證書。在會話建立之后，該會話可與認證策略解除關聯(lián)，同時可以引入被綁定到給定的用戶或組的授權策略。接著可以在運行時評估這些授權策略以對照每個給定的請求來做出決定。因此，在一些實施例中，在認證和授權策略之間可能沒有重疊。審計策略可以具有大體上類似于認證或授權策略的屬性或特性。審計策略可以被綁定到一個或多個TM vServer、認證會話、和流量管理會話。審計策略可以支持由任何形式或類型的AAA或認證vServer和服務器提供的特征。所支持的審計特征可包括，但不限于對下列內容的支持■對在包括TCP、UDP和HTTP的多個協(xié)議中的流量管理端用戶的全面的或定制的審計跟蹤；■對系統(tǒng)管理員和流量管理端用戶的完整的或定制的審計跟蹤，例如記錄命令和跟蹤基于角色的管理；■ SYSLOG和/或高性能TCP記錄；■記錄系統(tǒng)事件；■支持豐富的細節(jié)；■可腳本化的或可定制的記錄格式；■不同粒度的基于策略的審計；以及■專用于TM的AAA的審計?？梢砸杂脩?、組、vServer、全局或其他級別設置策略，或者為多個級別設置策略。 在本發(fā)明的各種實施例中，可以支持特定級別或特定的級別組。在一些實施例中，可以將用于策略級別的任何現(xiàn)有的框架(例如，認證策略的框架)擴展到不同的策略集合(例如，流量管理策略)。例如，在一個實施例中，用于支持流量管理的新的認證策略可以通過繼承相關的用戶或組的定義和數(shù)據庫來對現(xiàn)有的用于審計策略的用戶框架或組框架產生影響?？梢苑謱禹樞蚧虮馄降?flat)來指定策略間的優(yōu)先級。在一些實施例中，有用于策略的扁平的優(yōu)先級空間。對于諸如流量管理策略的某些策略，可以在配置時確定將要被評估的策略的順序。例如，可以在確定后維護這樣的策略的有序列表，并將其應用于多個認證會話。可以在運行時確定一些其他策略的優(yōu)先級順序。策略所屬的策略級別可以確定是在運行時還是在配置期間確定優(yōu)先級順序。在圖5的進一步的細節(jié)中，上文所討論的策略和Werver可作用于處理訪問服務器106的客戶機請求。在涉及客戶機102、TM vServer和認證vServer之間的多個請求和響應的多個事務上處理該請求。請求和響應可以是任意通信協(xié)議(私有的或其他的)中的任何類型或形式的消息。在一些實施例中，該消息可以是HTTP、HTTPS或類似協(xié)議的形式。 這些消息可包括任何類型或形式的信息，例如與客戶機102、所請求的資源、設備200，以及認證會話567相關聯(lián)的信息。請求511在一些實施例中，客戶機102發(fā)起請求511，所述請求被攔截或路由到TM vServer.該請求511可包括URL 5450 URL 545可以是指向將要連接的服務器106的資源或標識符的指針。在一些實施例中，請求511中可以不包括URL 5450請求511也可包括諸如中間設備或設備200的地址的信息，以及識別要使用的策略和/或認證服務器的信息。此外，請求511可包括指示客戶機102是否已被認證和/或是否需要已認證的訪問的信息。例如，在一些實施例中，請求511中可以包括域會話cookie。如果域會話cookie是有效的，則這可以指示已經對發(fā)送請求511的客戶機102和/或用戶進行了認證。如果域會話cookie是無效的，或者如果與域會話cookie相關聯(lián)的關聯(lián)的認證會話已過期，則可以執(zhí)行認證或者重新認證。域會話 cookie域會話cookie可以給有效的認證會話提供認證會話信息，例如索引或標識符 5460域會話cookie可用于跟蹤經過流量管理vServer的已認證的流量的狀態(tài)信息。在一個實施例中，如果在流量管理vServer收到的請求511包括有效的域會話cookie，那么關聯(lián)的認證會話567將會被“刷新”或者在另一個預定時間段內處于活動狀態(tài)。在一個實施例中，域會話cookie包括一個或多個下列信息· Cookie 名· Cookie值〈認證會話索引〉 域 < 流量管理vServer域> 路徑 到期時間< 值/未設置/默認>在一些實施例中，可以在認證之前創(chuàng)建認證會話567。在這些實施例的一個中，域會話cookie的暴露會引起某些安全問題，并且由流量管理vServer接收的流量將必須被安全地保護。在這些實施例的另一個中，域會話cookie的暴露不引起安全問題。在其他實施例中，認證會話是在認證時或認證后被創(chuàng)建的。例如，在這些實施例的一個中，認證會話是響應于認證而被創(chuàng)建的。響應 521再參考圖5，在進一步的細節(jié)中，TM Werver可響應于請求511而發(fā)出響應521。 在一些實施例中，響應521是200 OK HTTP響應。響應511可包括用于在客戶機102處顯示的頁面或表單。響應511也可包括任何數(shù)目、類型和形式的字段、按鈕和用于顯示和/或用戶交互的其他部件。響應521可包括URL 5450在一些實施例中，其中請求511不包括任何URL，響應521可包括可能由TM vServer生成的URL 545 該URL 545可以是至少部分地從請求511中所包含的信息和/或一個或多個流量管理策略545的應用中生成的。URL 545可以以隱藏的表單或隱藏的字段的方式被包含在響應521中。在一些實施例中，將這樣的隱藏的字段或表單的輸入類型指定為“HIDDEN”。與隱藏的表單或字段關聯(lián)的文檔(例如 Html文檔)在其被顯示在瀏覽器中時可能不顯示該隱藏的表單或字段，也不顯示該隱藏的表單或字段的值或內容。在一些實施例中，面對該文檔的用戶不會與該隱藏的表單或字段交互。響應521也可包括加載時提交事件句柄。加載時提交事件句柄可以包括在預定事件出現(xiàn)時發(fā)起或觸發(fā)消息的命令的任何集合，或者任何形式或類型的腳本或程序。例如，當用戶點擊“提交”按鈕時，可以觸發(fā)提交隱藏的表單或字段的消息。響應521可包括將請求511重定向到認證服務器的指令514。指令514可以是由 TM vServer生成的、至少部分地從請求511中所包含的信息和/或一個或多個流量管理策略M5的應用而生成的。指令514可包括任何類型或形式的命令(例如HTTP命令)，或者任何類型或形式的程序代碼。此外，可以根據客戶機102的類型或能力來定制指令514。在一些實施例中，指令514可包含腳本516或者被包含在腳本516中。客戶機102可執(zhí)行腳本516，或者在客戶機102處收到腳本516時，該腳本516可自動執(zhí)行。腳本可以是事件句柄。在其他實施例中，腳本516可獨立于指令和/或服務于不同的目的。腳本516可觸發(fā)、 生成或以其他方式由客戶機102發(fā)起第二或另外的請求512。請求512在一些實施例中，請求512用于將URL 545和/或其他信息傳遞或重定向到諸如認證vServer的目的地。在其他實施例中，在將URL 545和/或其他信息傳遞到目的地的過程中，302響應可代替響應521。請求512可包括重定向位置頭部。該重定向位置頭部可包括任何類型或形式的信息，例如用于檢索登錄頁面的信息。在一個實施例中，重定向位置頭部可具有下面的格式位置:<http I https> //<vpn_vServer> <port>/vpn/index, html在一些實施例中，請求512是由用戶動作觸發(fā)的，例如與客戶機102處收到的響應 521關聯(lián)的在提交按鈕上的鼠標點擊。在其他實施例中，當客戶機102處收到響應521時， 請求512自動地觸發(fā)。在一個實施例中，腳本516可將請求512生成為POST(發(fā)布)消息。 在一些實施例中，例如與302重定向消息可在其HTTP頭部包含的內容相比，POST消息能夠包含更多的內容，例如，諸如較長的URL。POST消息可包括URL520。請求512的URL520可以是指向任何類型或形式的腳本、可執(zhí)行文件、程序或資源的指針。在一些實施例中，URL520 可指向腳本或可執(zhí)行文件的目錄、目錄樹或者腳本或可執(zhí)行文件的位置。在這些實施例的一個中，URL520是指向CGI可執(zhí)行文件的指針。URL520可指向包含CGI可執(zhí)行文件的CGI 二進制目錄或目錄樹。URL520可包含字符串，例如“/cgi/tm”。該字符串可指示響應521 是來自TM Werver的重定向消息。在一些實施例中，諸如“/cgi/tm”的URL字符串可以是硬編碼的、預定的或動態(tài)生成的。URL520也可以是不同于URL的一些其他類型或形式的指針或指示器。請求512可包括任何類型或形式的信息，例如與客戶機102、任何所請求的資源、 設備200，認證會話567和請求511相關聯(lián)的信息。該請求512也可包含URL 5450在一些實施例中，請求512可在該請求512的主體中包含URL 5450請求512也可包含客戶機和/ 或用戶證書518。在一些實施例中，證書518用于認證客戶機102和/或用戶。