專利名稱::資源訪問過濾系統(tǒng)和方法
技術(shù)領(lǐng)域:
:本發(fā)明總的來說涉及一種過濾系統(tǒng),尤其涉及一種計(jì)算機(jī)實(shí)現(xiàn)的資源訪問過濾系統(tǒng)和方法����。
背景技術(shù):
:已知過濾內(nèi)容或者電子郵件的系統(tǒng)和軟件。例如�����,廣為人知的防火墻和代理服務(wù)器進(jìn)行一些這種功能���,以保護(hù)企業(yè)內(nèi)部互聯(lián)網(wǎng)等內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)免受黑客����、惡意病毒和蠕蟲病毒的攻擊。還存在眾所周知的允許防火墻/代理服務(wù)器過濾未授權(quán)的因特網(wǎng)訪問或者使用戶不會接收到那些不想要的電子郵件消息的系統(tǒng)�����。典型地����,這些系統(tǒng)通過用作企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)的服務(wù)器進(jìn)行工作。該服務(wù)器典型地具有一些允許該服務(wù)器對輸入和輸出流量進(jìn)行過濾操作的(軟件或者硬件)功能��。遠(yuǎn)程工作跨許多領(lǐng)域和在許多行業(yè)中變得越來越普及�。從企業(yè)網(wǎng)絡(luò)或LAN遠(yuǎn)程地使用遠(yuǎn)程計(jì)算設(shè)備。在一些系統(tǒng)中�,遠(yuǎn)程設(shè)備可以進(jìn)行其自身的過濾,但是這樣會更難于實(shí)施企業(yè)范圍內(nèi)的許可使用策略(acceptableusagepo1icy�,AUP),并且該設(shè)備需要另外的處理能力以過濾其自身的資源訪問�����。典型地���,遠(yuǎn)程設(shè)備的用戶可以從計(jì)算機(jī)網(wǎng)絡(luò)訪問電子郵件消息��、來自FTP或WWW網(wǎng)站的各種不同的文件�、以及來自新聞組等的新聞稿(posting)等資源��。因此���,希望提供一種過濾遠(yuǎn)程設(shè)備的從計(jì)算機(jī)網(wǎng)絡(luò)訪問資源的請求的系統(tǒng)����。因此���,希望提供一種實(shí)現(xiàn)上述目標(biāo)的過濾系統(tǒng)和方法�,且為此目的做出本發(fā)明�。
發(fā)明內(nèi)容根據(jù)本發(fā)明,提供一種如所附權(quán)利要求所述的裝置和方法���。從從屬權(quán)利要求顯然可見本發(fā)明的優(yōu)選特征�����,以下對其進(jìn)行說明��。提供一種過濾系統(tǒng)和方法�����,該系統(tǒng)和方法允許監(jiān)控并過濾遠(yuǎn)程設(shè)備的資源訪問����。優(yōu)選系統(tǒng)允許公司將其企業(yè)許可使用策略擴(kuò)展到辦公室墻壁之外。特別地�,該系統(tǒng)允許企業(yè)管理如移動或遠(yuǎn)程雇員以及在家工作的雇員等所使用的遠(yuǎn)程設(shè)備訪問的資源。本發(fā)明還為該系統(tǒng)提供計(jì)算機(jī)和客戶端����。在優(yōu)選實(shí)施例中,該系統(tǒng)包括安裝在與計(jì)算機(jī)進(jìn)行通信的遠(yuǎn)程設(shè)備上的客戶端�����。該遠(yuǎn)程設(shè)備與計(jì)算機(jī)進(jìn)行遠(yuǎn)程通信��,例如該遠(yuǎn)程設(shè)備不是同一個局域網(wǎng)中的一部分����。典型地,該遠(yuǎn)程設(shè)備通過因特網(wǎng)等全球網(wǎng)或廣域網(wǎng)進(jìn)行通信。服務(wù)器計(jì)算機(jī)監(jiān)控并且過濾該遠(yuǎn)程設(shè)備的資源訪問請求���??