專利名稱:用于直接訪問(wèn)網(wǎng)絡(luò)的網(wǎng)絡(luò)位置確定的制作方法
用于直接訪問(wèn)網(wǎng)絡(luò)的網(wǎng)絡(luò)位置確定背景計(jì)算機(jī)網(wǎng)絡(luò)被公司廣泛地使用���,因?yàn)樗鼈兺ㄟ^(guò)實(shí)現(xiàn)許多位置的信息共享來(lái)流線化業(yè)務(wù)過(guò)程���。在許多實(shí)例中,公司向其員工和其他獲授權(quán)方提供網(wǎng)絡(luò)訪問(wèn)權(quán)����,即使在這些獲授權(quán)方在遠(yuǎn)離公司房屋的位置時(shí)。企業(yè)網(wǎng)絡(luò)可被配置成通過(guò)使用一個(gè)或多個(gè)域控制器(有時(shí)稱為活動(dòng)目錄服務(wù)器) 來(lái)將對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)只限于獲授權(quán)方��。域控制器可以認(rèn)證用戶來(lái)標(biāo)識(shí)應(yīng)該被授予網(wǎng)絡(luò)訪問(wèn)權(quán)的那些人�。在某些實(shí)例中,可能存在多個(gè)域控制器���。為了將連接到網(wǎng)絡(luò)的設(shè)備映射到附近的域控制器�����,每一域控制器可以具有標(biāo)識(shí)源網(wǎng)絡(luò)地址范圍的表��。當(dāng)域控制器從設(shè)備接收請(qǐng)求時(shí)��,它可以通過(guò)為該設(shè)備標(biāo)識(shí)在該設(shè)備附近的域控制器來(lái)作出響應(yīng)�。可以通過(guò)虛擬專用網(wǎng)絡(luò)(VPN)來(lái)提供對(duì)企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)��。有了 VPN��,獲授權(quán)的用戶所操作的計(jì)算機(jī)通過(guò)遠(yuǎn)程計(jì)算機(jī)可以連接到的公共網(wǎng)絡(luò)來(lái)通過(guò)VPN網(wǎng)關(guān)服務(wù)器建立到企業(yè)網(wǎng)絡(luò)的隧道����。因?yàn)橥ㄟ^(guò)VPN隧道連接的計(jì)算機(jī)包括企業(yè)網(wǎng)絡(luò)的一部分,所以計(jì)算機(jī)隨后可以使用企業(yè)網(wǎng)絡(luò)上的資源���。在允許對(duì)其企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)的許多公司中,將便攜式計(jì)算機(jī)用于網(wǎng)絡(luò)訪問(wèn)���。 可以在公司房屋內(nèi)使用便攜式計(jì)算機(jī)����,在那里它們可以物理地連接到企業(yè)網(wǎng)絡(luò)�����。在其他時(shí)候,可將便攜式計(jì)算機(jī)帶到遠(yuǎn)程位置��,在那里它們通過(guò)VPN邏輯地連接到網(wǎng)絡(luò)���。為了提供使用的便利性�����,這些計(jì)算機(jī)可被配置成具有兩個(gè)不同的設(shè)置組一個(gè)適于在專用公司網(wǎng)絡(luò)上使用而另一個(gè)適于在計(jì)算機(jī)通過(guò)其上可以建立VPN隧道的公共網(wǎng)絡(luò)時(shí)使用���。這些設(shè)置可以影響便攜式計(jì)算機(jī)的操作,諸如默認(rèn)打印機(jī)���、主頁(yè)��、時(shí)鐘的時(shí)區(qū)設(shè)置或安全功能����。例如�����,在便攜式計(jì)算機(jī)直接連接到網(wǎng)絡(luò)時(shí)所使用的安全設(shè)置可以依賴防火墻或企業(yè)網(wǎng)絡(luò)的其他保護(hù)組件并因此是較不受限的。當(dāng)便攜式計(jì)算機(jī)經(jīng)由VPN連接到企業(yè)網(wǎng)絡(luò)時(shí)���,可以應(yīng)用較受限的安全配置�����。為了確定合適的設(shè)置組�����,便攜式計(jì)算機(jī)可以包括可指示計(jì)算機(jī)具有的到網(wǎng)絡(luò)的連接類型的網(wǎng)絡(luò)位置知曉組件���。常規(guī)上,網(wǎng)絡(luò)位置通過(guò)試圖對(duì)照網(wǎng)絡(luò)上的域控制器來(lái)認(rèn)證而被查明��。如果便攜式計(jì)算機(jī)可以與域控制器進(jìn)行認(rèn)證����,則計(jì)算機(jī)可用適于直接連接到企業(yè)網(wǎng)絡(luò)的設(shè)備的設(shè)置來(lái)配置��。如果認(rèn)證是不可能的��,則可以使用不同的設(shè)置�。在另一上下文中��,某些計(jì)算機(jī)顯示該計(jì)算機(jī)是否具有到因特網(wǎng)的連接的指示�����。計(jì)算機(jī)可以通過(guò)試圖聯(lián)系因特網(wǎng)上的已知服務(wù)器來(lái)確定其連接狀態(tài)��。如果計(jì)算機(jī)從服務(wù)器接收到響應(yīng)�,則計(jì)算機(jī)推斷其具有到因特網(wǎng)的連接并相應(yīng)地顯示指示����。概述發(fā)明人已認(rèn)識(shí)到并且理解,遠(yuǎn)程計(jì)算機(jī)對(duì)專用網(wǎng)絡(luò)的直接訪問(wèn)可能很快就會(huì)被廣泛使用�。當(dāng)不使用VPN的遠(yuǎn)程訪問(wèn)成為可能時(shí),遠(yuǎn)程設(shè)備將能夠?qū)φ諏S镁W(wǎng)絡(luò)上的域控制器來(lái)進(jìn)行認(rèn)證��。發(fā)明人還認(rèn)識(shí)到并理解���,直接訪問(wèn)將更改依賴于具有或不具有作為網(wǎng)絡(luò)位置的安全指示對(duì)照域控制器來(lái)進(jìn)行認(rèn)證的能力的網(wǎng)絡(luò)位置知曉組件的操作����。當(dāng)網(wǎng)絡(luò)位置的指示僅僅根據(jù)與域控制器進(jìn)行認(rèn)證的能力來(lái)確定時(shí)���,將不可區(qū)分遠(yuǎn)程設(shè)備在不使用VPN的情況下連接到網(wǎng)絡(luò)的情況與客戶機(jī)物理地連接到網(wǎng)絡(luò)或經(jīng)由VPN連接來(lái)連接到網(wǎng)絡(luò)的情況�����。但是��,用戶或計(jì)算機(jī)管理員可能不期望或不想要遠(yuǎn)程計(jì)算機(jī)在這些不同的場(chǎng)景中具有相同的設(shè)置�。為了維護(hù)合適的設(shè)置,專用網(wǎng)絡(luò)可配置有一個(gè)或多個(gè)設(shè)備���,該一個(gè)或多個(gè)設(shè)備取決于客戶機(jī)設(shè)備的網(wǎng)絡(luò)地址的一部分對(duì)來(lái)自客戶機(jī)設(shè)備的請(qǐng)求作出不同響應(yīng)�����。當(dāng)請(qǐng)求從帶有指示客戶機(jī)設(shè)備物理地連接到網(wǎng)絡(luò)防火墻內(nèi)的網(wǎng)絡(luò)的網(wǎng)絡(luò)地址的該客戶機(jī)設(shè)備接收時(shí)�����, 可以作出第一響應(yīng)���。當(dāng)請(qǐng)求從帶有指示客戶機(jī)設(shè)備是未連接到網(wǎng)絡(luò)防火墻內(nèi)的網(wǎng)絡(luò)的遠(yuǎn)程設(shè)備的網(wǎng)絡(luò)地址的該客戶機(jī)設(shè)備接收時(shí),可以作出第二不同的響應(yīng)�����。并且�,當(dāng)請(qǐng)求從通過(guò)使用VPN在網(wǎng)絡(luò)防火墻內(nèi)連接的遠(yuǎn)程客戶機(jī)設(shè)備接收時(shí),可以作出可能的第三響應(yīng)�。雖然在該第三場(chǎng)景中,根據(jù)某些實(shí)施例�,網(wǎng)絡(luò)另選地可被配置成生成第一響應(yīng)。然而在其他實(shí)施例中���,在第三場(chǎng)景中���,網(wǎng)絡(luò)另選地可被配置成生成第二響應(yīng)。無(wú)論具體配置如何��,基于客戶機(jī)設(shè)備接收到的響應(yīng)的本質(zhì)�,客戶機(jī)設(shè)備可以選擇合適的配置。以上概述是對(duì)由所附權(quán)利要求定義的本發(fā)明的非限定性的概述���。附圖簡(jiǎn)述附圖不旨在按比例繪制���。在附圖中,各個(gè)附圖中示出的每一完全相同或近乎完全相同的組件由同樣的標(biāo)號(hào)來(lái)表示����。出于簡(jiǎn)明的目的,不是每一個(gè)組件在每張附圖中均被標(biāo)號(hào)�����。在附圖中
圖1是常規(guī)計(jì)算設(shè)備的圖示,其示出其中可以執(zhí)行網(wǎng)絡(luò)位置確定的環(huán)境����;圖2是其中可以向?qū)S镁W(wǎng)絡(luò)提供直接訪問(wèn)的常規(guī)網(wǎng)絡(luò)環(huán)境的草圖;圖3是被配置成提供對(duì)網(wǎng)絡(luò)位置確定有用的響應(yīng)的專用網(wǎng)絡(luò)的草圖��;圖4是被配置成提供對(duì)網(wǎng)絡(luò)位置確定有用的信息的專用網(wǎng)絡(luò)的替換實(shí)施例的草圖����;圖5是被配置成提供對(duì)網(wǎng)絡(luò)位置確定有用的信息的專用網(wǎng)絡(luò)的替換實(shí)施例的草圖;圖6是被配置成提供對(duì)網(wǎng)絡(luò)位置確定有用的信息的專用網(wǎng)絡(luò)的替換實(shí)施例的草圖�;以及圖7是被配置成執(zhí)行網(wǎng)絡(luò)位置確定的網(wǎng)絡(luò)客戶機(jī)和網(wǎng)絡(luò)設(shè)備的操作方法的流程圖。詳細(xì)描述對(duì)于被配置成訪問(wèn)企業(yè)��、公司或其他專用網(wǎng)絡(luò)的計(jì)算機(jī)���,可以通過(guò)將計(jì)算機(jī)配置成試圖與網(wǎng)絡(luò)上的設(shè)備通信來(lái)提供改進(jìn)的網(wǎng)絡(luò)位置知曉����。通過(guò)將該設(shè)備配置成取決于到網(wǎng)絡(luò)的連接的本質(zhì)來(lái)對(duì)設(shè)備作出不同的響應(yīng)����,計(jì)算機(jī)可以基于響應(yīng)來(lái)獲得關(guān)于其自己的位置的有用信息�。