在各種實施例中，證書518、URL 545和URL520的一個或多個可以是可選的或者必須的。這些證書518、 URL 545和URL520的一個或多個可以駐留在請求512的主體中、請求512的POST請求行中、請求512的頭部或其他部分中。在一個實施例中，請求512包括但不限于下列屬性的任何一個或多個 請求行P0ST/cgi/tm 主機 < 認證vServer標識符或定位符>參主體url = <URL 545>請求512可包括任何類型或形式的標記或cookie，例如AAA cookie。AAA cookie 是由TM vServer、客戶機102或系統(tǒng)500的任何其他模塊生成的，和/或依據一個或多個策略586/568生成的。AAA cookie可用于在認證過程中執(zhí)行對任何類型和形式的狀態(tài)和/ 或數(shù)據的跟蹤。AAA cookie可包括一個或多個屬性，并且每個屬性可包括任何類型或形式的信息，例如關于認證vServer和關聯(lián)的認證會話567的信息?？梢栽谡J證期間重復利用 AAAcookie。當認證會話567到期時，AAA cookie會到期。在一些實施例中，AAAcookie是僅對認證vServer 275av的域有效，并且可能在發(fā)送到TM Werver的請求中是不可用的。 在一個實施例中，AAA coolie包括但不限于下列屬性· Cookie 名· Cookie 值 域< 認證 vServer〉眷路徑 到期時間認證會話在一些實施例中，認證會話567可以是響應于請求512而被創(chuàng)建的。當進行連接或資源請求時，以及在一些實施例中在認證會話已過期之后，認證vServer 275av可建立認證會話來認證客戶機102和/或用戶。認證會話567可表示任何類型或形式的連接、通道、會話、集合或事務單元。此外，認證會話567可支持任何會話層服務和協(xié)議。認證會話也可以大體上類似于任何現(xiàn)有類型的安全的、認證的和/或加密的會話、通道或連接或者包含其特征。在一些實施例中，認證會話567是VPN會話。如果認證會話567是由VPNWerver 或服務器創(chuàng)建的，則其可以是VPN會話。在一些實施例中，認證會話567基本上類似于VPN 會話和/或包含VPN會話的特征。例如，在一個實施例中，可以通過集成輕量級的VPN框架來提供認證，這樣可以包含未來的VPN增強，例如安全保證標記語言(SAML)和活動目錄聯(lián)合服務(ADFS)。在又一個實施例中，認證會話567包括另外的字段，例如存儲所關聯(lián)的 TMvServer的域名和URL 545的字段。可以在認證vServer 275av收到從TM Werver重定向的第一客戶機請求之后馬上創(chuàng)建認證會話。在一些實施例中，該會話的創(chuàng)建可以發(fā)生在認證之前。然而，VPN vServer 可以在完成認證后創(chuàng)建VPN會話。這個區(qū)別的原因在于在認證之前創(chuàng)建認證會話以存儲TM vServer的域名和由客戶機向TMWerver發(fā)起的初始請求的URL的其中一個或者全部。在一些實施例中，可能需要或提供防止拒絕服務(DOS)攻擊的對認證會話的保護，例如防止發(fā)送填滿AAA-TM會話表的消息的黑客，防止拒絕合法用戶的訪問。在一些實施例中，認證會話可能被刷新，或在另一個指定的時間段內被激活。在這些實施例的一個中，如果在流量管理vServer處收到的請求511中發(fā)現(xiàn)有效的域會話cookie，則認證會話可以在另一指定時間段內處于活動狀態(tài)。如果認證會話沒有被刷新，則其可能超時，并且客戶機102可能必須被重新認證(例如，重新登錄)。會話超時有時也可以被稱為被動超時。認證會話567可以通過用戶的明確的退出(例如，點擊退出按鈕或鏈接)而終止或者當該會話超時時終止。在一些實施例中，一旦用戶退出，認證會話(例如， 在諸如CITIRX Netscaler設備的設備200上的認證會話)就變?yōu)闊o效的。用戶可能必須要被重新認證以進入有效的認證會話。在一個實施例中，可以支持對用戶退出的CGI支持。 例如，可以在“/cgi/logout”路徑中找到處理該退出的可執(zhí)行文件，并將其鏈接到例如退出按鈕。在又一個實施例中，可以支持包括退出功能的完整的會話管理頁面，并在客戶機102 處顯示該頁面。也可以定制該完整的會話管理頁面?？梢詮拇鎯ρb置中檢索該完整的會話管理頁面并且/或者在到客戶機102的消息中包含該頁面。在一些實施例中，對流量管理的AAA支持可提高認證登錄速率和/或增加并發(fā)會話的數(shù)量。例如，這些認證登錄速率和并發(fā)會話的數(shù)量可能比典型的VPN應用高。這也可能增加存儲器消耗。為了抵消這樣的增加，管理員可設置較小的會話超時值，例如用于認證會話567的較小的默認超時值。認證會話567可以與或者不與流量管理會話(未示出)共存和/或互操作。在一個實施例中，在認證會話之后開始流量管理會話。在又一個實施例中，流量管理會話啟動一個或多個認證會話和/或與其交互。例如，為了在流量流過期間審計/記賬的目的，流量管理會話也可以與認證會話互操作、訪問AAA反饋和/或作出或更新流量管理決策。在一些實施例中，用于認證和/或支持流量管理的VPN的安全模型可能使會話建立和認證令牌收集發(fā)生在安全通道(SSL)上，但可能不要求流量管理內容是安全的。認證和/或VPN支持可以保護流量管理vServer而不管穿過該流量管理vServer的流量。響應 522例如如果客戶機102的認證是成功的，則生成對客戶機102的第二響應522，以使得認證會話567是可利用的。第二響應522可標識到客戶機102的認證會話567。認證 vServer可生成第二響應522并且將該響應522傳輸?shù)娇蛻魴C102。第二響應522可以在第二響應522的主體中、第二響應522的POST消息結構中、在域會話cookie、頭部或第二響應522的任何其他部分中包含認證會話標識符546或信息。在一些實施例中，認證會話標識符546可以被稱為認證會話索引M6。認證索引546可以用于標識有效的認證會話。在一些實施例中，第二響應522可以是HTTP 302消息，或任何其他類型或形式的重定向消息。在一些實施例中，第二響應522可以在認證后將客戶機請求重定向回到TM vServer.在一個實施例中，第二響應包括但不限于下列信息和/或結構的任何一個或多個■位置頭部格式 位置< 協(xié)議 >//<traffic_management_vServer> [〈端口〉]/<url><協(xié)議 > 和 < 端口〉可取決于流量管理vServer IP和服務端口 ；<traffic_management_vServer> 可以從認證會話中復制，并且可能最初來自于域 cookie ；<url> 可以從認證會話中復制，并且可能源自于對流量管理vServer的初始請求。
■域會話 cookie:· Cookie 名· Cookie值< 認證會話索引> 域〈流量管理vServer域〉 路徑 到期時間< 值/未設置/默認>請求513請求513可以是由客戶機102向TM vServer發(fā)送的。在一個實施例中，請求513 可以是重定向的第二響應522，帶有或不帶有對第二響應522的任何改變。在又一個實施例中，請求513大體上類似于請求511。例如，請求513可包含來自請求511的信息以及認證信息。請求513可標識認證會話567。在一些實施例中，請求513標識有效的認證會話 567。請求513可以在請求513的主體中、請求513的POST消息結構中、或者在請求513的頭部或其他部分中包含認證會話標識符546或信息。先前的消息(請求或響應)之后的響應521、522和請求512、513的任何一個中可以包含在任意先前的消息中包含的任何信息。例如，響應521可包含在請求511中包含的全部或一些信息。在一些實施例中，任一隨后的消息可以是任意先前的消息的修改或更新。 例如，可以通過封裝請求512、修改請求512的頭部或地址，和/或在請求512中添加新的信息來生成響應522。而且，可以根據一個或多個流量管理、認證或其他策略從另一個消息生成和/或修改這些消息的每一個。系統(tǒng)500可以提供諸如web接口的接口。該接口可包括來自上文結合圖2A所討論的⑶I210、CLI212、殼服務214的任意實施例的特征。流量管理系統(tǒng)的管理員可以利用多個命令來安裝和配置在本公開中所討論的系統(tǒng)和方法?？梢酝ㄟ^命令行接口來輸入命令， 例如上文結合圖2A所描述的CLI212。舉例說明，在一些實施例中，對于各種功能，可以使用下列命令的一些或全部(a)添加認證虛擬服務器add authentication vServer<vServer name><serviceType><IPAddress>[<port>]· <vServer name)認證虛擬服務器的名稱。· <serviceType> 服務的類型，例如，SSL。眷<port> 端口號，例如，443。