蛻舳司哂惺占嘘P(guān)該設(shè)備訪問資源的請求的信息的模塊和將所收集的信息傳送給計(jì)算機(jī)的模塊����。該計(jì)算機(jī)具有基于所收集的信息對設(shè)備的資源訪問進(jìn)行分類的模塊和將資源訪問決策實(shí)時傳送給客戶端的模塊。然后�,客戶端基于計(jì)算機(jī)的資源訪問決策來控制所述設(shè)備對資源的訪問。在特別優(yōu)選實(shí)施例中���,資源訪問決策是“允許”或者“阻止”決策中的一個。也就是說�����,該決策或者允許所述設(shè)備訪問所請求的資源���,或者阻止所述設(shè)備訪問所請求的資源�。優(yōu)點(diǎn)是�,客戶端需要最小的處理能力和存儲器,并且增加了可以支持過濾系統(tǒng)的設(shè)備的數(shù)量和類型�����。存在客戶端設(shè)備不能與計(jì)算機(jī)連接的情況。當(dāng)設(shè)備失去與過濾系統(tǒng)的服務(wù)器的連接時��,離線功能允許客戶端根據(jù)預(yù)定策略繼續(xù)過濾該設(shè)備的資源訪問�。理論上,該預(yù)定策略在服務(wù)器上被集中管理����,且服務(wù)器設(shè)置離線過濾功能的模式。在一個模式下�����,客戶端可允許所有訪問請求�,且生成這些資源訪問的日志。一旦客戶端與服務(wù)器重新建立連接���,就將該日志傳送回服務(wù)器�。許多設(shè)備可以本地和遠(yuǎn)程地使用���。也就是說��,例如當(dāng)用戶在公司辦公室里時����,在局域網(wǎng)內(nèi)本地地使用設(shè)備。在其它時間���,例如當(dāng)用戶正在旅游或者在家工作時�,遠(yuǎn)程地使用同樣的設(shè)備����。存在有效地管理這兩種環(huán)境下的資源訪問請求的過濾的需求。在優(yōu)選實(shí)施例中�,該系統(tǒng)包括檢測是否通過企業(yè)網(wǎng)絡(luò)傳送所請求的資源并且禁止對正通過企業(yè)網(wǎng)絡(luò)傳送的所請求的資源的過濾的模塊。優(yōu)選非過濾端口過濾功能允許系統(tǒng)對沒有被明確標(biāo)識為過濾端口的TCP端口指定過濾策略����,從而甚至可以以某種方式過濾非過濾端口���。同樣�,優(yōu)選系統(tǒng)允許管理員對各客戶端在高靈敏度級別�����、中靈敏度級別���、低靈敏度級別或者自動靈敏度級別之間調(diào)整過濾靈敏度級別��?���?梢岳鐚哂斜銛y式電話的GPRS連接等低速因特網(wǎng)連接的設(shè)備調(diào)節(jié)該過濾靈敏度級別。該系統(tǒng)可提供允許系統(tǒng)生成關(guān)于連接到服務(wù)器的各設(shè)備或者所有設(shè)備的資源訪問的報(bào)告的監(jiān)控能力����。例如,由于公司更有能力控制在工作時間期間對不合適網(wǎng)站的訪問�����,優(yōu)選系統(tǒng)可以減小公司的法律責(zé)任�����。由于可以將工作時間期間的任何因特網(wǎng)訪問限制為工作相關(guān)的網(wǎng)站��,因此該系統(tǒng)可以提高雇員生產(chǎn)率����。該系統(tǒng)還可以提供網(wǎng)絡(luò)安全,因?yàn)樵撓到y(tǒng)能夠保護(hù)免受可通過使用外部調(diào)制解調(diào)器的雇員或者因特網(wǎng)服務(wù)提供商而進(jìn)入工作地點(diǎn)的病毒和惡意內(nèi)容的攻擊���。