例如���,通過(guò)物理連接或VPN連接到專用網(wǎng)絡(luò)的計(jì)算機(jī)可以體驗(yàn)與在專用網(wǎng)絡(luò)外部但通過(guò)涉及諸如因特網(wǎng)之類的公共網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)機(jī)制連接到專用網(wǎng)絡(luò)的設(shè)備不同的響應(yīng)。該信息將是準(zhǔn)確的�����,即使直接網(wǎng)絡(luò)訪問(wèn)是可用的并且允許計(jì)算機(jī)按照將使得某些常規(guī)網(wǎng)絡(luò)地址確定方法不正確地指示該計(jì)算機(jī)直接連接到專用網(wǎng)絡(luò)上的方式來(lái)對(duì)照專用網(wǎng)絡(luò)上的域控制器來(lái)進(jìn)行認(rèn)證�����。當(dāng)使用這一位置信息來(lái)選擇合適的安全配置時(shí)���,可以向計(jì)算機(jī)提供更好的安全性��。例如��,計(jì)算機(jī)可被配置成在不同的安全狀態(tài)下操作����,其中的一個(gè)安全狀態(tài)適于當(dāng)計(jì)算機(jī)物理地連接到公司房屋的專用網(wǎng)絡(luò)上并因此在防火墻之后時(shí)使用�����。另一安全狀態(tài)可以適用于其中計(jì)算機(jī)通過(guò)安全VPN隧道虛擬地連接到專用網(wǎng)絡(luò)的場(chǎng)景。又一場(chǎng)景可能適用��,其中計(jì)算機(jī)未直接在專用網(wǎng)絡(luò)上而是或物理地或虛擬地經(jīng)由VPN隧道����,并因此不受專用網(wǎng)絡(luò)的防火墻保護(hù)。這些安全狀態(tài)可以按任何合適的方式實(shí)現(xiàn)�����。在某些實(shí)例中��,安全狀態(tài)由支持不同配置的計(jì)算機(jī)上的防火墻來(lái)實(shí)現(xiàn)�����。在未直接連接到網(wǎng)絡(luò)時(shí)�����,防火墻可能具有較受限的配置����。相反����,當(dāng)計(jì)算機(jī)直接連接到網(wǎng)絡(luò)時(shí)���,可以提供較不受限的防火墻配置��。類似地,當(dāng)基于計(jì)算機(jī)位置選擇其他設(shè)置時(shí)��,更準(zhǔn)確的確定位置可以導(dǎo)致對(duì)這些設(shè)置的自動(dòng)化選擇來(lái)提供更合乎需要的用戶體驗(yàn)���。多種方法中的任一種適用于配置一個(gè)或多個(gè)設(shè)備來(lái)基于發(fā)出提示響應(yīng)的請(qǐng)求的計(jì)算機(jī)的位置來(lái)生成不同響應(yīng)����。在某些實(shí)施例中����,可以使用網(wǎng)絡(luò)分組的特定抵達(dá)接口來(lái)標(biāo)識(shí)計(jì)算機(jī)的位置。在其他實(shí)施例中���,可以使用網(wǎng)絡(luò)分組頭部中的信息來(lái)標(biāo)識(shí)計(jì)算機(jī)的位置��。 例如�����,包含請(qǐng)求或響應(yīng)的分組頭部中的網(wǎng)絡(luò)地址可允許網(wǎng)絡(luò)設(shè)備在該設(shè)備具有某種方式來(lái)了解網(wǎng)絡(luò)地址不是被哄騙的情況下確定發(fā)出請(qǐng)求的計(jì)算機(jī)是否物理地位于網(wǎng)絡(luò)上���。作為具體示例����,一旦計(jì)算機(jī)通過(guò)能夠成功地建立TCP連接示出了它可以接收目的地為該地址的分組時(shí)�����,該地址的網(wǎng)絡(luò)前綴部分就可以指示計(jì)算機(jī)的位置�����。處理這些分組的任何合適的一個(gè)或多個(gè)設(shè)備可被配置成基于這些分組是否具有指示它們是從網(wǎng)絡(luò)防火墻之后的設(shè)備或網(wǎng)絡(luò)防火墻外部的設(shè)備接收的或者目的地為網(wǎng)絡(luò)防火墻之后的設(shè)備或網(wǎng)絡(luò)防火墻外部的設(shè)備的網(wǎng)絡(luò)前綴來(lái)作出不同的響應(yīng)��。在某些實(shí)施例中��,請(qǐng)求可被定向到網(wǎng)絡(luò)上的服務(wù)器����。可以對(duì)服務(wù)器編程來(lái)取決于發(fā)出請(qǐng)求的計(jì)算機(jī)的位置來(lái)作出不同的響應(yīng)���,諸如現(xiàn)在帶有域控制器的情況���。在其他實(shí)施例中�����,將處理前往或來(lái)自回復(fù)請(qǐng)求的服務(wù)器的分組的一個(gè)或多個(gè)中間設(shè)備可以取決于發(fā)出請(qǐng)求的計(jì)算機(jī)的位置而表現(xiàn)得不同�。例如�,諸如防火墻之類的中間設(shè)備可以基于與發(fā)出這些分組頭部中的請(qǐng)求的計(jì)算機(jī)相關(guān)聯(lián)的網(wǎng)絡(luò)前綴來(lái)選擇性地阻塞含有請(qǐng)求或回復(fù)的分組。從某些實(shí)施例的上述概覽���,本領(lǐng)域技術(shù)人員可以理解,各實(shí)施例可以基于一個(gè)或多個(gè)計(jì)算機(jī)設(shè)備的編程來(lái)構(gòu)造�。在提供示例性實(shí)施例的結(jié)構(gòu)和操作的更詳細(xì)的描述之前, 提供可存在于計(jì)算設(shè)備中的各組件的概覽�����。圖1示出可在實(shí)現(xiàn)本發(fā)明的某些實(shí)施例中使用的合適的計(jì)算系統(tǒng)環(huán)境100的示例��。計(jì)算系統(tǒng)環(huán)境100只是合適計(jì)算環(huán)境的一個(gè)示例����,而非意在暗示對(duì)本發(fā)明使用范圍或功能有任何限制����。也不應(yīng)該將計(jì)算環(huán)境100解釋為對(duì)示例性操作環(huán)境100中示出的任一組件或其組合有任何依賴性或要求�。參考圖1,用于實(shí)現(xiàn)本發(fā)明的一個(gè)示例性系統(tǒng)包括計(jì)算機(jī)110形式的通用計(jì)算設(shè)備�����。計(jì)算機(jī)Iio的組件可以包括����,但不限于,處理單元120�、系統(tǒng)存儲(chǔ)器130和將包括系統(tǒng)存儲(chǔ)器在內(nèi)的各種系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121。系統(tǒng)總線121可以是若干類型的總線結(jié)構(gòu)中的任何一種����,包括使用各種總線體系結(jié)構(gòu)中的任何一種的存儲(chǔ)器總線或存儲(chǔ)器控制器、外圍總線���,以及局部總線�。作為示例而非限制����,這樣的體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線�、微通道體系結(jié)構(gòu)(MCA)總線����、增強(qiáng)型ISA(EISA)總線、視頻電子標(biāo)準(zhǔn)協(xié)會(huì)(VESA)局部總線��,以及也稱為夾層(Mezzanine)總線的外圍組件互連(PCI)總線�。計(jì)算機(jī)110通常包括各種計(jì)算機(jī)可讀介質(zhì)。計(jì)算機(jī)可讀介質(zhì)可以是能由計(jì)算機(jī) 110訪問(wèn)的任何可用介質(zhì)��,而且包含易失性和非易失性介質(zhì)�、可移動(dòng)和不可移動(dòng)介質(zhì)。作為示例而非限制����,計(jì)算機(jī)可讀介質(zhì)可以包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)��。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)等信息的任何方法或技術(shù)實(shí)現(xiàn)的易失性和非易失性��、可移動(dòng)和不可移動(dòng)介質(zhì)�。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括�����,但不限于�����, RAM���、ROM、EEPR0M�����、閃存或其它存儲(chǔ)器技術(shù)����、CD-ROM、數(shù)字多功能盤(DVD)或其它光盤存儲(chǔ)�����、 磁帶盒�����、磁帶、磁盤存儲(chǔ)或其它磁存儲(chǔ)設(shè)備����、或能用于存儲(chǔ)所需信息且可以由計(jì)算機(jī)110訪問(wèn)的任何其它介質(zhì)。通信介質(zhì)通常以諸如載波或其他傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號(hào)來(lái)體現(xiàn)計(jì)算機(jī)可讀指令���、數(shù)據(jù)結(jié)構(gòu)��、程序模塊或其他數(shù)據(jù)����,并包括任意信息傳送介質(zhì)�����。術(shù)語(yǔ)“已調(diào)制數(shù)據(jù)信號(hào)”指的是其一個(gè)或多個(gè)特征以在信號(hào)中編碼信息的方式被設(shè)定或更改的信號(hào)��。作為示例而非限制��,通信介質(zhì)包括有線介質(zhì)����,如有線網(wǎng)絡(luò)或直接線連接,以及諸如聲學(xué)����、RF、紅外及其它無(wú)線介質(zhì)之類的無(wú)線介質(zhì)�����。上述中任一組合也應(yīng)包括在計(jì)算機(jī)可讀介質(zhì)的范圍之內(nèi)����。系統(tǒng)存儲(chǔ)器130包括易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì),如只讀存儲(chǔ)器(ROM) 131和隨機(jī)存取存儲(chǔ)器(RAM) 132���?��;据斎?輸出系統(tǒng)133 ¢10 包括如在啟動(dòng)時(shí)幫助在計(jì)算機(jī)110內(nèi)的元件之間傳輸信息的基本例程,它通常儲(chǔ)存在ROM 131中�����。 RAM 132通常包含處理單元120可以立即訪問(wèn)和/或目前正在操作的數(shù)據(jù)和/或程序模塊����。 作為示例而非限制,圖1示出了操作系統(tǒng)134、應(yīng)用程序135����、其它程序模塊136和程序數(shù)據(jù) 137。計(jì)算機(jī)110還可以包括其他可移動(dòng)/不可移動(dòng)�����、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)���。僅作為示例�,圖1示出了從不可移動(dòng)���、非易失性磁介質(zhì)中讀取或向其寫入的硬盤驅(qū)動(dòng)器 140�����,從可移動(dòng)���、非易失性磁盤152中讀取或向其寫入的磁盤驅(qū)動(dòng)器151,以及從諸如⑶ROM 或其它光學(xué)介質(zhì)等可移動(dòng)����、非易失性光盤156中讀取或向其寫入的光盤驅(qū)動(dòng)器155?