(b)設置/注銷CR/CS/LB虛擬服務器set/unset cr|cs|lb vServer<vServer name>-authentication[on|offj-authenticationURL< iAilE vServer 的 FQDN> [<port>]· <vServer name)認證虛擬服務器的名稱?！?-authentication[on I off]:該開關能啟用或禁用對于流量管理vServer的認證功能。· <認證vServer的FQDN> 認證vServer的域名或IP地址。· <port> 監(jiān)聽認證vServer的服務端口，其應該是與在認證vServer上指定的端口相同的。端口號，例如，443。(c)將策略綁定到認證虛擬服務器bind authentication vServer<vServer name>-policy<authNpolicy>|<sessionPolicy>(d)將策略綁定到CR/CS/LB虛擬vServerbind cr|cs|lb vServer〈vServer name>-policy<auditPolicy> | <authorizationPolicy>***(e)設置參數(shù)set tm sessionParameterset vpn parameteradd/rm/set tm sessionPolicy/sessionActionadd/rm/set vpn sessionPolicy/sessionActionset tm session parameter[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)][-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][ssoCredential(PRIMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][_ntDomain〈string>][- (pre)authenticationPolicy/(pre)authenticationActions〈string>]set aaa param[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)][-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][-ssoCredential(PRLMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][_ntDomain〈string>][-(pre) authenticationPolicy/(pre)authenticationActions〈string>]set aaa sessionparams[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)]
[-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][-ssoCredential(PRIMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][-ntDomain<string>][ - (pre) authenticationPolicy / (pre) authenticationActions<string>]{定義TM會話的會話行為}set vpn param[_sessTimeout〈mins>][-defaultAuthorizationAction(ALLOW|DENY)][-authorization Group<string>][-homePage<URL>][-clientSecurity<expression>[-clientSecurityGroup<string>][-clientSecurityMessage<string>]][-ssoCredential(PRIMARY|SECONDARY)][_loginScript〈input_filename>][_logoutScript〈input_filename>][-ntDomain<string>][-(pre) authenticationPolicy / (pre)
authenticationActions<string>]定義VPN會話的會話行為}(f)顯示統(tǒng)計show aaa session{顯示會話和它們的統(tǒng)計，包括VPN、流量管理和/或系統(tǒng)}現(xiàn)參考圖6A和6B，顯示了描述對由流量管理虛擬vServer管理的網絡流量進行認證的方法的步驟的實施例的流程圖600?？偟膩碚f，在步驟601，流量管理vServer接收來自客戶機102的與服務器106建立連接的請求511。請求511包括第一統(tǒng)一資源定位符 (URL) 5450在步驟603，流量管理虛擬服務器確定客戶機102是否已經被認證。在步驟605， 流量管理虛擬服務器識別用于從多個認證虛擬服務器275av中選擇一個認證虛擬服務器 275av的策略以便提供對客戶機102的認證。在步驟607，流量管理虛擬服務器通過該策略從多個認證虛擬服務器275av中選擇一個認證虛擬服務器27fev。在步驟609，流量管理虛擬服務器向客戶機102傳輸對請求511的響應521。響應521包括URL 545和重定向到認證虛擬服務器的指令514。在步驟611，響應521觸發(fā)來自客戶機102的、到認證虛擬服務器275av的請求512。在步驟613，認證虛擬服務器接收來自客戶機102的請求512。 第二請求識別URL 545并指示從流量管理虛擬服務器的重定向。在步驟615，認證虛擬服務器為客戶機102建立認證會話567。該認證會話567識別一個或多個策略568。在步驟 617，認證虛擬服務器將URL 545和流量管理虛擬服務器275tv的域名與認證會話567存在一起。在步驟619，認證虛擬服務器對從客戶機102接收的證書進行認證。在步驟621，流量管理虛擬服務器將認證會話567的一個或多個策略568應用到請求511。在步驟623，認證虛擬服務器向客戶機102傳輸響應522以將客戶機102重定向到流量管理虛擬服務器。 該響應522標識認證會話567。在步驟625，流量管理虛擬服務器接收來自客戶機102的請求513。請求513包含認證會話567的標識符M6。在步驟627，流量管理虛擬服務器驗證由該標識符546識別的認證會話567。在步驟629，流量管理虛擬服務器將認證會話567的一個或多個策略568應用到請求513。在步驟631，流量管理虛擬服務器將由一個或多個策略568授權的流量從客戶機102轉發(fā)到服務器106。在步驟601的進一步的細節(jié)中，流量管理vServer從客戶機102接收與服務器106 建立連接的請求511。請求511可包括統(tǒng)一資源定位符(URL) 545。在一些實施例中，請求 511是訪問資源的請求。請求511可以是來自客戶機的多個請求中的最初的請求511，并且可能包含或不包含URL 545。流量管理vServer可通過在客戶機102和服務器106或服務器群582之間的另一個中間設備(例如設備200)接收請求511。請求511可以被攔截和/或重定向到流量管理vServer。請求511也可以被重定向和/或編址到執(zhí)行流量管理vServer 的設備200或服務器106。在一些實施例中，請求511中可以不編制到流量管理vServer。 可以根據一個或多個策略(諸如來自流量管理策略586的策略)將請求511定向到流量管理vServer。此外，可以經由上文結合圖4A-4E描述的配置的任意實施例將請求511從一個或多個流量管理vserver275tmv輸送、路由、重定向或委派到流量管理vServer 275tv。在步驟603的進一步的細節(jié)中，流量管理虛擬服務器確定客戶機102是否已經被認證。流量管理vServer可以通過應用一個或多個策略，例如來自與流量管理虛擬服務器關聯(lián)的流量管理策略和/或認證策略568的策略，來確定客戶機102和/或用戶是否已經被認證。在一些實施例中，請求511可包含指示客戶機102和/或用戶是否是已認證的信息。 特定信息的缺席也可能指示客戶機102和/或用戶是否是已認證的。流量管理vServer可確定該請求不包含諸如域會話cookie的會話cookie。在一些實施例中，流量管理vServer 可確定該請求不包含對有效的認證會話的標識符或索引M6。在一個實施例中，因為請求 511不包含域會話cookie和/或對有效的認證會話的索引，流量管理vServer可確定客戶機102和/或用戶沒有被認證。請求511中的有效的域會話cookie和/或對有效的認證會話的索引可指示客戶機102和/或用戶是已認證的。在一個實施例中，流量管理vServer 檢查請求511中所識別的或者通過會話域cookie所識別的認證會話是有效的或未過期的。 