為了更好地理解本發(fā)明��,以及示出如何實(shí)施本發(fā)明的實(shí)施例�����,現(xiàn)在作為例子參考附圖�,在附圖中圖1是示出根據(jù)本發(fā)明的設(shè)備資源訪問過濾和監(jiān)控系統(tǒng)的例子的圖;圖2是更詳細(xì)示出圖1所示的設(shè)備資源訪問過濾和監(jiān)控系統(tǒng)的圖�;圖3是進(jìn)一步詳細(xì)示出設(shè)備資源訪問過濾和監(jiān)控系統(tǒng)的客戶端/服務(wù)器實(shí)施例的圖,示出設(shè)備和服務(wù)器的更多細(xì)節(jié)����;圖4是更詳細(xì)示出圖3的系統(tǒng)的服務(wù)器部分的圖;圖5是更詳細(xì)示出圖3的系統(tǒng)的客戶端部分的圖����;圖6A和6B示出安裝根據(jù)本發(fā)明的設(shè)備資源訪問過濾和監(jiān)控系統(tǒng)的兩個不同例子;圖7示出系統(tǒng)的客戶端管理員模塊的典型實(shí)現(xiàn)的用戶界面的例子�;以及圖8示出系統(tǒng)的規(guī)則管理員模塊的實(shí)現(xiàn)的用戶界面的例子���。具體實(shí)施例方式本發(fā)明尤其適用于基于客戶端/服務(wù)器的計(jì)算機(jī)實(shí)現(xiàn)的���、基于軟件的設(shè)備資源訪問過濾和監(jiān)控系統(tǒng)��,并且以此為背景來說明本發(fā)明����。然而����,應(yīng)該理解,因?yàn)榭梢允褂酶鞣N不同的計(jì)算機(jī)結(jié)構(gòu)并且可以通過各種不同的遠(yuǎn)程設(shè)備來實(shí)現(xiàn)該系統(tǒng)���,所以根據(jù)本發(fā)明的系統(tǒng)和方法具有更大的實(shí)用性����?����?梢允褂萌魏斡?jì)算設(shè)備來實(shí)現(xiàn)該系統(tǒng)��,其中�����,所述計(jì)算設(shè)備至少具有處理器��、存儲器和輸入/輸出設(shè)備,其足夠的計(jì)算能力使得該計(jì)算設(shè)備能夠與該系統(tǒng)相互作用并且執(zhí)行在此說明的基本過濾功能����,因?yàn)楦骺蛻舳瞬灰欢軌驁?zhí)行以下說明的所有功能?����?梢砸攒浖蛘哂布韺?shí)現(xiàn)該系統(tǒng)��。在軟件實(shí)施例中��,該系統(tǒng)包括服務(wù)器中的一個或者多個軟件模塊以及客戶端中的一個或者多個模塊���,其中各模塊可進(jìn)一步包括由服務(wù)器或者客戶端的處理器執(zhí)行的多行計(jì)算機(jī)代碼?�,F(xiàn)在�����,說明遠(yuǎn)程設(shè)備監(jiān)控系統(tǒng)的實(shí)施例�����。圖1是示出根據(jù)本發(fā)明的設(shè)備資源訪問過濾系統(tǒng)30的例子的圖���。系統(tǒng)30允許監(jiān)控通過該實(shí)施例中的因特網(wǎng)、廣域網(wǎng)(wideareanetwork�����,WAN)�����、局域網(wǎng)(localareanetwork����,LAN)、城域網(wǎng)(metropolitanareanetwork���,MAN)或者萬維網(wǎng)等計(jì)算機(jī)網(wǎng)絡(luò)36連接到該實(shí)施例中具有服務(wù)器軟件34的計(jì)算機(jī)等遠(yuǎn)程計(jì)算機(jī)設(shè)備33的設(shè)備32(具有被認(rèn)為是客戶端48的軟件代碼)�����,并且允許過濾該設(shè)備對站點(diǎn)38上的資源的訪問���。站點(diǎn)38是由設(shè)備32的用戶所請求的資源的源。更詳細(xì)地說����,服務(wù)器34能夠遠(yuǎn)程地過濾(控制和/或分析)該設(shè)備對資源的訪問�����。根據(jù)本發(fā)明�����,實(shí)現(xiàn)設(shè)備32的這種遠(yuǎn)程監(jiān)控的功能在設(shè)備32和服務(wù)器34之間分離�����。