��?梢栽谑纠圆僮鳝h(huán)境中使用的其他可移動(dòng)/不可移動(dòng)�����、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不限于�,磁帶盒���、閃存卡�����、數(shù)字多功能盤�、數(shù)字錄像帶��、固態(tài)RAM���、固態(tài)ROM等等����。硬盤驅(qū)動(dòng)器141通常由不可移動(dòng)存儲(chǔ)器接口�,諸如接口 140連接至系統(tǒng)總線121����,磁盤驅(qū)動(dòng)器151和光盤驅(qū)動(dòng)器155通常由可移動(dòng)存儲(chǔ)器接口����,諸如接口 150連接至系統(tǒng)總線121。上文討論并在圖1中示出的驅(qū)動(dòng)器及其相關(guān)聯(lián)的計(jì)算機(jī)存儲(chǔ)介質(zhì)為計(jì)算機(jī)110提供了對(duì)計(jì)算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的存儲(chǔ)���。例如�����,在圖1中�,硬盤驅(qū)動(dòng)器141被示為存儲(chǔ)操作系統(tǒng)144�、應(yīng)用程序145、其它程序模塊146和程序數(shù)據(jù)147�����。注意��, 這些組件可以與操作系統(tǒng)134�����、應(yīng)用程序135、其他程序模塊136和程序數(shù)據(jù)137相同�,也可以與它們不同����。給操作系統(tǒng)144、應(yīng)用程序145��、其他程序模塊146���、以及程序數(shù)據(jù)147提供了不同的編號(hào)��,以說(shuō)明至少它們是不同的副本��。用戶可以通過(guò)輸入設(shè)備���,諸如鍵盤162和定點(diǎn)設(shè)備161——通常被稱為鼠標(biāo)、跟蹤球或觸摸墊——向計(jì)算機(jī)110輸入命令和信息�����。其他輸入設(shè)備(未示出)可以包括話筒�����、操縱桿、游戲手柄�、圓盤式衛(wèi)星天線、掃描儀等等����。這些和其他輸入設(shè)備通常由耦合至系統(tǒng)總線的用戶輸入接口 160連接至處理單元120,但也可以由其他接口和總線結(jié)構(gòu)��,諸如并行端口�、游戲端口或通用串行總線(USB)連接。監(jiān)視器 191或其他類型的顯示設(shè)備也經(jīng)由接口����,諸如視頻接口 190,連接至系統(tǒng)總線121����。除監(jiān)視器以外,計(jì)算機(jī)還可以包括其他外圍輸出設(shè)備���,諸如揚(yáng)聲器197和打印機(jī)196��,它們可以通過(guò)輸出外圍接口 195連接�����。計(jì)算機(jī)110可使用至一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)��,諸如遠(yuǎn)程計(jì)算機(jī)180的邏輯連接在網(wǎng)絡(luò)化環(huán)境中操作����。遠(yuǎn)程計(jì)算機(jī)180可以是個(gè)人計(jì)算機(jī)���、服務(wù)器����、路由器����、網(wǎng)絡(luò)PC、對(duì)等設(shè)備或其它常見網(wǎng)絡(luò)節(jié)點(diǎn)��,且通常包括上文相對(duì)于計(jì)算機(jī)110描述的許多或所有元件�����,但在圖1中只示出存儲(chǔ)器存儲(chǔ)設(shè)備181�。圖1中所示的邏輯連接包括局域網(wǎng)(LAN) 171和廣域網(wǎng) (WAN) 173����,但也可以包括其它網(wǎng)絡(luò)�。這樣的聯(lián)網(wǎng)環(huán)境在辦公室、企業(yè)范圍計(jì)算機(jī)網(wǎng)絡(luò)���、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的����。當(dāng)在LAN聯(lián)網(wǎng)環(huán)境中使用時(shí)�,計(jì)算機(jī)110通過(guò)網(wǎng)絡(luò)接口或適配器170連接至LAN 171。當(dāng)在WAN聯(lián)網(wǎng)環(huán)境中使用時(shí)��,計(jì)算機(jī)110通常包括調(diào)制解調(diào)器172或用于通過(guò)諸如因特網(wǎng)等WAN 173建立通信的其他裝置����。調(diào)制解調(diào)器172可以是內(nèi)置或外置的,它可以經(jīng)由用戶輸入接口 160或其他適當(dāng)?shù)臋C(jī)制連接至系統(tǒng)總線121���。在網(wǎng)絡(luò)化環(huán)境中�����,相對(duì)于計(jì)算機(jī) 110所描述的程序模塊或其部分可被存儲(chǔ)在遠(yuǎn)程存儲(chǔ)器存儲(chǔ)設(shè)備中�����。作為示例而非限制�, 圖1示出了遠(yuǎn)程應(yīng)用程序185駐留在存儲(chǔ)器設(shè)備181上?�?梢岳斫?���,所示的網(wǎng)絡(luò)連接是示例性的,且可以使用在計(jì)算機(jī)之間建立通信鏈路的其他手段����。圖2示出其中可以實(shí)施本發(fā)明的聯(lián)網(wǎng)計(jì)算環(huán)境�。聯(lián)網(wǎng)計(jì)算環(huán)境包括網(wǎng)絡(luò),其可以是安全網(wǎng)絡(luò)200����,諸如企業(yè)內(nèi)聯(lián)網(wǎng)。安全網(wǎng)絡(luò)200可以包括物理地連接到安全網(wǎng)絡(luò)200的聯(lián)網(wǎng)計(jì)算設(shè)備�。聯(lián)網(wǎng)計(jì)算設(shè)備到安全網(wǎng)絡(luò)200的物理連接可以在任何合適的計(jì)算機(jī)通信介質(zhì) (例如,有線或無(wú)線通信)上��,因?yàn)楸景l(fā)明并不限于此。一個(gè)這樣的聯(lián)網(wǎng)計(jì)算設(shè)備是可用作域控制器210的計(jì)算機(jī)�����。域控制器是公知的��,并且域控制器210可使用本領(lǐng)域公知的技術(shù)來(lái)實(shí)現(xiàn)��。然而�,可使用任何合適的技術(shù)來(lái)構(gòu)造域控制器210。域控制器210的一個(gè)示例是諸如在Windows 2003 krver操作系統(tǒng)上運(yùn)行Active Directory (活動(dòng)目錄)的計(jì)算系統(tǒng) 100之類的計(jì)算機(jī)�����。另一聯(lián)網(wǎng)計(jì)算設(shè)備可以是用作名稱服務(wù)器212的計(jì)算機(jī)�����,諸如運(yùn)行DNS服務(wù)的設(shè)備的任意組合��。名稱服務(wù)器在本領(lǐng)域也是公知的����,并且名稱服務(wù)器212可以使用已知技術(shù)來(lái)實(shí)現(xiàn)。然而���,可使用任何合適的技術(shù)來(lái)實(shí)現(xiàn)名稱服務(wù)器212����。作為替換技術(shù)的一個(gè)示例, 名稱服務(wù)器可以在與域控制器210相同的計(jì)算機(jī)上實(shí)現(xiàn)是可能的�����。安全網(wǎng)絡(luò)還可包括物理地連接到安全網(wǎng)絡(luò)200的用戶客戶機(jī)計(jì)算機(jī)214�,其可以訪問(wèn)安全網(wǎng)絡(luò)200中的計(jì)算資源,諸如域控制器210和名稱服務(wù)器212����。客戶機(jī)計(jì)算機(jī)214 可以在提供安全網(wǎng)絡(luò)200的企業(yè)房屋內(nèi)��。在該場(chǎng)景中����,物理連接可以通過(guò)將客戶機(jī)214通過(guò)有線或無(wú)線連接來(lái)連接到公司房屋的網(wǎng)絡(luò)接入點(diǎn)來(lái)實(shí)現(xiàn)��。然而���,可以采用用于實(shí)現(xiàn)到安全網(wǎng)絡(luò)200的物理連接的任何合適的機(jī)制����。在圖2所示的場(chǎng)景中,客戶機(jī)214已經(jīng)與域控制器210進(jìn)行了認(rèn)證����。由此,客戶機(jī) 214可具有對(duì)安全網(wǎng)絡(luò)200上的資源的訪問(wèn)權(quán)���。用戶客戶機(jī)214對(duì)計(jì)算資源的訪問(wèn)由雙向網(wǎng)絡(luò)鏈路來(lái)示出����,諸如客戶機(jī)214和域控制器210之間的鏈路220以及客戶機(jī)214和名稱服務(wù)器212之間的鏈路222�。圖2的聯(lián)網(wǎng)計(jì)算環(huán)境還可以包括連接到安全網(wǎng)絡(luò)200的其他網(wǎng)絡(luò)。圖2示出因特網(wǎng)230作為一個(gè)示例���。諸如用戶客戶機(jī)計(jì)算機(jī)234之類的遠(yuǎn)程計(jì)算設(shè)備可以連接到因特網(wǎng) 230���。此處,客戶機(jī)計(jì)算機(jī)234可以是膝上型計(jì)算設(shè)備或其他移動(dòng)計(jì)算設(shè)備����。由此,雖然客戶機(jī)234和214被示為單獨(dú)的設(shè)備�����,但遠(yuǎn)程客戶機(jī)234可以是與客戶機(jī)214相同的設(shè)備,但在不同時(shí)間不同位置操作����。例如,客戶機(jī)214可以表示在工作日期間在辦公室內(nèi)操作安全網(wǎng)絡(luò)200的公司員工所使用的移動(dòng)計(jì)算機(jī)����。遠(yuǎn)程客戶機(jī)234可以是該員工移動(dòng)到其家里以便在白天工作之后使用的同一個(gè)移動(dòng)計(jì)算機(jī)。無(wú)論用于實(shí)現(xiàn)客戶機(jī)214和234的具體硬件如何��,圖2所示的環(huán)境可以支持多個(gè)設(shè)備���,其中的任一個(gè)可以連接到網(wǎng)絡(luò)防火墻內(nèi)部或外部的安全網(wǎng)絡(luò)200�����?���?蛻魴C(jī)可以在防火墻內(nèi)部經(jīng)由接入點(diǎn)�、路由器�����、交換機(jī)、集線器���、安全隧道或到安全網(wǎng)絡(luò)200上的其他設(shè)備的其他網(wǎng)絡(luò)元件通過(guò)直接連接(無(wú)論是有線連接���、無(wú)線連接或通過(guò)任何其他合適介質(zhì)的連接)來(lái)連接??