在一些實施例中，如果請求511包含有效的域會話cookie并且所關聯(lián)的認證會話是有效的且未到期，那么流量管理vServer確定客戶機102和/或用戶是已認證的。流量管理vServer也向客戶機102請求信息。所請求的信息可用于確定客戶機 102和/或用戶是否是已認證的。例如，流量管理vServer可啟動客戶機102的端點分析掃描。在一些實施例中，流量管理vServer可以向客戶機102傳輸腳本和/或程序以收集信息，或者執(zhí)行腳本和/或程序以向客戶機102輪詢或請求信息。在一些實施例中，流量管理 vServer可傳輸和/或激活在客戶機102中的收集代理304來為流量管理vServer收集信息。所收集的信息可以是上文結合收集代理304以及圖3A和圖5所討論的任何類型或形式的信息。流量管理vServer接著可以響應于接收和/或分析所收集的信息來確定客戶機 102是否已被認證。在一些實施例中，流量管理vServer可能不能夠確定客戶機102是否已經被認證。 在這些實施例的一個中，流量管理vServer可以將客戶機102看作是已認證的。在這些實施例的又一個中，流量管理vServer可以將客戶機102看作是未被認證的。流量管理vServer 可以通過應用諸如流量管理策略586和認證策略568的一個或多個策略來將客戶機102看作是已認證的或未被認證的。取決于客戶機102是否已經被認證，流量管理vServer可執(zhí)行相同的動作或不同的動作?？梢酝ㄟ^應用一個或多個策略來確定動作。在一個實施例中， 如果客戶機102是已認證的，則該方法可轉到步驟621，在流量管理操作之前應用一個或多個認證策略568。在又一個實施例中，如果客戶機102是未被認證的，該方法轉到步驟605 以發(fā)起認證。在步驟605，流量管理虛擬服務器識別用于從多個認證虛擬服務器選擇一個認證虛擬服務器的策略以便執(zhí)行對客戶機102的認證。在選擇認證vServer中可以選擇和應用一個或多個策略，例如流量管理策略586。在一些實施例中，可能僅有一個認證虛擬服務器是可用的，或者僅支持一個認證虛擬服務器，并且可能不要求識別該認證服務器的策略。在一個實施例中，請求511包含用于選擇認證虛擬服務器的策略的信息。在又一個實施例中， 請求511提供用于選擇認證虛擬服務器的策略。在又一個實施例中，流量管理虛擬服務器部分地基于從客戶機102收集的信息來識別該策略。而且，可以從流量管理策略586、認證策略568或任何其他策略來識別該策略。通過策略引擎可以應用任意策略，所述策略引擎例如上文結合圖2A所討論的的策略引擎236的任意實施例。在一個實施例中，流量管理虛擬服務器基于與請求關聯(lián)的用戶來識別選擇認證 vServer的策略。在又一個實施例中，流量管理虛擬服務器基于從客戶機102收集的信息來識別選擇認證vServer的策略。流量管理虛擬服務器可基于從客戶機102收集的任何類型或形式的信息來識別策略。流量管理虛擬服務器可啟動EPA來從客戶機102收集用于識別策略的信息。流量管理虛擬服務器可以通過發(fā)送收集代理304到客戶機102或者與位于客戶機102的收集代理304通信來從客戶機102接收用于識別策略的信息。在一個實施例中，流量管理虛擬服務器基于所收集的關于在客戶機102上安裝的軟件的信息來識別用于選擇認證vServer的策略。在又一個實施例中，流量管理虛擬服務器基于所收集的關于在客戶機102上的操作系統(tǒng)的信息來識別用于選擇認證vServer的策略。在一些實施例中，流量管理vServer可以經由所關聯(lián)的策略引擎236來對與策略相關的任意動作進行操作。例如，在流量管理vServer中的或者與流量管理vServer通信的策略引擎236可以代表流量管理vServer來識別用于選擇認證vServer的策略。在步驟607的進一步的細節(jié)中，流量管理vServer通過該策略選擇多個認證 vServer的一個認證vServer以認證客戶機。響應于策略的識別，流量管理vServer選擇認證vServer。在一個實施例中，流量管理vServer從與該流量管理vServer關聯(lián)的多個 vServer中選擇認證vServer。在又一個實施例中，流量管理vServer從多個vServer中選擇認證vServer作為第一類型的認證vServer。流量管理vServer可基于由該認證vServer 支持的認證類型來選擇認證vServer。例如，認證類型可包括活動目錄(AD)、輕量級目錄訪問協(xié)議(LDAP)、RADIUS和RSA SecureID0流量管理Werver也可以基于由認證vServer提供的認證類型所支持的特征(例如，SS0)和/或選項來選擇認證vServer。可以為由策略識別的特定的認證類型選擇認證vServer。流量管理vServer也可以基于與客戶機102就任何類型的需求和/或選項的協(xié)商來選擇認證vServer。在一個實施例中，流量管理vServer 基于與客戶機102的對認證類型的協(xié)商來選擇認證vServer?？梢詮亩鄠€認證類型來協(xié)商認證類型。在一些實施例中，流量管理vServer基于由客戶機支持的認證類型來選擇認證 vServerο在一些實施例中，流量管理vSerer可不應用任何策略就選擇認證虛擬服務器。例如，流量管理vServer可以與上文結合圖4A和4B所描述的認證vServer靜態(tài)地相關聯(lián)。在一個實施例中，請求511提供識別或選擇認證vServer的信息。在又一個實施例中，流量管理vServer使用從客戶機102收集的信息來識別或選擇認證虛擬服務器。流量管理vServer 選擇一個或多個認證vServer來認證客戶機102和/或用戶。此外，一個或多個認證服務器580可以與每個所選擇的認證vServer靜態(tài)地或動態(tài)地相關聯(lián)以便對客戶機102和/或用戶進行認證。在一些實施例中，通過應用例如來自認證策略568的一個或多個策略，可以進行動態(tài)的關聯(lián)。在步驟609的進一步的細節(jié)中，流量管理虛擬服務器向客戶機102傳輸對請求511 的響應521。流量管理虛擬服務器可以將包括URL 545和/或重定向到認證虛擬服務器的指令514的響應521傳輸?shù)娇蛻魴C102。在一些實施例中，流量管理vServer可以經由隱藏的表單或字段來傳輸標識URL 545的響應521。流量管理vServer也可以傳輸包括加載時提交事件句柄和/或用于在客戶機102上顯示和/或用戶交互的頁面或表單的響應521。 如果客戶機102和/或用戶未被認證或者如果不能確定客戶機102和/或用戶是已認證的， 則流量管理vServer可傳輸響應521。在一些實施例中，流量管理vServer通過任何類型或形式的修改、變換和/或轉換將請求511轉變?yōu)轫憫?21。在其他實施例中，流量管理vServer部分地基于請求511的內容來生成響應521。也可以通過除了流量管理vServer之外的模塊，例如設備200的組件， 來生成和/或修改響應521。此外，可以通過應用諸如來自流量管理策略和/或認證策略 568的策略的一個或多個策略來生成和/或修改響應521。在一些實施例中，響應521包括腳本516，所述腳本516觸發(fā)從客戶機102向認證虛擬服務器傳輸請求521。在一些實施例中，流量管理vServer可以通過網絡引擎240來操作或執(zhí)行任何動作。流量管理vServer也可以就任何這樣的動作來指導網絡引擎M0。例如，網絡引擎MO 可生成和/或向客戶機102傳輸響應521以重定向到所選擇的認證vServer。網絡引擎MO 可以代表流量管理vServer生成包括客戶機102重定向到所選擇的認證vServer的指令的響應521。在步驟611，響應于響應521的接收，響應521觸發(fā)從客戶機102到認證虛擬服務器的請求512。在一個實施例中，請求512是響應于收到響應521而被觸發(fā)的。在又一個實施例中，請求512是由用戶動作觸發(fā)的，例如在客戶機102上顯示的提交按鈕上的點擊。 客戶機102可以接收被包含在觸發(fā)請求512的響應521中的一個或多個命令、腳本和/或程序。客戶機102也可以具有響應于響應521的接收來觸發(fā)請求512的一個或多個腳本和/或程序。在一些實施例中，由客戶機102接收的或在客戶機102處可利用的一個或多個腳本和/或程序觸發(fā)向認證虛擬服務器的POST請求512的傳輸?？蛻魴C102和/或一個或多個腳本和/或程序也可以生成用于包含在請求512中的指針或URL520。例如，在請求512是POST請求的情況下，指針或URL520可被包含在請求512的POST字段中。在一些實施例中，指針或URL指示到CG I可執(zhí)行文件的路徑。客戶機102和/或一個或多個腳本和/或程序可以生成對用于包含在請求512中的CGI可執(zhí)行腳本的一個或多個輸入或值。 請求512也可包含一個或多個命令、腳本和/或程序。在一些實施例中，客戶機102將請求 512傳輸?shù)秸J證vServer。