這減小了設(shè)備32和服務(wù)器34之間的網(wǎng)絡(luò)流量��,并允許集中控制和監(jiān)控對包括電子郵件�、網(wǎng)頁�、文件傳輸協(xié)議(filetransferprotocol,F(xiàn)TP)站點(diǎn)�����、新聞組等各種資源的訪問����。根據(jù)本發(fā)明����,服務(wù)器34還可以接收與對資源試圖進(jìn)行的訪問有關(guān)的數(shù)據(jù)�����,以判斷是否允許該設(shè)備從與對站點(diǎn)38的訪問請求有關(guān)的地址接收內(nèi)容���、下載數(shù)據(jù)等。該設(shè)備和服務(wù)器可以使用基于私有協(xié)議(proprietaryprotocol)的特定協(xié)議相互進(jìn)行通信�����。該系統(tǒng)提供計(jì)算機(jī)網(wǎng)絡(luò)訪問的實(shí)時過濾��,從而優(yōu)選實(shí)施例中的服務(wù)器34等遠(yuǎn)程計(jì)算機(jī)33用來進(jìn)行和/或調(diào)整過濾決策���。由于期望客戶端48在各種遠(yuǎn)程網(wǎng)絡(luò)(企業(yè)對該遠(yuǎn)程網(wǎng)絡(luò)可能幾乎沒有控制或沒有控制)中工作���,因而使該系統(tǒng)的協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)的協(xié)議盡可能地兼容,使得客戶端48可以在該遠(yuǎn)程網(wǎng)絡(luò)上工作�。例如,協(xié)議與防火墻和代理機(jī)兼容。該協(xié)議處理并且使各種不同的設(shè)備與不同的數(shù)據(jù)格式和能力相適應(yīng)�,從而該協(xié)議對不同的設(shè)備提供字符串和數(shù)字的標(biāo)準(zhǔn)數(shù)據(jù)格式。該協(xié)議還在大小上緊湊�����,因?yàn)榭赡苄枰?wù)器處理大量使用有限帶寬的客戶端���,而且客戶端必須使用到服務(wù)器的低速因特網(wǎng)連接���。根據(jù)本發(fā)明的優(yōu)選實(shí)施例,該協(xié)議利用使用HTTP封裝的TCP端口80上的超文本傳輸協(xié)議(hyPertexttransferprotocol�,HTTP),以提高與多種網(wǎng)絡(luò)的兼容性���。對于允許訪問因特網(wǎng)的那些網(wǎng)絡(luò)�����,最基本的訪問是涉及通過端口80的輸出連接請求的Web訪問�����,從而端口80典型地可用且用于該協(xié)議�。一些網(wǎng)絡(luò)僅允許經(jīng)由預(yù)期HTTP類型請求和應(yīng)答的代理服務(wù)器的因特網(wǎng)Web訪問,從而將HTTP協(xié)議用于該系統(tǒng)�。而且,一些防火墻可以檢查因特網(wǎng)訪問����,并且當(dāng)端口80用于除HTTP之外的協(xié)議時發(fā)出警報(bào),從而該系統(tǒng)的協(xié)議使用HTTP���。根據(jù)本發(fā)明,該系統(tǒng)可以將HTTP協(xié)議用于客戶端48的請求和服務(wù)器34對客戶端返回的應(yīng)答�����。對于HTTP�����,僅客戶端48可以發(fā)起通信��,且客戶端48通過進(jìn)行眾所周知的HTTPPOST以識別客戶端正與任何參數(shù)數(shù)據(jù)一起請求哪種操作而發(fā)起通信����。該請求的格式的例子如下POSThttp://[Nomad_Module_Path]?[Operation_Code]HTTP/1.1\r\nHost:[Host]\r\nContent-Length:[Size_of_Encoded_Data]\r\nContent-Type:application/x-www-form-urlencoded\r\n\r\n[Encoded_Data]對于從服務(wù)器到客戶端的應(yīng)答���,協(xié)議再次模擬HTTP協(xié)議���,從而返回的數(shù)據(jù)看起來是網(wǎng)頁��。