蛻魴C(jī)可以在防火墻外部使用依賴于通過(guò)因特網(wǎng)230或其他外部網(wǎng)絡(luò)的通信的遠(yuǎn)程訪問(wèn)機(jī)制來(lái)遠(yuǎn)程地連接到安全網(wǎng)絡(luò)200。聯(lián)網(wǎng)計(jì)算環(huán)境還包括用于安全網(wǎng)絡(luò)200的非軍事化區(qū)(DMZ) MO���,從而允許安全網(wǎng)絡(luò)200和因特網(wǎng)230之間的有限網(wǎng)絡(luò)通信����。DMZ 240可以包括阻塞未獲授權(quán)通信量的組件��, 諸如防火墻���,以及允許某些通信量通過(guò)的其他組件���。DMZ 240可以包括聯(lián)網(wǎng)計(jì)算設(shè)備,諸如用作直接訪問(wèn)服務(wù)器250的計(jì)算系統(tǒng)���。在所示實(shí)施例中�,直接訪問(wèn)服務(wù)器250可被實(shí)現(xiàn)為路由器。諸如客戶機(jī)計(jì)算機(jī)234等未物理地連接到安全網(wǎng)絡(luò)200的客戶機(jī)可以通過(guò)直接訪問(wèn)服務(wù)器250來(lái)連接以在不使用VPN的情況下與安全網(wǎng)絡(luò)內(nèi)部的計(jì)算資源��,諸如域控制器 210和名稱服務(wù)器212進(jìn)行通信�����。用戶客戶機(jī)234對(duì)安全網(wǎng)絡(luò)中的計(jì)算資源的訪問(wèn)由通過(guò)直接訪問(wèn)服務(wù)器的雙向網(wǎng)絡(luò)鏈路來(lái)示出�����,諸如客戶機(jī)234和域控制器210之間的鏈路260 以及客戶機(jī)234和名稱服務(wù)器212之間的鏈路沈2��。如圖所示��,諸如客戶機(jī)234之類的遠(yuǎn)程客戶機(jī)可以與物理地連接到安全網(wǎng)絡(luò)200的計(jì)算機(jī)�����,諸如客戶機(jī)214—樣�����,訪問(wèn)安全網(wǎng)絡(luò) 200上的相同網(wǎng)絡(luò)資源。結(jié)果�����,客戶機(jī)234��,與客戶機(jī)214 —樣��,可以與域控制器210進(jìn)行認(rèn)證�。如果客戶機(jī)234基于與域控制器210進(jìn)行認(rèn)證的能力來(lái)建立其安全狀態(tài)���,則客戶機(jī)234可以具有與可能用相同方式來(lái)配置其安全狀態(tài)的客戶機(jī)214不同的安全風(fēng)險(xiǎn)����??蛻魴C(jī)214被DMZ 240 與因特網(wǎng)230上的可能被惡意第三方使用的其他設(shè)備分開,但客戶機(jī)234沒(méi)有���。因此�,客戶機(jī)214可以適當(dāng)?shù)厥褂幂^不受限的安全設(shè)置���,因?yàn)榘踩W(wǎng)絡(luò)200上的所有其他設(shè)備都被認(rèn)為是可信的�����,而如果客戶機(jī)234使用相同的較不受限的設(shè)置����,則它將暴露于來(lái)自連接到因特網(wǎng)230的設(shè)備的風(fēng)險(xiǎn)。因此在某些實(shí)施例中���,即使客戶機(jī)230與域控制器210進(jìn)行認(rèn)證�, 客戶機(jī)234的安全狀態(tài)也可以基于其網(wǎng)絡(luò)位置的確定來(lái)建立�����,它的網(wǎng)絡(luò)位置無(wú)關(guān)于它與域控制器210進(jìn)行認(rèn)證的能力�。雖然建立與客戶機(jī)安全有關(guān)的動(dòng)作的設(shè)置被用作可以基于網(wǎng)絡(luò)位置來(lái)選擇的設(shè)置的示例,但還可以類似地選擇其他類型的設(shè)置���。例如�����,如果客戶機(jī)234基于網(wǎng)絡(luò)位置來(lái)建立任何其他類型的設(shè)置����,則在沒(méi)有準(zhǔn)確的網(wǎng)絡(luò)位置確定時(shí)它可能不正確地運(yùn)作或與用戶所期待的相反。由此����,可將此處描述的技術(shù)應(yīng)用于改進(jìn)基于網(wǎng)絡(luò)位置的任何設(shè)置的選擇。圖3示出與圖2的環(huán)境類似的聯(lián)網(wǎng)計(jì)算環(huán)境��。圖3中的DMZ 240還結(jié)合了 VPN網(wǎng)關(guān)服務(wù)器358�。VPN網(wǎng)關(guān)服務(wù)器358是提供本領(lǐng)域公知的VPN網(wǎng)關(guān)功能的計(jì)算設(shè)備��。還繪制了物理地連接到因特網(wǎng)230的VPN客戶機(jī)344���。類似于客戶機(jī)計(jì)算機(jī)234��,VPN客戶機(jī)344 可以是膝上型計(jì)算設(shè)備或其他移動(dòng)計(jì)算設(shè)備�。VPN網(wǎng)關(guān)服務(wù)器358允許未物理地連接到安全網(wǎng)絡(luò)200的計(jì)算機(jī)�����,諸如VPN客戶機(jī)344通過(guò)在VPN網(wǎng)關(guān)服務(wù)器358和VPN客戶機(jī)344 之間建立安全隧道360來(lái)建立到安全網(wǎng)絡(luò)的虛擬連接����。一旦通過(guò)VPN網(wǎng)關(guān)服務(wù)器358建立了安全隧道360,VPN客戶機(jī)344虛擬地連接到防火墻之內(nèi)的安全網(wǎng)絡(luò)200����,包括安全網(wǎng)絡(luò) 200的邏輯部分��。
圖3還結(jié)合了允許諸如用戶客戶機(jī)214���、用戶客戶機(jī)234和VPN客戶機(jī)344之類的計(jì)算設(shè)備安全地確定它們是否直接連接到安全網(wǎng)絡(luò)200的機(jī)制。聯(lián)網(wǎng)計(jì)算環(huán)境還包括運(yùn)行在連接到安全網(wǎng)絡(luò)200的計(jì)算設(shè)備上的用于網(wǎng)絡(luò)位置知曉的網(wǎng)絡(luò)服務(wù)�����,諸如HTTPS服務(wù) 352�。HTTPS服務(wù)352的實(shí)現(xiàn)的示例是ApacheHTTP服務(wù)器和微軟因特網(wǎng)信息服務(wù)。在該實(shí)施例中�,HTTPS服務(wù)352在直接訪問(wèn)服務(wù)器250上運(yùn)行,但它可以在連接到安全網(wǎng)絡(luò)200的任何計(jì)算設(shè)備上運(yùn)行�。雖然HTTPS被用作安全協(xié)議的示例,但應(yīng)該理解�����,在實(shí)施例中可以使用帶有安全協(xié)議的任何服務(wù)���,HTTPS只是一個(gè)示例����。直接訪問(wèn)服務(wù)器250提供兩個(gè)網(wǎng)絡(luò)接口 專用接口 3M和公共接口 356。專用接口 3M提供直接訪問(wèn)服務(wù)器250與直接連接到安全網(wǎng)絡(luò)的聯(lián)網(wǎng)計(jì)算設(shè)備�,諸如用戶客戶機(jī)214 和VPN客戶機(jī)244之間的連接。公共接口 356提供直接訪問(wèn)服務(wù)器和在安全網(wǎng)絡(luò)200外部的聯(lián)網(wǎng)計(jì)算設(shè)備�����,諸如用戶客戶機(jī)234之間的連接�。在所示實(shí)施例中,公共接口 356和專用接口 3M被配置成使得對(duì)于特定請(qǐng)求�����,網(wǎng)絡(luò)客戶機(jī)將取決于其位置來(lái)感知不同的響應(yīng)��。例如���,物理地連接到安全網(wǎng)絡(luò)200的客戶機(jī)214,由于公共接口 356和專用接口 3M的動(dòng)作�, 將感知對(duì)特定請(qǐng)求的與客戶機(jī)234不同的響應(yīng)。接口 3M和356被配置成使得通過(guò)專用接口 3M通信的客戶機(jī)可以與HTTPS服務(wù)352進(jìn)行通信�,但通過(guò)公共接口 356通信的客戶機(jī)無(wú)法與HTTPS服務(wù)352進(jìn)行通信。允許客戶機(jī)234和連接到安全網(wǎng)絡(luò)200的其他聯(lián)網(wǎng)計(jì)算設(shè)備之間的其他網(wǎng)絡(luò)通信通過(guò)公共接口 356�����。因此在該實(shí)施例中,客戶機(jī)214和VPN客戶機(jī)344將接收對(duì)發(fā)送給HTTPS服務(wù)352的請(qǐng)求的回復(fù)�����。相反�,客戶機(jī)234將接收不到對(duì)發(fā)送給HTTPS服務(wù)352的請(qǐng)求的回復(fù)。以此方式���,客戶機(jī)可以取決于是否接收到回復(fù)來(lái)感知不同的響應(yīng)���。在圖3中,聯(lián)網(wǎng)計(jì)算設(shè)備具有或不具有彼此通信的能力由單向或雙向網(wǎng)絡(luò)鏈路來(lái)示出����。通過(guò)公共接口 356和直接訪問(wèn)服務(wù)器250的雙向鏈路示出與安全網(wǎng)絡(luò)200中的聯(lián)網(wǎng)計(jì)算資源進(jìn)行通信的能力,諸如客戶機(jī)234和域控制器210之間的鏈路260以及客戶機(jī)234 和名稱服務(wù)器212之間的鏈路沈2��。類似地���,通過(guò)專用接口 3M和直接訪問(wèn)服務(wù)器250的雙向鏈路364示出用戶客戶機(jī)214和HTTPS服務(wù)352之間的連接�����。用相似的方式���,通過(guò)安全隧道360���、VPN網(wǎng)關(guān)服務(wù)器358、直接訪問(wèn)服務(wù)器250和專用接口 3M的雙向鏈路376示出在VPN客戶機(jī)344和HTTPS服務(wù)352之間進(jìn)行通信的能力���。另一方面�����,用戶客戶機(jī)234和 HTTPS服務(wù)352之間的單向鏈路374不通過(guò)公共接口 356���,從而示出不具有通過(guò)公共接口與 HTTPS服務(wù)352進(jìn)行通信的能力。直接連接到網(wǎng)絡(luò)防火墻之內(nèi)的安全網(wǎng)絡(luò)200的客戶機(jī)��,諸如客戶機(jī)214或VPN客戶機(jī)344能夠通過(guò)專用接口 3M與HTTPS服務(wù)器352進(jìn)行通信���,并且因此能夠?qū)TTPS服務(wù)器352提出請(qǐng)求和接收回復(fù)?����;趤?lái)自HTTPS服務(wù)器352的回復(fù)��,客戶機(jī)214或VPN客戶機(jī)344能夠確定它是否直接連接到安全網(wǎng)絡(luò)并相應(yīng)地設(shè)置其安全策略。