請求512也可以例如通過設備200和/或流量管理vServer被路由或重定向到認證vServer。在步驟613的進一步的細節(jié)中，認證虛擬服務器接收來自客戶機102的請求512， 該請求512識別URL 545并指示從流量管理vServer的重定向。在一些實施例中，認證 vServer接收到預定的URL和/或URL 545的、包括POST消息的請求512。響應于收到請求512，認證vServer可以從該請求512中提取指針或URL520。認證vServer可以根據所提取的指針或URL520來檢索或請求可執(zhí)行文件。此外，認證vServer可以執(zhí)行該可執(zhí)行文件，無論有沒有被包含在請求512中的輸入或值。在又一個實施例中，認證vServer可以執(zhí)行一個或多個命令、腳本和/或程序。所述一個或多個命令、腳本和/或程序可以被包含在請求512中或者認證vServer 275av中、從存儲裝置560中進行檢索，或者是根據一個或多個認證策略568而生成的。而且，認證vServer可以根據一個或多個認證策略568來選擇用于執(zhí)行的一個或多個命令、腳本、程序和/或可執(zhí)行文件。在一些實施例中，認證vServer在請求512中尋找AAA cookie。如果AAA cookie 是可利用的并且是有效的，那么認證vServer可轉到步驟615或任何其他認證步驟。如果 AAA cookie是不可用的或者是無效的，那么認證vServer可以確定請求512是否是屬于特定類型的消息并且是有效的。在一些實施例中，認證vServer可確定請求512是否是POST 消息。如果該消息是有效的，那么認證vServer可以依照步驟615進行處理。在一些實施例中，如果該消息是POST消息，則其是有效的。在這些實施例的一個中，如果認證Werver 確定POST消息包含預定的URL，例如“/cgi/tm”，則該消息是有效的。或者，如果該消息被確定為是無效的和/或不是POST消息，則認證vServer可以拒絕客戶機請求。認證vServer 可以通過發(fā)送任何類型和形式的消息來拒絕客戶機請求。在一些實施例中，認證vServer 通過HTTP403禁止消息或503服務不可用消息來拒絕客戶機請求。在各種實施例中，認證 vServer可以執(zhí)行生成拒絕客戶機請求的消息、將該消息發(fā)送到客戶機102和關閉到客戶機102的連接中的一個或多個步驟。在步驟615的進一步的細節(jié)中，認證虛擬服務器為客戶機102建立認證會話567。 認證會話567可以識別一個或多個策略568。由認證vServer建立的認證會話可以是VPN會話。在一些實施例中，認證vServer在認證客戶機102和/或用戶之前建立認證會話567。 在其他實施例中，認證vServer在對客戶機102和/或用戶進行認證時或者認證之后建立認證會話567。認證vServer可以使用任何類型或形式的數(shù)據結構、對象或應用處理接口 (API)來創(chuàng)建或建立認證會話567。例如，認證vServer可以建立或創(chuàng)建會話表，例如在存儲裝置560中的AAA-TM會話表。認證vServer也可以創(chuàng)建和/或存儲會話cookie (例如AAA 會話cookie)和/或與認證會話567關聯(lián)的其他信息。在一些實施例中，認證vServer與服務器106或其他機器102通信或進行握手以便建立認證會話567?？梢杂闪髁抗芾韛Server 基于客戶機請求來識別服務器106或其他機器102。在一些其他實施例中，認證vServer建立認證會話567從而為連接到已被流量管理vServer識別的服務器106或其他機器102做準備。認證vServer也可以建立認證會話567從而為認證客戶機102和/或用戶做準備。在一些實施例中，可以通過執(zhí)行由指針或URL520指示的可執(zhí)行文件來建立認證會話567。請求512可將諸如輸入和值的信息傳遞到認證vserver275av以建立認證會話 567。通過執(zhí)行在請求512中接收的、駐留在認證vServer 275av中的、從存儲裝置560中檢索的，或者根據一個或多個認證策略568而生成的一個或多個命令、腳本和/或程序也可以建立認證會話567。在步驟617，認證虛擬服務器將URL 545和流量管理虛擬服務器275tv的域名與認證會話567存在一起。認證vServer可以存儲URL 545和與認證會話567關聯(lián)的流量管理虛擬服務器的域名的其中一個或兩者。此外，認證vServer可存儲來自請求512或其他的、 與認證會話567關聯(lián)的任何類型或形式的信息。認證vServer 275av可以響應于收到請求 512來存儲這些信息的任何內容。認證vServer 275av可以響應于應用一個或多個策略(例如來自認證策略568的策略)來存儲這些信息的任何內容。此外，認證vserver275av可以通過執(zhí)行由指針或URL520指示的可執(zhí)行文件來存儲這些信息的任何內容。認證會話567 也可以通過執(zhí)行在請求512中包含的、駐留在認證vServer 275av中的、從存儲裝置560中檢索的，或者根據一個或多個認證策略568而生成的一個或多個命令、腳本和/或程序來存儲這些信息中的任何內容。認證vServer可存儲與客戶機請求、客戶機102、用戶和/或上文結合圖5所描述的系統(tǒng)500的任何其他組件相關聯(lián)的任何信息?？蓪⑦@些信息存儲在存儲裝置560中，或者網絡104上的一個或多個存儲裝置之間。在一些實施例中，認證會話567將這些信息的一些或全部存儲在會話表中，例如AAA-TM會話表。認證vServer 275av可以向任何存儲裝置傳輸或傳送這些信息以用于存儲。在步驟619的進一步的細節(jié)中，認證虛擬服務器認證從客戶機102接收的證書。認證vServer可以根據由認證vServer使用或配置的認證類型(例如，LDAP、RADIUQ來進行認證。認證vServer也可以與任何類型或形式的服務器或系統(tǒng)通信來執(zhí)行該類型的認證。 例如，在一些實施例中，認證vServer可以執(zhí)行由綁定到或分配給認證vServer的一個或多個認證和/或授權服務器580支持的類型的認證。此外，認證vServer可根據由流量管理 vServer和/或一個或多個策略識別的認證類型來進行認證。認證vServer也可以使用任何常規(guī)的、私有的和/或定制的認證技術和過程來執(zhí)行客戶機102和/或用戶的認證。認證vServer可以響應于收到請求512來執(zhí)行認證。認證vServer也可以響應于應用一個或多個策略(例如來自認證策略568的策略)來執(zhí)行認證。此外，認證vServer可以通過執(zhí)行由指針或URL520識別的可執(zhí)行文件來進行認證。認證會話567也可以通過執(zhí)行在請求 512中包含的、在認證vServer中的、從存儲裝置560中檢索的，或者根據一個或多個認證策略568而生成的一個或多個命令、腳本和/或程序來進行認證。認證vServer可識別或提取客戶機證書518和/或來自請求512的任何類型或形式的信息。而且，認證vServer 275av可以從客戶機102和/或用戶請求和/或收集任何類型或形式的認證和/或授權信息。該信息可包括用戶標識、密碼、對質問問題的回答、認證密鑰、會話表索引和會話cookie中的一個或多個?？梢栽谂c客戶機上的密碼管理器、會話表和/或數(shù)據庫(例如，在存儲裝置560和/或RADIUS服務器中維護的)和用戶輸入中的一個或多個的通信中來收集該信息。認證vServer可啟動客戶機102的端點分析或掃描。 在一些實施例中，認證vServer可以向客戶機102傳輸腳本和/或程序以收集信息，或者可執(zhí)行腳本和/或程序以向客戶機102輪詢或請求信息。在一個實施例中，收集代理304為認證vServer收集信息。認證vServer也可以執(zhí)行任何類型或形式的預認證動作。在一些實施例中，可以根據一個或多個認證策略568來進行預認證動作。在一些實施例中，認證vServer將客戶機102或客戶機請求重定向到登錄頁面或其他網頁?？梢允褂肏TTP 302消息或任何其他類型的消息來發(fā)起該重定向。在一些實施例中，認證vServer生成重定向消息并將其傳輸?shù)娇蛻魴C102。在一個實施例中，認證vServer 275av通過指針或URL(例如，“/vpn/index. html”)將客戶機102或客戶機請求重定向到頁面。在一些實施例中，可以通過訪問頁面來執(zhí)行一些或全部的預認證動作。該頁面可以駐留在認證vServer、存儲裝置560或上文結合圖5所描述的系統(tǒng)500的任何其他組件中， 或者可以由認證vServer、存儲裝置560或上文結合圖5所描述的系統(tǒng)500的任何其他組件來提供該頁面。在其他實施例中，認證vServer給客戶機102發(fā)送或提供頁面或消息以發(fā)起認證。響應于收到重定向消息，客戶機102可以向認證服務器發(fā)送重定向請求。在一個實施例中，客戶機發(fā)送包括“GET/vpn/index. html”命令的重定向請求。響應于該重定向請求，認證服務器可以發(fā)送包括頁面(例如登錄頁面)的響應?？蛻魴C102可以將證書和/ 或其他信息輸入到該頁面并通過該頁面向認證服務器發(fā)送登錄請求。認證vServer可接收并處理該登錄請求。在一些實施例中，認證vServer 275av嘗試本地或者遠程地對客戶機 102和/或用戶進行認證。例如，在一個實施例中，認證vServer 275av通過應用一個或多個認證策略和/或使用在存儲裝置560中存儲的認證信息來本地執(zhí)行認證。在又一個實施例中，認證vServer通過將客戶機和/或用戶信息傳輸?shù)揭粋€或多個遠程認證服務器580 來執(zhí)行認證。可以部分地基于認證配置的類型或形式、和/或一個或多個認證策略568的應用來選擇遠程認證和/或本地認證。如果認證不成功，例如，如果認證步驟(615、617和619)的任何一個是不成功的， 則客戶機請求將會被拒絕、忽略，或者重新執(zhí)行認證，其中重新執(zhí)行認證可以有或沒有另外的步驟。認證vServer可以通過向客戶機102發(fā)送任何類型和形式的消息來拒絕客戶機請求。在一些實施例中，認證vServer通過HTTP403消息來拒絕客戶機請求。在一些實施例中，如果在諸如步驟615、617和619的認證步驟的任何一個中的認證是不成功的，則認證 vServer可以執(zhí)行生成拒絕客戶機請求的消息、將該消息發(fā)送到客戶機102和關閉到客戶機102的連接中的一個或多個步驟。認證vServer可終止認證會話567，如果有的話。此外，認證vServer 275av可從存儲裝置中刪除所存儲的流量管理vServer 275tv的域名和 / 或 URL 545 ο如果認證是成功的，則認證vServer可為該流量管理會話設置域會話cookie。在一些實施例中，一旦成功認證，該方法可轉到步驟623或621。在步驟621的進一步的細節(jié)中，流量管理虛擬服務器或認證虛擬服務器將認證會話567的一個或多個策略應用于請求。在一些實施例中，該步驟在流量管理vServer已經確定客戶機102和/或用戶已經被認證之后發(fā)生。也可以在由認證vServer成功認證客戶機102和/或用戶后進行該步驟。在一些實施例中，流量管理vServer將客戶機請求傳輸或者重定向到認證vServer。流量管理vServer或認證虛擬vServer可以將一個或多個策略(例如來自認證策略568的策略)應用于客戶機請求。流量管理vServer或認證虛擬 vServer可以在諸如請求511的客戶機消息上，或者在(例如，來自存儲裝置560的)所存儲的與客戶機請求相關聯(lián)的信息上應用一個或多個策略。流量管理vServer或認證虛擬服務器可以識別與已認證的客戶機102和/或用戶相關聯(lián)的認證會話567。此外，可以由與流量管理vServer相關聯(lián)的認證vServer來識別認證會話567和/或一個或多個策略。在步驟623，認證虛擬服務器向客戶機102傳輸響應以便將客戶機102重定向到流量管理虛擬服務器。在一些實施例中，認證vServer用上文結合圖5所描述的響應522 來生成并傳輸響應。認證vServer可以將流量管理會話的會話cookie插入到響應522 中。而且，認證vServer可以將關于認證會話567的標識符546或信息插入到響應522中。 認證vServer可將關于認證會話567的標識符546或信息插入到在響應中所包含的會話 cookie (例如，域會話cookie)。認證vServer可以將標識認證會話567的響應522發(fā)送到客戶機102。在一些實施例中，認證vServer將響應522作為重定向消息(例如，HTTP 302 消息)傳輸?shù)娇蛻魴C102以將客戶機請求重定向到流量管理vServer。此外，認證vServer 可以在發(fā)送響應522后終止它與客戶機102的連接。在步驟625的進一步的細節(jié)中，流量管理虛擬服務器接收來自客戶機102的另一個請求513。請求513可包含認證會話567的標識符或索引M6?？蛻魴C102可以響應于收到響應522來生成請求513?？蛻魴C102可從響應522中提取標識符546或關于認證會話 567的信息，并將標識符546或關于認證會話567的信息插入到請求513中。在一些實施例中，客戶機102將響應522進行修改或以其他方式處理到請求513中?？蛻魴C102可以將請求513直接傳輸?shù)搅髁抗芾韛Server，或者直接傳輸?shù)接糜谥囟ㄏ虻搅髁抗芾韛Server的設備200。在一些實施例中，客戶機102可以通過在客戶機102上執(zhí)行的或代表客戶機102 執(zhí)行的一個或多個應用來執(zhí)行任何動作，諸如處理響應和生成請求。這些動作中的任何動作的執(zhí)行可以是自動化的和/或包括用戶交互。由客戶機發(fā)送的請求可以是用于例如經由應用的使用來訪問服務器的任何類型的請求。在步驟627的進一步的細節(jié)中，流量管理虛擬服務器驗證由索引或標識符546識別的認證會話567。流量管理vServer可以從請求513中提取或識別索引546或關于認證會話567的信息。在一些實施例中，流量管理vServer使用該索引546或信息來識別認證會話567。此外，流量管理vServer可以驗證該認證會話標識符546或信息。在一些實施例中，流量管理vServer使用該標識符546或信息識別認證會話的一個或多個策略。流量管理vServer可以通過使用在存儲裝置560中存儲的信息、從客戶機102收集的信息，以及/ 或者應用來自所關聯(lián)的流量管理策略586和/或認證策略568的一個或多個策略來執(zhí)行該驗證。流量管理vServer可以驗證認證會話567仍是活動的和/或就客戶機102和/或用戶而言是已認證的。在一些實施例中，流量管理vServer不驗證認證會話567。響應于驗證認證會話 567的失敗，流量管理或認證vServer可以通過向客戶機102發(fā)送任何類型和形式的消息來拒絕客戶機請求。在一些實施例中，流量管理或認證vServer通過HTTP403消息來拒絕客戶機請求。流量管理或認證vServer可以執(zhí)行生成拒絕客戶機請求的消息、將該消息發(fā)送到客戶機102和關閉到客戶機102的連接中的一個或多個步驟。流量管理或認證vServer可以終止認證會話567。此外，流量管理或認證vServer可以從存儲裝置560中刪除所存儲的流量管理vServer的域名和/或URL 5450流量管理或認證vServer也可以(例如從存儲裝置560)更新和/或刪除一個或多個會話表，例如AAA-TM會話表。在一些實施例中，流量管理vServer可以使用經過驗證的認證會話567來執(zhí)行EPA 和/或獲得客戶機102和/或用戶信息。例如，在認證時，流量管理vServer可使用認證會話567來自動地和/或安全地收集客戶機102和/或用戶信息。在一些實施例中，流量管理vServer使用認證會話567來識別一個或多個策略586、568。對于經過流量管理vServer 的任何通信，流量管理vServer可以使用關于客戶機或從認證vServer可用的會話的任何信息，例如任何收集的端點信息。在一些實施例中，可以從經由認證vServer(例如經由已認證的會話)可用的任何數(shù)據、值或信息中獲得或導出策略表達式的任一部分的值。在一些實施例中，對策略的條件、動作或規(guī)則的輸入可以是來自由認證vServer所存儲的端點收集的信息的值。這樣，流量管理vServer可使用端點或認證會話信息來為任一請求定向流量。例如，在經過流量管理vServer的應用流量的通信中，流量管理vServer可使用端點或已認證的會話信息來基于請求做出流量控制決策。例如，如果客戶機有或沒有軟件，那么流量管理 vServer可做出特定的流量管理決策。如果客戶機是由特定類型的認證而不是另一類型的認證所認證的，則流量管理vServer也可做出特定的流量管理決策。在步驟629，流量管理虛擬服務器將認證會話567的一個或多個策略586、568應用于請求513。流量管理vServer可以應用一個或多個策略586、568，例如來驗證URL M5、將 URL 545與認證會話567相關聯(lián)，或者為客戶機102確定資源或服務器106。在一些實施例中，流量管理vServer可以將認證會話的一個或多個策略的授權策略應用于請求513。流量管理vServer可以應用授權策略來識別來自已認證的客戶機102的授權的流量。在一些其他實施例中，流量管理vServer可以將認證會話的一個或多個策略的流量管理策略應用于請求513。流量管理策略可以確定與授權的客戶機102相關聯(lián)的流量是加密的和/或壓縮的。流量管理vServer可以為客戶機102應用一個或多個策略586、568來將URL 545 驗證為指向資源或服務器106的指針。流量管理vServer也可以將一個或多個策略586、 568應用于來自已認證的客戶機102和/或用戶的至少一些隨后的請求以驗證這些請求。 一旦經過一個或多個策略586、568的驗證，這些請求就成為授權的流量的部分。在步驟631，流量管理虛擬服務器將由一個或多個策略586、568授權的流量從客戶機102轉發(fā)到服務器106?？梢杂蒛RL M5、由流量管理vServer，或者通過應用一個或多個策略586、568來識別服務器106。在一些實施例中，流量管理vServer將由一個或多個策略568驗證的請求從客戶機102轉發(fā)到服務器106。在一個實施例中，流量管理vServer 可以將授權的流量或經驗證的請求轉發(fā)到服務270或服務器106。在又一個實施例中，流量管理vServer可以經由一個或多個流量管理會話來轉發(fā)授權的流量或經驗證的請求。在一些實施例中，認證會話可以持續(xù)到流量管理會話被終止為止。在其他實施例中，在流量管理會話期間可以創(chuàng)建和/或終止多個認證會話，例如以便驗證或授權部分流量。在各種實施例中，一個或多個步驟可以是可選的、必須的和/或被重排序，而不限于所描述的方法。