另一方面����,未直接連接到安全網(wǎng)絡(luò)200的客戶機(jī),諸如客戶機(jī)234���,不能夠通過(guò)公共接口 356來(lái)與HTTPS服務(wù)器352進(jìn)行通信��,并且因此不能夠向HTTPS服務(wù)器352提出請(qǐng)求或接收回復(fù)���。基于缺少來(lái)自HTTPS服務(wù)器352的回復(fù)����,客戶機(jī)234能夠作出它未直接連接到安全網(wǎng)絡(luò)200的確定, 并且可以將它的安全策略配置得與它直接連接到安全網(wǎng)絡(luò)200的情形相比更受限制�����。在圖3的實(shí)施例中���,諸如VPN客戶機(jī)344之類的通過(guò)虛擬連接直接連接到安全網(wǎng)絡(luò)200但未物理地連接到安全網(wǎng)絡(luò)200的計(jì)算設(shè)備�,可以通過(guò)專用接口 3M來(lái)連接以與HTTPS服務(wù)352進(jìn)行通信��。因此在該實(shí)施例中,VPN客戶機(jī)344將接收對(duì)發(fā)送給HTTPS服務(wù) 352的請(qǐng)求的回復(fù)��。然而��,其他實(shí)施例可以不同地對(duì)待虛擬地但未物理地連接到安全網(wǎng)絡(luò) 200的計(jì)算設(shè)備��。例如�����,在另一實(shí)施例中��,專用接口 3M可以不允許VPN客戶機(jī)344和HTTPS 服務(wù)352之間的通信��。在這種情況下�����,VPN客戶機(jī)344將接收不到對(duì)發(fā)送給HTTPS服務(wù)352 的請(qǐng)求的回復(fù)�,并且與客戶機(jī)234類似����,可以確定將其安全策略配置得與它物理地連接到安全網(wǎng)絡(luò)200的情形相比更受限制。在又一實(shí)施例中��,專用接口 3M可以允許HTTPS服務(wù) 352和VPN客戶機(jī)344之間的通信,但HTTPS服務(wù)352可被配置成向VPN客戶機(jī)344提供與它向用戶客戶機(jī)214提供的響應(yīng)不同的響應(yīng)�����。該其他類型的響應(yīng)將允許VPN客戶機(jī)344確定它應(yīng)該應(yīng)用第三類型的設(shè)置�,諸如比客戶機(jī)214所應(yīng)用的更受限制、但比客戶機(jī)234所應(yīng)用的較不受限的安全設(shè)置��。專用接口 3M可使用本領(lǐng)域已知的技術(shù)來(lái)實(shí)現(xiàn)���。公共接口 356可以類似地使用公知的接口技術(shù)來(lái)實(shí)現(xiàn)��。然而�,可以修改公共接口 356來(lái)阻塞來(lái)自遠(yuǎn)程客戶機(jī)的通信�����?�?梢允褂萌魏魏线m的阻塞機(jī)制�����。例如,公共接口 356可配置有過(guò)濾組件��,該過(guò)濾組件基于分組頭部中包含的目的地地址來(lái)阻塞網(wǎng)絡(luò)分組����。例如,公共接口 356可以阻塞包括HTTPS服務(wù)352 的目的地地址的所有傳入分組�����。然而��,其它實(shí)現(xiàn)是可能的����。例如,公共接口 356可以阻塞包含指示該分組是由HTTPS服務(wù)352生成的源地址的任何傳出分組���。在圖3所示的實(shí)施例中��,公共接口 356阻塞在諸如客戶機(jī)234之類的遠(yuǎn)程客戶機(jī)和HTTPS服務(wù)352之間交換的所有分組����。當(dāng)HTTPS服務(wù)352未執(zhí)行遠(yuǎn)程客戶機(jī)期望訪問(wèn)的任何功能時(shí)��,這種實(shí)現(xiàn)可能是合適的�����。在期望遠(yuǎn)程客戶機(jī)和HTTPS服務(wù)352之間的某些交互的實(shí)施例中�����,公共接口 356的過(guò)濾組件還可被配置成基于分組中的信息的本質(zhì)來(lái)過(guò)濾分組�。例如,HTTPS服務(wù)352可被配置成提供對(duì)特別旨在使得遠(yuǎn)程客戶機(jī)能夠確定其網(wǎng)絡(luò)位置的請(qǐng)求的響應(yīng)�。公共接口 356的過(guò)濾組件可被配置成檢查分組的各部分,從而標(biāo)識(shí)分組中包含的信息的本質(zhì)����。基于該檢查�����,過(guò)濾組件可以阻塞僅包含旨在確定網(wǎng)絡(luò)位置時(shí)使用的請(qǐng)求或回復(fù)的分組的傳輸�����。用于位置知曉的網(wǎng)絡(luò)服務(wù)�,諸如HTTPS服務(wù)352是安全的,以便允許網(wǎng)絡(luò)服務(wù)的客戶機(jī),諸如客戶機(jī)214�、客戶機(jī)234或VPN客戶機(jī)344驗(yàn)證服務(wù)的身份或安全憑證,并作出客戶機(jī)是否應(yīng)該信任從該服務(wù)接收的回復(fù)的確定���。例如�����,在某些實(shí)施例中�����,HTTPS服務(wù)352的回復(fù)可以包括包含HTTPS服務(wù)的身份的SSL證書�,諸如客戶機(jī)214之類的服務(wù)的客戶機(jī)可以驗(yàn)證該證書來(lái)確定是否信任來(lái)自HTTPS服務(wù)352的回復(fù)�。如果客戶機(jī)214確定要信任來(lái)自HTTPS服務(wù)352的回復(fù),則它可以假定該HTTPS服務(wù)352物理地連接到安全網(wǎng)絡(luò)200并相應(yīng)地將其安全設(shè)置實(shí)現(xiàn)為較不受限的狀態(tài)��。另一方面�,如果客戶機(jī)214不能夠驗(yàn)證HTTPS 服務(wù)352所返回的SSL證書,則客戶機(jī)214可以認(rèn)為它未收到來(lái)自服務(wù)352的回復(fù)并假定該服務(wù)未直接連接到安全網(wǎng)絡(luò)200���,并實(shí)現(xiàn)較受限制的安全設(shè)置�。圖4示出與圖2的環(huán)境類似的聯(lián)網(wǎng)計(jì)算環(huán)境����,其根據(jù)某些其他實(shí)施例配置成支持網(wǎng)絡(luò)位置確定��。在圖4的實(shí)施例中,DMZ 240還結(jié)合了可用作防火墻442的網(wǎng)絡(luò)設(shè)備��。防火墻442分析從安全網(wǎng)絡(luò)200外部設(shè)備到DMZ 240中或安全網(wǎng)絡(luò)200中的計(jì)算設(shè)備的聯(lián)網(wǎng)通信�����,并可以允許或不允許某些這樣的通信����。具體地,防火墻442可以不允許從安全網(wǎng)絡(luò)外部的設(shè)備�,諸如客戶機(jī)234到HTTPS服務(wù)352的通信,但可以允許從安全網(wǎng)絡(luò)外部的設(shè)備����, 諸如客戶機(jī)234到安全網(wǎng)絡(luò)內(nèi)部的其他聯(lián)網(wǎng)計(jì)算資源,諸如域控制器210和名稱服務(wù)器212的通信�����。如雙向鏈路260和260所可以見到的����,防火墻442分別允許客戶機(jī)234和域控制器210之間的通信以及客戶機(jī)234和名稱服務(wù)器212之間的通信���。另一方面,從客戶機(jī)234 到HTTPS服務(wù)352的單向鏈路374被防火墻442阻塞�����,并且說(shuō)明不具有連接到HTTPS服務(wù) 352的能力�。如以上結(jié)合圖3所討論的,防火墻442可以阻塞從遠(yuǎn)程設(shè)備到HTTPS服務(wù)352 的所有通信�。然而,在使用對(duì)HTTPS服務(wù)352的特定類型請(qǐng)求的響應(yīng)來(lái)確定網(wǎng)絡(luò)位置的實(shí)施例中���,防火墻442可被配置成只阻塞包含這種請(qǐng)求的分組��。圖5示出與圖4所示的實(shí)施例類似的本發(fā)明的替換實(shí)施例�。在圖5的實(shí)施例中����, DMZ 240結(jié)合了可用作防火墻M2的聯(lián)網(wǎng)設(shè)備。與防火墻442類似�����,防火墻542分析從安全網(wǎng)絡(luò)200外部的設(shè)備到DMZ 240中或安全網(wǎng)絡(luò)200中的計(jì)算設(shè)備的聯(lián)網(wǎng)通信,并可以允許或不允許某些這樣的通信�。然而,防火墻542可用與防火墻442不同的安全設(shè)置來(lái)配置�����。 具體地���,防火墻542可允許從安全網(wǎng)絡(luò)外部的設(shè)備,諸如客戶機(jī)234到HTTPS服務(wù)352的傳入通信����,但可以不允許或阻塞從HTTPS服務(wù)352到客戶機(jī)234的傳出通信。如同防火墻442 一樣�,防火墻542可允許安全網(wǎng)絡(luò)200外部的設(shè)備,諸如客戶機(jī)234和安全網(wǎng)絡(luò)內(nèi)部的其他聯(lián)網(wǎng)計(jì)算資源���,諸如域控制器210和名稱服務(wù)器212之間的雙向通信�����。如雙向鏈路沈0和 260所可以見到的���,防火墻542分別允許客戶機(jī)234和域控制器210之間的通信以及客戶機(jī)234和名稱服務(wù)器212之間的通信����。來(lái)自客戶機(jī)234的單向鏈路374通過(guò)防火墻542到達(dá)HTTPS服務(wù)352����。然而,從HTTPS服務(wù)352到客戶機(jī)234的單向鏈路576被示為被防火墻542阻塞�。如結(jié)合圖4所討論的,在使用對(duì)HTTPS服務(wù)352的特定類型的請(qǐng)求的響應(yīng)來(lái)確定網(wǎng)絡(luò)位置的實(shí)施例中���,防火墻542可被配置成只阻塞包含這種請(qǐng)求的分組�����?���?蛻魴C(jī)234 可以使用該客戶機(jī)234缺少?gòu)腍TTPS服務(wù)352接收的回復(fù)來(lái)確定它未直接連接到安全網(wǎng)絡(luò) 200�。圖6示出與圖2的環(huán)境類似的聯(lián)網(wǎng)計(jì)算環(huán)境,其根據(jù)某些其他替換實(shí)施例被配置成支持網(wǎng)絡(luò)位置確定��。HTTPS服務(wù)還結(jié)合了諸如網(wǎng)絡(luò)地址過(guò)濾器652之類的過(guò)濾器����。與圖 3中結(jié)合公共接口 356的過(guò)濾組件所討論的類似��,網(wǎng)絡(luò)地址過(guò)濾器可被配置成基于關(guān)于對(duì) HTTPS服務(wù)352的請(qǐng)求的分組頭部中所包含的源網(wǎng)絡(luò)地址的信息來(lái)阻塞該請(qǐng)求��。