在一個實施例中，方法600包括流量管理虛擬服務器，其從訪問服務器的客戶機請求確定客戶機102尚未被認證，所述請求包括URL M5 (步驟60 ，向客戶機102傳輸對請求511的響應521，所述響應521包括URL 545和重定向到認證虛擬服務器的指令(步驟 609)，由認證虛擬服務器接收來自客戶機102的請求512，該第二請求識別URL 545 (步驟 613)，對從客戶機收到的證書進行認證，為客戶機建立認證會話，所述認證會話識別一個或多個策略(步驟619)，向客戶機102傳輸響應522以便將客戶機102經由URL 545重定向到流量管理虛擬服務器，所述響應522識別認證會話567(步驟62 ，以及由流量管理虛擬服務器275tv接收來自客戶機102的請求513，請求513包括認證會話567的標識符M6 (步驟 625)。在又一個實施例中，方法600包括由流量管理虛擬服務器從自客戶機102的接收的訪問服務器106的內容的請求511確定客戶機102尚未被認證(步驟603)，識別用于從多個認證虛擬服務器選擇一個認證虛擬服務器的策略以提供對客戶機102的認證(步驟 605)，通過該策略選擇多個認證虛擬服務器的一個認證虛擬服務器以認證客戶機102(步驟607)，以及向客戶機102傳輸對請求511的響應，所述響應521包括重定向到所選擇的認證虛擬服務器275av的指令(步驟609)。在又一個實施例中，方法600包括流量管理虛擬服務器，其從客戶機102接收與服務器106建立連接的請求511 (步驟601)，確定客戶機102已被認證(步驟60 ，將該請求轉發(fā)到認證vServer以便將認證會話567的一個或多個策略應用于請求511(步驟621)， 認證vServer向客戶機102傳輸響應522以便將客戶機102重定向到流量管理虛擬服務器 (步驟62 ，流量管理虛擬服務器接收來自客戶機102的請求513(步驟62 ，驗證由標識符546識別的認證會話567 (步驟627)，將該認證會話567的一個或多個策略568應用于請求513 (步驟629)，以及經由認證會話567將由一個或多個策略568授權的流量從客戶機 102轉發(fā)到由URL 545識別的服務器(步驟631)?，F(xiàn)參考圖7A，描述了給流量管理提供AAA支持的方法的又一個實施例。在進一步的細節(jié)中，圖7A示出了其中是在與一個或多個認證vServer通信的流量管理vServer處對流量進行處理的實施例。圖7A的步驟可代表方法600的步驟的一部分。簡而言之，流量管理虛擬服務器接收來自客戶機102的、與服務器106建立連接的請求511 (步驟601)，在請求511中尋找會話cookie以確定客戶機102是否已經被認證(步驟60 ，如果該cookie 以及其識別的認證會話都是有效的，則將該請求轉發(fā)到認證vServer以應用認證策略(步驟621)，由認證vServer重定向回到流量管理虛擬服務器(步驟62 。如果cookie和/ 或其識別的認證會話是無效的，則流量管理vServer識別認證vServer以認證該客戶機并將客戶機請求重定向到該認證vServer (步驟60 ，上文結合圖6A和6B討論了每個步驟的細節(jié)?，F(xiàn)參考圖7B，仍描述了給流量管理提供AAA支持的方法的又一個實施例。在進一步的細節(jié)中，圖7B示出了其中客戶機請求是在與流量管理vServer關聯(lián)的認證vServer處進行處理的。圖7A的步驟可代表方法600的步驟的一部分。上文結合圖6A和6B描述了每個步驟的細節(jié)。簡而言之，認證vServer接收來自客戶機102的請求512并且在該請求 512中尋找AAAcookie (步驟613)。如果該cookie是可用的并且是有效的，則認證vServer 對客戶機102執(zhí)行認證(步驟615-619)。如果認證成功，則認證vServer將客戶機請求重定向回到流量管理虛擬服務器(步驟62 。如果認證失敗，客戶機請求被拒絕。另一方面， 如果該cookie是不可用的或無效的，則認證vServer確定請求512是否是有效的POST消息(步驟613)。如果請求512是有效的POST消息，則建立認證會話567并執(zhí)行認證(步驟 615-619)。如果請求512不是有效的POST消息，則客戶機請求被拒絕。上文結合圖6A和 6B描述了每個步驟的細節(jié)?，F(xiàn)參考圖8，示出了將端點審計用于流量管理的方法的步驟的實施例的流程圖 800。簡而言之，在步驟801，中間設備200的認證虛擬服務器確定對客戶機102的端點分析掃描的結果。在步驟803，流量管理虛擬服務器從認證虛擬服務器獲得該結果。在步驟 805，流量管理虛擬服務器將該結果應用于一個或多個流量管理策略586以管理經過該中間設備200的客戶機102連接的網絡流量。在步驟801的進一步的細節(jié)中，中間設備200的認證虛擬服務器確定對客戶機102 的端點分析掃描的結果。分配給或綁定到認證vServer的一個或多個認證和/或授權服務器580可代表認證vServer來確定端點分析掃描的結果。在一些實施例中，認證vServer 響應于事件來啟動對客戶機102的端點分析掃描。該事件可以是任何類型和形式的事件， 例如收到客戶機請求或客戶機流量、客戶機102的屬性的改變、服務水平的改變或網絡中斷。該事件也可以是來自流量管理vServer或不同的AAA vServer (例如審計vServer)的請求。在一些其他實施例中，認證vServer基于預定頻率來啟動端點分析掃描。用于啟動端點分析掃描的預定頻率可以根據調度表來運行?？梢曰谶^去的歷史，例如網絡流量和/ 或客戶機請求的過去的歷史，來預先確定該頻率。也可以通過例如在過去的歷史上應用一個或多個策略和/或公式來預先確定該頻率。此外，可基于審計/記賬需要來預先確定該頻率。在一些實施例中，該頻率是在數(shù)據庫和/或會話表中進行存儲和/或維護的。數(shù)據庫和/或會話表駐留于網絡104中的一個或多個存儲裝置(例如，存儲裝置560)中。在一些實施例中，認證vServer可以向客戶機102傳輸腳本和/或程序以執(zhí)行端點分析掃描，或者執(zhí)行腳本和/或程序以向客戶機102輪詢或請求信息。在一個實施例中， 收集代理304為認證vServer收集信息。認證vServer和/或流量管理vServer可將收集代理304發(fā)送到客戶機304以便執(zhí)行端點分析掃描。端點分析掃描可作為認證vServer的一個或多個AAA動作的部分(例如，預先認證動作)而被啟動。端點分析掃描也可以作為流量管理vServer的一個或多個流量管理動作的部分而被啟動。此外，流量管理vServer 或認證Werver可響應于一個或多個策略586、568的應用來啟動端點分析掃描。認證vServer接收端點分析掃描的結果，其可包括任何類型或形式的客戶機信息。在一些實施例中，該結果包括表達式，該表達式可包括任何類型或形式的字符串、等式、 列表或命令。認證vServer可接收由客戶機102求值的一個或多個表達式。所接收的一個或多個表達式可識別客戶機102的一個或多個屬性。該結果可識別下列的一個或多個在客戶機102上的存在操作系統(tǒng)的版本、操作系統(tǒng)的服務包、正在運行的服務、正在運行的進程、和文件。該結果也可識別下列的存在或版本的一個或多個在客戶機102上的存在反病毒軟件、個人防火墻軟件、反垃圾郵件軟件和互聯(lián)網安全軟件。在一些實施例中，收集代理304可將結果傳輸?shù)秸J證vServer和/或流量管理 vServer.在一些其他實施例中，傳輸?shù)娇蛻魴C102的腳本和/或程序可以在客戶機102上執(zhí)行并將結果傳輸?shù)秸J證vServer和/或流量管理vServer。客戶機102、所接收的腳本或所接收的程序可以將包含所收集的結果的收集代理304傳輸回到認證vServer。在其他實施例中，客戶機102將結果傳輸?shù)秸J證vServer和/或流量管理vServer。客戶機102也可以將結果發(fā)送到設備200或中間設備200，以便被重定向到認證vServer和/或流量管理vServer?？梢愿鶕蛻魴C102的通信協(xié)議或者在從客戶機102發(fā)出之前，對結果進行加密、壓縮、格式化和/或以其他方式進行處理。在認證vServer和/或流量管理vServer 處收到這些結果后，可以對這些結果進行處理以提取任何需要的信息。此外，認證vServer 可根據一個或多個AAA或認證策略586來處理和/或評價這些結果。在步驟803的進一步的細節(jié)中，流量管理虛擬服務器從認證虛擬服務器獲得該結果。流量管理vServer可根據另一個預定的頻率來接收該結果。該頻率可大體上類似于、 或包括上文結合步驟801所描述的頻率的任何實施例。在一些實施例中，該頻率是由認證 vServer和/或一個或多個認證策略來預先確定的。在一個實施例中，認證vServer將全部或部分結果轉發(fā)到流量管理vServer。認證vServer可在向流量管理vServer轉發(fā)之前處理全部或部分結果。在一些實施例中，認證vServer向流量管理vServer提供對標識客戶機102的一個或多個屬性的一個或多個表達式的求值。認證vServer可根據一個或多個 AAA或認證策略586來轉發(fā)全部或部分結果。認證vServer也可以將全部或部分結果提供為對流量管理vServer的一個或多個流量管理策略586的輸入。在步驟805的進一步的細節(jié)中，流量管理虛擬服務器將該結果應用于一個或多個流量管理策略586以管理經過中間設備200的客戶機102的連接的網絡流量。流量管理 vServer可根據另一個預定的頻率來應用該結果。該頻率可大體上類似于、或包括上文結合步驟803所描述的頻率的任何實施例。流量管理vServer可以將來自認證vServer的全部或部分結果應用于一個或多個流量管理策略586。流量管理vServer也可以在應用策略 586之前對來自認證vServer的全部或部分結果進行進一步的處理。流量管理vServer可基于對使用該結果的一個或多個流量管理策略586的應用來確定對于連接的壓縮類型。而且，流量管理vServer可基于對使用該結果的一個或多個流量管理策略586的應用來確定對于連接的加密類型。流量管理vServer也可以基于對使用該結果的一個或多個流量管理策略586的應用來確定對于連接的一個或多個文件類型關聯(lián)。此外，流量管理vServer可以基于通過一個或多個流量管理策略應用該結果來確定對于連接是否使用單點登錄。基于所述確定，流量管理vServer可作出一個或多個流量管理和/或AAA決策以管理來自客戶機102的經過中間設備200的流量。在一些實施例中，方法800可以與圖6A和6B的方法600聯(lián)合運用。例如，方法 800的實施例可以作為方法600的步驟607或629的部分而被實現(xiàn)。應該理解，此處描述的系統(tǒng)可提供多個組件或每個組件并且這些組件可以在單獨機器上提供，或者在一些實施例中，可在分布式系統(tǒng)的多個機器上提供。此外，上述系統(tǒng)和方法可作為一件或多件產品上所體現(xiàn)的或在其中的一個或多個計算機可讀程序或可執(zhí)行指令而被提供。所述產品可以是軟盤、硬盤、CD-ROM,閃存卡、PROM、RAM、ROM或磁帶。通常，計算機可讀程序可以任何編程語言來實現(xiàn)，如LISP、PERL、C、C++、C#、PROLOG,或者諸如 JAVA的任何字節(jié)碼語言。軟件程序或可執(zhí)行指令可以作為目標代碼被存儲在一件或多件產品上或其中。盡管已經參考特定的實施例具體地顯示和描述了本發(fā)明，但本領域技術人員應理解在不脫離由如下的權利要求限定的本發(fā)明的精神和范圍的情況下，可以進行形式和細節(jié)上的各種變化。
權利要求
1.一種基于端點分析的結果管理經過中間設備的流量的方法，所述方法包括a)由中間設備的認證虛擬服務器確定對客戶機的端點分析掃描的結果；b)由中間設備的流量管理虛擬服務器從認證虛擬服務器獲得所述結果；以及c)由流量管理虛擬服務器將所述結果應用于一個或多個流量管理策略以便管理經過中間設備的客戶機的連接的網絡流量。
2.根據權利要求1所述的方法，其中步驟(a)還包括由認證虛擬服務器從客戶機接收表達式，所述表達式標識下列的其中一個在客戶機上的存在操作系統(tǒng)的版本、操作系統(tǒng)的服務包、正在運行的服務、正在運行的進程和文件。
3.根據權利要求1所述的方法，其中步驟(a)還包括由認證虛擬服務器從客戶機接收表達式，所述表達式標識下列的其中一個的存在或版本之一反病毒軟件、個人防火墻軟件、反垃圾郵件軟件和互聯(lián)網安全軟件。
4.根據權利要求1所述的方法，其中步驟(a)還包括由認證虛擬服務器接收由客戶機求值的一個或多個表達式，所述一個或多個表達式標識客戶機的一個或多個屬性。
5.根據權利要求1所述的方法，其中步驟(b)還包括由認證虛擬服務器將對標識客戶機的一個或多個屬性的一個或多個表達式的求值提供為所述結果。
6.根據權利要求1所述的方法，其中步驟(b)還包括由認證虛擬服務器將所述結果提供為對流量管理虛擬服務器的一個或多個流量管理策略的輸入。
7.根據權利要求1所述的方法，其中步驟(c)還包括由流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的壓縮類型。
8.根據權利要求1所述的方法，其中步驟(c)還包括由流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的加密類型。
9.根據權利要求1所述的方法，其中步驟(c)還包括由流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的一個或多個文件類型關聯(lián)。
10.根據權利要求1所述的方法，其中步驟(C)還包括由流量管理虛擬服務器基于經由該一個或多個流量管理策略應用所述結果來確定對于所述連接使用或不使用單點登錄。
11.一種用于基于端點分析的結果管理經過中間設備的流量的中間設備，所述中間設備包括認證虛擬服務器，用于確定對客戶機的端點分析掃描的結果；流量管理虛擬服務器，用于從認證虛擬服務器獲得所述結果，并將所述結果應用于一個或多個流量管理策略以便管理經過中間設備的客戶機的連接。
12.根據權利要求10所述的中間設備，其中認證虛擬服務器從客戶機接收表達式，所述表達式標識下列的其中一個在客戶機上的存在操作系統(tǒng)的版本、操作系統(tǒng)的服務包、正在運行的服務、正在運行的進程和文件。
13.根據權利要求10所述的中間設備，其中認證虛擬服務器從客戶機接收表達式，所述表達式標識下列的其中一個的存在或版本之一反病毒軟件、個人防火墻軟件、反垃圾郵件軟件和互聯(lián)網安全軟件。
14.根據權利要求10所述的中間設備，其中認證虛擬服務器接收由客戶機求值的一個或多個表達式，所述一個或多個表達式標識客戶機的一個或多個屬性。
15.根據權利要求10所述的中間設備，其中認證虛擬服務器將對標識客戶機的一個或多個屬性的一個或多個表達式的求值提供為所述結果。
16.根據權利要求10所述的中間設備，其中認證虛擬服務器將所述結果提供為對流量管理虛擬服務器的一個或多個流量管理策略的輸入。
17.根據權利要求10所述的中間設備，其中流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的壓縮類型。
18.根據權利要求10所述的中間設備，其中流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的加密類型。
19.根據權利要求10所述的中間設備，其中流量管理虛擬服務器基于對使用所述結果的一個或多個流量管理策略的應用來確定用于所述連接的一個或多個文件類型關聯(lián)。
20.根據權利要求10所述的中間設備，其中流量管理虛擬服務器基于經由一個或多個流量管理策略應用所述結果來確定對于所述連接使用或不使用單點登錄。
全文摘要
本發(fā)明提供了基于端點審計的結果管理經過中間設備的流量的系統(tǒng)和方法。中間設備的認證虛擬服務器確定對客戶機的端點分析掃描的結果。響應于所述確定，流量管理虛擬服務器可從認證虛擬服務器獲得該結果。此外，流量管理虛擬服務器可以將該結果應用于一個或多個流量管理策略以便管理經過中間設備的客戶機的連接的網絡流量。在一些實施例中，認證虛擬服務器可以接收由客戶機求值的一個或多個表達式。所述一個或多個表達式標識客戶機的一個或多個屬性。流量管理虛擬服務器也可以基于對使用該結果的一個或多個流量管理策略的應用來確定用于該連接的壓縮或加密類型。
文檔編號G06F21/00GK102577302SQ201080021938
公開日2012年7月11日 申請日期2010年2月24日 優(yōu)先權日2009年3月20日
發(fā)明者A·仇達瑞, A·庫瑪, J·哈里斯, P·古伯塔, P·阿加瓦, R·塔庫, 李 瑞 申請人:思杰系統(tǒng)有限公司