例如����,網(wǎng)絡(luò)地址過(guò)濾器652可以檢查對(duì)HTTPS服務(wù)352的請(qǐng)求中所包含的源網(wǎng)絡(luò)地址的一部分來(lái)確定該源網(wǎng)絡(luò)地址是否在安全網(wǎng)絡(luò)200的網(wǎng)絡(luò)地址范圍內(nèi)��。例如�,如果源網(wǎng)絡(luò)地址是IPv6網(wǎng)絡(luò)地址,則網(wǎng)絡(luò)地址過(guò)濾器可以檢查該網(wǎng)絡(luò)地址是否在安全網(wǎng)絡(luò)前綴范圍內(nèi)�。雖然將網(wǎng)絡(luò)地址用作用來(lái)確定回復(fù)的本質(zhì)的準(zhǔn)則的一個(gè)示例����,但還可以使用其他準(zhǔn)則來(lái)確定響應(yīng)的本質(zhì)。例如��,回復(fù)可以是不同的�����,取決于該請(qǐng)求是通過(guò)公共接口還是專用接口來(lái)接收的����。此外���,雖然發(fā)出回復(fù)和不發(fā)出回復(fù)被用作不同響應(yīng)的示例,但這些僅僅是不同響應(yīng)的示例�。作為另一示例,不同響應(yīng)可以通過(guò)在所有情況下都發(fā)出回復(fù)���、但取決于網(wǎng)絡(luò)位置而對(duì)回復(fù)使用不同格式來(lái)生成�����。作為一個(gè)示例���,回復(fù)可以指示客戶機(jī)的網(wǎng)絡(luò)地址或網(wǎng)絡(luò)位置。同樣�,在上述實(shí)施例中,同一設(shè)備生成對(duì)來(lái)自直接或間接連接到網(wǎng)絡(luò)的客戶機(jī)的請(qǐng)求的回復(fù)���。不要求這樣的體系結(jié)構(gòu)��。例如�,來(lái)自直接連接的客戶機(jī)的請(qǐng)求可被路由到發(fā)出一種類型回復(fù)的一個(gè)設(shè)備���,而來(lái)自未直接連接的客戶機(jī)的請(qǐng)求可被路由到發(fā)出不同類型回復(fù)的另一設(shè)備�。在圖6所示的實(shí)施例中,客戶機(jī)214物理地連接到安全網(wǎng)絡(luò)200 �;因而,如果安全網(wǎng)絡(luò)200使用IPv6尋址����,則客戶機(jī)214的網(wǎng)絡(luò)地址在安全網(wǎng)絡(luò)前綴范圍內(nèi)。因?yàn)榭蛻魴C(jī)234未物理地連接到網(wǎng)絡(luò)200�,所以客戶機(jī)234的網(wǎng)絡(luò)地址不在安全網(wǎng)絡(luò)前綴范圍內(nèi)。網(wǎng)絡(luò)地址過(guò)濾器652隨后可以在檢查了它們的請(qǐng)求之后�����,阻塞從客戶機(jī)234到HTTPS服務(wù)352 的請(qǐng)求�����、但允許從客戶機(jī)214到HTTPS服務(wù)352的請(qǐng)求���。如先前所說(shuō)明的,聯(lián)網(wǎng)計(jì)算設(shè)備具有或不具有彼此通信的能力由單向或雙向網(wǎng)絡(luò)鏈路來(lái)示出�。通過(guò)直接訪問(wèn)服務(wù)器250的雙向鏈路顯示與安全網(wǎng)絡(luò)200中的聯(lián)網(wǎng)計(jì)算資源進(jìn)行通信的能力,諸如客戶機(jī)234和域控制器210之間的鏈路沈0以及客戶機(jī)234和名稱服務(wù)器212之間的鏈路沈2���。類似地���,通過(guò)網(wǎng)絡(luò)地址過(guò)濾器652和直接訪問(wèn)服務(wù)器250的雙向鏈路364示出用戶客戶機(jī)214和HTTPS服務(wù)352之間的連接�。另一方面��,用戶客戶機(jī) 234和HTTPS服務(wù)352之間單向鏈路374不通過(guò)網(wǎng)絡(luò)地址過(guò)濾器652���,從而說(shuō)明網(wǎng)絡(luò)地址過(guò)濾器652采取動(dòng)作來(lái)阻塞從客戶機(jī)234到HTTPS服務(wù)352的請(qǐng)求���。在該實(shí)施例中,如以上在先前實(shí)施例中所討論的�,缺少來(lái)自HTTPS服務(wù)352的回復(fù)可以允許請(qǐng)求者,諸如客戶機(jī)234作出它未直接連接到安全網(wǎng)絡(luò)200的確定�����,并相應(yīng)地將其安全設(shè)置設(shè)為較受限制的狀態(tài)���。圖7示出網(wǎng)絡(luò)客戶機(jī)700(諸如客戶機(jī)214和234的先前實(shí)施例)以及被配置成執(zhí)行網(wǎng)絡(luò)位置確定的網(wǎng)絡(luò)設(shè)備�,諸如運(yùn)行HTTPS服務(wù)702(諸如在先前討論的實(shí)施例中的 HTTPS服務(wù)35 的設(shè)備的操作方法的流程圖��。最初���,客戶機(jī)700不知道它的網(wǎng)絡(luò)位置并且在框701可以應(yīng)用適用于未直接連接到安全網(wǎng)絡(luò)的客戶機(jī)的默認(rèn)設(shè)置�����。例如�����,有了安全策略��,客戶機(jī)應(yīng)用適于它可以操作的最不安全位置的設(shè)置��。在步驟704��,客戶機(jī)700本身可以與諸如域控制器210之類的域控制器進(jìn)行認(rèn)證�。 這可以通過(guò)經(jīng)由諸如直接訪問(wèn)服務(wù)器250之類的直接訪問(wèn)服務(wù)器,或者直接地(該客戶機(jī)是物理地連接還是諸如經(jīng)由VPN虛擬地)連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)來(lái)完成����。在步驟706,客戶機(jī)700檢索已獲提供給客戶機(jī)的HTTPS服務(wù)702的名稱��。例如��, 當(dāng)客戶機(jī)700物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)時(shí)���,可能已經(jīng)向客戶機(jī)700 提供了 HTTPS服務(wù)702的名稱���。此時(shí),與步驟706中一樣���,所提供的名稱可能已經(jīng)被本地地存儲(chǔ)在客戶機(jī)上的計(jì)算機(jī)存儲(chǔ)介質(zhì)上以供稍后檢索�����。在步驟712�����,客戶機(jī)700向HTTPS服務(wù)702發(fā)出HTTPS請(qǐng)求�����。在步驟714����,客戶機(jī) 700在一預(yù)定時(shí)間間隔內(nèi)等待來(lái)自HTTPS服務(wù)700的回復(fù)��。如果未經(jīng)由上述機(jī)制中的一個(gè)來(lái)阻塞來(lái)自客戶機(jī)700的請(qǐng)求而到達(dá)HTTPS服務(wù) 702�,則在步驟716HTTPS服務(wù)702接收該客戶機(jī)請(qǐng)求���。在步驟718,諸如網(wǎng)絡(luò)地址過(guò)濾器652 之類的過(guò)濾器檢查客戶機(jī)的網(wǎng)絡(luò)地址的一部分來(lái)確定該客戶機(jī)的網(wǎng)絡(luò)地址是否在諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)的范圍內(nèi)�。如果該網(wǎng)絡(luò)地址不在安全網(wǎng)絡(luò)范圍內(nèi),則圖7的過(guò)程從步驟718分支到結(jié)束框730并且客戶機(jī)接收不到來(lái)自HTTPS服務(wù)702的回復(fù)�。另一方面����,如果客戶機(jī)700的網(wǎng)絡(luò)地址在安全網(wǎng)絡(luò)范圍內(nèi)���,則在步驟720HTTPS服務(wù)702可以對(duì)客戶機(jī)700作出響應(yīng)���,其可以是包含SSL證書的安全響應(yīng)。在任一種情況中����,此時(shí),HTTPS服務(wù)702已經(jīng)完成了對(duì)客戶機(jī)700的請(qǐng)求的處理��,并繼續(xù)至結(jié)束框730��。但應(yīng)該理解�����,在某些實(shí)施例中�����,可能期望無(wú)論發(fā)出請(qǐng)求的客戶機(jī)的位置如何��, HTTPS服務(wù)702都作出響應(yīng)��,但取決于客戶機(jī)的位置用不同類型的響應(yīng)來(lái)作出響應(yīng)���。在這些實(shí)施例中�����,如果不管客戶機(jī)的位置都生成響應(yīng)�����,則可以減少步驟714處的等待時(shí)間�。圖7的過(guò)程取決于客戶機(jī)在預(yù)定時(shí)間間隔內(nèi)是否從HTTPS服務(wù)702接收到任何響應(yīng)在步驟722處分支�����。如果客戶機(jī)700未接收到回復(fù)���,可能是如果其請(qǐng)求或回復(fù)經(jīng)由圖3-6 所示的實(shí)施例中的一個(gè)被阻塞的情況���,則客戶機(jī)700繼續(xù)至步驟728�����,在那里它作出它未物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)的確定��,并且相應(yīng)地將其設(shè)置保持在默認(rèn)狀態(tài)��。例如���,安全策略保持被設(shè)置為較受限制的狀態(tài)。如果客戶機(jī)700從HTTPS服務(wù)702接收到響應(yīng)��,則在步驟7 它驗(yàn)證HTTPS服務(wù) 702的身份或安全憑證����,諸如SSL證書。如果客戶機(jī)700無(wú)法成功地驗(yàn)證從HTTPS服務(wù)702 接收的SSL證書��,則客戶機(jī)700繼續(xù)至步驟728����,并且如上所述地���,作出它未物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)的確定?����?蛻魴C(jī)相應(yīng)地設(shè)置其策略��,例如��,將其策略設(shè)置為較受限制的狀態(tài)��。如果客戶機(jī)700成功地驗(yàn)證從HTTPS服務(wù)702接收的SSL證書��,則它繼續(xù)至步驟 726��。此時(shí)�,客戶機(jī)可以確定它物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)�����?���?蛻魴C(jī)相應(yīng)地設(shè)置其策略����,例如��,將其策略設(shè)置為較不受限的狀態(tài)��。至此描述了本發(fā)明的至少一個(gè)實(shí)施例的若干方面���,可以理解�,本領(lǐng)域的技術(shù)人員可容易地想到各種更改����、修改和改進(jìn)。這樣的更改�����、修改和改進(jìn)旨在是本發(fā)明的一部分��,且旨在處于本發(fā)明的精神和范圍內(nèi)����。因此,上述描述和附圖僅用作示例?�?梢杂枚喾N方式中的任一種來(lái)實(shí)現(xiàn)本發(fā)明的上述實(shí)施例�����。例如��,可使用硬件�����、軟件或其組合來(lái)實(shí)現(xiàn)各實(shí)施例�����。當(dāng)使用軟件實(shí)現(xiàn)時(shí)�����,該軟件代碼可在無(wú)論是在單個(gè)計(jì)算機(jī)中提供的還是在多個(gè)計(jì)算機(jī)之間分布的任何合適的處理器或處理器集合上執(zhí)行�。此外�,應(yīng)當(dāng)理解,計(jì)算機(jī)可以用多種形式中的任一種來(lái)具體化����,如機(jī)架式計(jì)算機(jī)��、 臺(tái)式計(jì)算機(jī)�、膝上型計(jì)算機(jī)�、或平板計(jì)算機(jī)。另外��,計(jì)算機(jī)可以具體化在通常不被認(rèn)為是計(jì)算機(jī)但具有合適的處理能力的設(shè)備中��,包括個(gè)人數(shù)字助理(PDA)��、智能電話�����、或任何其他合適的便攜式或固定電子設(shè)備�。同樣,計(jì)算機(jī)可以具有一個(gè)或多個(gè)輸入和輸出設(shè)備�����。這些設(shè)備主要可被用來(lái)呈現(xiàn)用戶界面�����。可被用來(lái)提供用戶界面的輸出設(shè)備的示例包括用于可視地呈現(xiàn)輸出的打印機(jī)或顯示屏和用于可聽地呈現(xiàn)輸出的揚(yáng)聲器或其他聲音生成設(shè)備����。可被用于用戶界面的輸入設(shè)備的示例包括鍵盤和諸如鼠標(biāo)����、觸摸板和數(shù)字化輸入板等定點(diǎn)設(shè)備。作為另一示例�����,計(jì)算機(jī)可以通過(guò)語(yǔ)音識(shí)別或以其他可聽格式來(lái)接收輸入信息����。這些計(jì)算機(jī)可以通過(guò)任何合適形式的一個(gè)或多個(gè)網(wǎng)絡(luò)來(lái)互連��,包括作為局域網(wǎng)或廣域網(wǎng)�����,如企業(yè)網(wǎng)絡(luò)或因特網(wǎng)���。這些網(wǎng)絡(luò)可以基于任何合適的技術(shù)并可以根據(jù)任何合適的協(xié)議來(lái)操作���,并且可以包括無(wú)線網(wǎng)絡(luò)����、有線網(wǎng)絡(luò)或光纖網(wǎng)絡(luò)����。而且,此處略述的各種方法或過(guò)程可被編碼為可在采用各種操作系統(tǒng)或平臺(tái)中任何一種的一個(gè)或多個(gè)處理器上執(zhí)行的軟件����。此外,這樣的軟件可使用多種合適的程序設(shè)計(jì)語(yǔ)言和/或程序設(shè)計(jì)或腳本工具中的任何一種來(lái)編寫�,而且它們還可被編譯為可執(zhí)行機(jī)器語(yǔ)言代碼或在框架或虛擬機(jī)上執(zhí)行的中間代碼。就此�,本發(fā)明可被具體化為用一個(gè)或多個(gè)程序編碼的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì) (例如,計(jì)算機(jī)存儲(chǔ)器����、一個(gè)或多個(gè)軟盤、緊致盤�、光盤、磁帶���、閃存���、現(xiàn)場(chǎng)可編程門陣列或其他半導(dǎo)體器件中的電路配置�����、或其他有形計(jì)算機(jī)存儲(chǔ)介質(zhì))����,當(dāng)這些程序在一個(gè)或多個(gè)計(jì)算機(jī)或其他處理器上執(zhí)行時(shí)����,它們執(zhí)行實(shí)現(xiàn)本發(fā)明的上述各個(gè)實(shí)施例的方法。這一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)可以是便攜的����,使得其上存儲(chǔ)的一個(gè)或多個(gè)程序可被加載到一個(gè)或多個(gè)不同的計(jì)算機(jī)或其他處理器上以便實(shí)現(xiàn)本發(fā)明上述的各個(gè)方面。此處以一般的意義使用術(shù)語(yǔ)“程序”或“軟件”來(lái)指可被用來(lái)對(duì)計(jì)算機(jī)或其他處理器編程以實(shí)現(xiàn)本發(fā)明上述的各個(gè)方面的任何類型的計(jì)算機(jī)代碼或計(jì)算機(jī)可執(zhí)行指令集����。另外�,應(yīng)當(dāng)理解,根據(jù)本實(shí)施例的一個(gè)方面���,當(dāng)被執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明的方法的一個(gè)或多個(gè)計(jì)算機(jī)程序不必駐留在單個(gè)計(jì)算機(jī)或處理器上���,而是可以按模塊化的方式分布在多個(gè)不同的計(jì)算機(jī)或處理器之間以實(shí)現(xiàn)本發(fā)明的各方面�。計(jì)算機(jī)可執(zhí)行指令可以具有可由一個(gè)或多個(gè)計(jì)算機(jī)或其他設(shè)備執(zhí)行的各種形式���, 諸如程序模塊����。一般而言�,程序模塊包括執(zhí)行特定的任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型的例程、程序�����、對(duì)象���、組件�、數(shù)據(jù)結(jié)構(gòu)等�。通常,在各實(shí)施例中����,程序模塊的功能可以視需要組合或分散。而且��,數(shù)據(jù)結(jié)構(gòu)能以任何合適的形式存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上。為簡(jiǎn)化說(shuō)明�,數(shù)據(jù)結(jié)構(gòu)可被示為具有通過(guò)該數(shù)據(jù)結(jié)構(gòu)中的位置而相關(guān)的字段。這些關(guān)系同樣可以通過(guò)對(duì)各字段的存儲(chǔ)分配傳達(dá)各字段之間的關(guān)系的計(jì)算機(jī)可讀介質(zhì)中的位置來(lái)得到���。然而���,可以使用任何合適的機(jī)制來(lái)在數(shù)據(jù)結(jié)構(gòu)的各字段中的信息之間建立關(guān)系,包括通過(guò)使用指針�、標(biāo)簽、 或在數(shù)據(jù)元素之間建立關(guān)系的其他機(jī)制��。本發(fā)明的各個(gè)方面可單獨(dú)�����、組合或以未在前述實(shí)施例中具體討論的各種安排來(lái)使用�����,從而并不將其應(yīng)用限于前述描述中所述或附圖中所示的組件的細(xì)節(jié)和安排���。例如,可使用任何方式將一個(gè)實(shí)施例中描述的各方面與其他實(shí)施例中描述的各方面組合����。同樣�,本發(fā)明可被具體化為方法�����,其示例已經(jīng)提供�����。作為該方法的一部分所執(zhí)行的動(dòng)作可以按任何合適的方式來(lái)排序����。因此,可以構(gòu)建各個(gè)實(shí)施例��,其中各動(dòng)作以與所示的次序所不同的次序執(zhí)行����,不同的次序可包括同時(shí)執(zhí)行某些動(dòng)作,即使這些動(dòng)作在各說(shuō)明性實(shí)施例中被示為順序動(dòng)作�����。在權(quán)利要求書中使用諸如“第一”�����、“第二”、“第三”等序數(shù)詞來(lái)修飾權(quán)利要求元素本身并不意味著一個(gè)權(quán)利要求元素較之另一個(gè)權(quán)利要求元素的優(yōu)先級(jí)���、先后次序或順序�、 或者方法的各動(dòng)作執(zhí)行的時(shí)間順序�,而僅用作將具有某一名字的一個(gè)權(quán)利要求元素與(若不是使用序數(shù)詞則)具有同一名字的另一元素區(qū)分開的標(biāo)簽以區(qū)分各權(quán)利要求元素。同樣���,此處所使用的短語(yǔ)和術(shù)語(yǔ)是出于描述的目的而不應(yīng)被認(rèn)為是限制����。此處對(duì) “包括”��、“包含”��、或“具有”�����、“含有”��、“涉及”及其變型的使用旨在包括其后所列的項(xiàng)目及其等效物以及其他項(xiàng)目。
權(quán)利要求
1.一種當(dāng)客戶機(jī)設(shè)備(214��、234)連接到包括限定網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)防火墻的網(wǎng)絡(luò)(200) 時(shí)操作所述客戶機(jī)設(shè)備(214����、234)的方法����,所述客戶機(jī)設(shè)備(214、234)支持至少第一(726) 和第二(728)行為�����,所述方法包括將請(qǐng)求定向(71 到網(wǎng)絡(luò)設(shè)備(352)�����,所述網(wǎng)絡(luò)設(shè)備(35 連接到所述網(wǎng)絡(luò)(200)并且被適配成提供對(duì)所述請(qǐng)求的至少第一響應(yīng)(720)或與所述第一響應(yīng)(720)不同的第二響應(yīng) (730)�,當(dāng)所述請(qǐng)求從連接到所述網(wǎng)絡(luò)(200)的網(wǎng)絡(luò)防火墻內(nèi)的客戶機(jī)設(shè)備(214)接收時(shí)提供所述第一響應(yīng),并且當(dāng)所述請(qǐng)求從連接到所述網(wǎng)絡(luò)防火墻外部的網(wǎng)絡(luò)O00)的客戶機(jī)設(shè)備(234)接收時(shí)提供所述第二響應(yīng)(730)���;在檢測(cè)到所述第一響應(yīng)時(shí)����,將所述客戶機(jī)設(shè)備(214)配置成根據(jù)所述第一行為(726) 來(lái)操作;以及在檢測(cè)到所述第二響應(yīng)時(shí)�,將所述客戶機(jī)設(shè)備(214)配置成根據(jù)所述第二行為(728) 來(lái)操作。
2.如權(quán)利要求1所述的方法�,其特征在于當(dāng)所述客戶機(jī)設(shè)備(214)接收到認(rèn)證所述網(wǎng)絡(luò)設(shè)備(352)的信息時(shí)檢測(cè)所述第一響應(yīng);以及當(dāng)所述客戶機(jī)設(shè)備(234)在間隔期間未接收到認(rèn)證所述網(wǎng)絡(luò)設(shè)備(35 的信息時(shí)檢測(cè)所述第二響應(yīng)�����。
3.如權(quán)利要求2所述的方法����,其特征在于,還包括在所述網(wǎng)絡(luò)設(shè)備(352)上從所述客戶機(jī)設(shè)備(214)接收(716)請(qǐng)求���,所述請(qǐng)求包括所述客戶機(jī)設(shè)備(214)的地址����;當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識(shí)物理地位于所述網(wǎng)絡(luò)O00)上的位置或通過(guò)VPN 連接到所述網(wǎng)絡(luò)的位置時(shí)���,用所述第一響應(yīng)來(lái)作出響應(yīng)�����;以及當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識(shí)不在所述網(wǎng)絡(luò)防火墻之內(nèi)的位置時(shí)���,用所述第二響應(yīng)來(lái)作出響應(yīng)�。
4.如權(quán)利要求2所述的方法��,其特征在于�,還包括在所述網(wǎng)絡(luò)設(shè)備(352)上從所述客戶機(jī)設(shè)備(214)接收(716)請(qǐng)求��,所述請(qǐng)求包括所述客戶機(jī)設(shè)備014)的地址�;當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識(shí)物理地位于所述網(wǎng)絡(luò)(200)上的位置時(shí),用所述第一響應(yīng)來(lái)作出響應(yīng)����;以及當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識(shí)未物理地位于所述網(wǎng)絡(luò)(200)上的位置或通過(guò) VPN連接到所述網(wǎng)絡(luò)的位置時(shí),用所述第二響應(yīng)來(lái)作出響應(yīng)��。
5.如權(quán)利要求2所述的方法�����,其特征在于��,所述網(wǎng)絡(luò)設(shè)備(35 包括第一網(wǎng)絡(luò)設(shè)備 (352)并且所述網(wǎng)絡(luò)(200)包括第二網(wǎng)絡(luò)設(shè)備042�、652),所述方法還包括在所述第二網(wǎng)絡(luò)設(shè)備上從所述客戶機(jī)設(shè)備(214)接收請(qǐng)求��,所述請(qǐng)求包括所述客戶機(jī)設(shè)備014)的地址; 當(dāng)所述客戶機(jī)設(shè)備的地址標(biāo)識(shí)物理地或虛擬地位于所述網(wǎng)絡(luò)(200)上的位置時(shí)����,將所述請(qǐng)求提供給所述第一網(wǎng)絡(luò)設(shè)備(352);以及當(dāng)所述客戶機(jī)設(shè)備(234)的地址標(biāo)識(shí)未在所述網(wǎng)絡(luò)防火墻之內(nèi)的位置時(shí)����,阻塞所述請(qǐng)求到達(dá)所述第一網(wǎng)絡(luò)設(shè)備(352)。
6.如權(quán)利要求3所述的方法�,其特征在于,所述網(wǎng)絡(luò)設(shè)備(352)包括第一網(wǎng)絡(luò)設(shè)備 (352)并且所述網(wǎng)絡(luò)(200)包括第二網(wǎng)絡(luò)設(shè)備(542)��,所述方法還包括在所述第二網(wǎng)絡(luò)設(shè)備( 上從所述第一網(wǎng)絡(luò)設(shè)備(35 接收對(duì)所述請(qǐng)求的響應(yīng)�,所述響應(yīng)包括所述客戶機(jī)設(shè)備 (214)的地址;當(dāng)所述客戶機(jī)設(shè)備(214)的地址標(biāo)識(shí)物理地位于所述網(wǎng)絡(luò)(200)上的位置時(shí)���,將所述響應(yīng)提供給所述客戶機(jī)設(shè)備014)��;以及當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識(shí)未物理地位于所述網(wǎng)絡(luò)(200)上的位置時(shí)�,阻塞所述響應(yīng)到達(dá)所述客戶機(jī)設(shè)備014)����。
7.如權(quán)利要求1所述的方法,其特征在于�,所述網(wǎng)絡(luò)(200)包括具有企業(yè)地址前綴的企業(yè)網(wǎng)絡(luò)(200)��,并且所述方法還包括當(dāng)所述請(qǐng)求由包括所述企業(yè)地址前綴的源地址來(lái)標(biāo)識(shí)時(shí)�����,作出所述第一響應(yīng)�;以及當(dāng)所述請(qǐng)求由不具有所述企業(yè)地址前綴的源地址來(lái)標(biāo)識(shí)時(shí)����,作出所述第二響應(yīng)。
8.如權(quán)利要求7所述的方法�����,其特征在于�����,配置所述客戶機(jī)設(shè)備(214�����、234)根據(jù)所述第一行為(726)來(lái)操作包括用與所述客戶機(jī)設(shè)備(214���、234)被配置成根據(jù)所述第二行為 (728)來(lái)操作的情況相比較不受限的策略來(lái)配置防火墻�����。
9.一種適配成連接到網(wǎng)絡(luò)O00)的客戶機(jī)設(shè)備214�����,所述客戶機(jī)設(shè)備(214)包括 計(jì)算機(jī)存儲(chǔ)介質(zhì)�����,包括影響所述客戶機(jī)設(shè)備(214)上的操作的組件����,所述組件可以在至少第一狀態(tài)和第二狀態(tài)中操作�;計(jì)算機(jī)可執(zhí)行指令,當(dāng)所述指令被執(zhí)行時(shí)執(zhí)行一種方法���,所述方法包括 將請(qǐng)求定向(71 到網(wǎng)絡(luò)設(shè)備(352)��,所述請(qǐng)求包括含有源地址部分的源地址�����,所述網(wǎng)絡(luò)設(shè)備(35 被適配成提供至少第一響應(yīng)和第二響應(yīng)(730)��,當(dāng)所述源地址部分匹配標(biāo)識(shí)所述網(wǎng)絡(luò)的網(wǎng)絡(luò)地址部分時(shí)提供對(duì)所述請(qǐng)求的第一響應(yīng)(720)����,并且當(dāng)所述源地址部分不匹配所述網(wǎng)絡(luò)地址部分時(shí)提供對(duì)所述請(qǐng)求的第二響應(yīng)(730);在檢測(cè)到所述第一響應(yīng)時(shí)�����,將所述組件配置成在所述第一狀態(tài)(7 )中操作���;以及在檢測(cè)到所述第二響應(yīng)時(shí)�����,將所述組件配置成在所述第二狀態(tài)(7 )中操作。
10.如權(quán)利要求9所述的客戶機(jī)設(shè)備014)����,其特征在于,所述組件包括防火墻�。
11.如權(quán)利要求9所述的客戶機(jī)設(shè)備014),其特征在于��,所述計(jì)算機(jī)存儲(chǔ)介質(zhì)還包括被適配成存儲(chǔ)所述網(wǎng)絡(luò)設(shè)備(352)的標(biāo)識(shí)的域����。
12.如權(quán)利要求11所述的客戶機(jī)設(shè)備014)�����,其特征在于所述計(jì)算機(jī)存儲(chǔ)介質(zhì)還包括被適配成存儲(chǔ)所述網(wǎng)絡(luò)設(shè)備(352)的認(rèn)證信息的至少一個(gè)域���;以及由所述計(jì)算機(jī)可執(zhí)行指令執(zhí)行的所述方法還包括通過(guò)使用所述認(rèn)證信息來(lái)試圖認(rèn)證響應(yīng)由所述網(wǎng)絡(luò)設(shè)備(352)生成而查明(724)所述響應(yīng)是否是所述第一響應(yīng)。
13.如權(quán)利要求9所述的客戶機(jī)設(shè)備014����、234),其特征在于����,所述網(wǎng)絡(luò)設(shè)備(352)包括服務(wù)器(250)并且所述第一響應(yīng)包括HTTPS頁(yè)面。
14.如權(quán)利要求9所述的客戶機(jī)設(shè)備014�����、234)���,其特征在于 還包括被適配成在發(fā)送所述請(qǐng)求之后指示時(shí)間的計(jì)時(shí)組件��;以及其中由所述計(jì)算機(jī)可執(zhí)行指令執(zhí)行的所述方法還包括當(dāng)發(fā)送所述請(qǐng)求之后的所述時(shí)間內(nèi)未接收到所述第一響應(yīng)(720)時(shí)檢測(cè)(72 所述第二響應(yīng)(730)�����。
15.如權(quán)利要求9所述的客戶機(jī)設(shè)備014��、234)�����,其特征在于�,還包括用于當(dāng)所述客戶機(jī)設(shè)備直接連接到所述網(wǎng)絡(luò)并且當(dāng)所述客戶機(jī)設(shè)備間接連接到所述網(wǎng)絡(luò)時(shí)訪問(wèn)企業(yè)網(wǎng)絡(luò) 200的組件。
全文摘要
一種在連接到網(wǎng)絡(luò)防火墻之后的專用網(wǎng)絡(luò)時(shí)支持和在網(wǎng)絡(luò)防火墻外部時(shí)不同的行為的客戶機(jī)計(jì)算機(jī)����。客戶機(jī)計(jì)算機(jī)試圖與網(wǎng)絡(luò)上的設(shè)備進(jìn)行通信���?;谠擁憫?yīng)����,客戶機(jī)計(jì)算機(jī)可以確定它在網(wǎng)絡(luò)防火墻之后����,并用較不受限的安全或適用于當(dāng)客戶機(jī)直接連接到網(wǎng)絡(luò)時(shí)的其他參數(shù)的設(shè)置來(lái)操作���。或者�����,客戶機(jī)計(jì)算機(jī)可以確定它通過(guò)外部網(wǎng)絡(luò)間接地連接到網(wǎng)絡(luò)��,并因此應(yīng)該用較受限制的安全或更適用于在該網(wǎng)絡(luò)位置使用的其他參數(shù)的設(shè)置來(lái)操作��。即使遠(yuǎn)程客戶機(jī)計(jì)算機(jī)具有到允許其與域控制器進(jìn)行認(rèn)證的網(wǎng)絡(luò)的直接連接����,所述方法仍然工作。
文檔編號(hào)G06F21/20GK102197400SQ200980142641
公開日2011年9月21日 申請(qǐng)日期2009年10月15日 優(yōu)先權(quán)日2008年10月24日
發(fā)明者A·K·布杜里, B·比格勒, D·C·布魯伊斯, D·塞勒, G·D·奎利亞爾, R·M·特蕾西, S·R·加塔, S·羅伯茨 申請(qǐng)人:微軟公司