該應(yīng)答的格式的例子如下Content-Type:text/html\r\n<html><head><title>SMF</title></head><body></body></html>協(xié)議的操作代碼(參見上述請求格式例子中的[Operation_Code]變量)指定可以使用系統(tǒng)協(xié)議請求的各種操作��。[EncodedData]將所收集的信息從客戶端48提供給服務(wù)器34并且從服務(wù)器34向遠(yuǎn)程設(shè)備32上的客戶端48返回資源訪問決策���。返回圖1,設(shè)備32可以是具有足夠的計(jì)算資源來進(jìn)行以下詳細(xì)說明的過濾功能的任何計(jì)算設(shè)備���,從而設(shè)備32必須至少具有處理器��、一些存儲器和一些用于從計(jì)算機(jī)網(wǎng)絡(luò)訪問資源的機(jī)構(gòu)��。例如��,設(shè)備32可以是具有足夠的計(jì)算資源來完成計(jì)算機(jī)網(wǎng)絡(luò)訪問等的便攜式電話����、個人數(shù)字助理���、個人計(jì)算機(jī)���、膝上型計(jì)算機(jī)��、掌上型計(jì)算機(jī)或者器具���。因此,該設(shè)備可包括無線設(shè)備����、便攜式電話設(shè)備、無線電子郵件設(shè)備�、無線個人數(shù)字助理設(shè)備�����,例如Palm設(shè)備����、Treo設(shè)備、RIMBlackberry設(shè)備����,還可以包括有線個人計(jì)算機(jī)、有線膝上型計(jì)算機(jī)或者無線連接的計(jì)算設(shè)備�。根據(jù)本發(fā)明��,該系統(tǒng)可以進(jìn)行各種過濾功能����,且各設(shè)備不一定必須能夠支持此處所述的所有過濾功能��。例如����,便攜式電話不可能具有足夠的存儲器以存儲“允許和日志(AllowandLog)”的離線模式所需的加密URL列表。因此��,期望警告該系統(tǒng)正要進(jìn)行過濾的各設(shè)備的過濾能力���。根據(jù)本發(fā)明����,能力掩碼(capabilitymask)可用于該目的����。特別地,當(dāng)設(shè)備32登錄到該系統(tǒng)時����,該設(shè)備將其能力掩碼傳送給服務(wù)器��,該能力掩碼用來通知服務(wù)器該設(shè)備基于特定設(shè)備及其特性可以和/或不可以提供的功能�����。站點(diǎn)38可存儲能通過計(jì)算機(jī)網(wǎng)絡(luò)訪問的任何資源�,例如電子郵件�、下載的數(shù)據(jù)(PDF文件、文本文件���、word文檔�、HTML文件�����、zip文件等)�����、FTP站點(diǎn)或者TELNET服務(wù)器�。盡管為了說明示出客戶端/服務(wù)器結(jié)構(gòu)����,然而本發(fā)明不限于任何特定系統(tǒng)結(jié)構(gòu)(以及系統(tǒng)內(nèi)計(jì)算機(jī)的關(guān)系)��。例如����,可以使用遠(yuǎn)程計(jì)算機(jī)34的功能被分布的對等結(jié)構(gòu)來實(shí)現(xiàn)該系統(tǒng)���。而且�����,由于可將該系統(tǒng)配置成處理任何類型的資源或者任何新資源或者新類型的資源���,因此本發(fā)明不限于任何特定類型的資源。圖2是更詳細(xì)示出圖1所示的系統(tǒng)30的例子的圖���。在該例子中�,設(shè)備32可以是能夠訪問站點(diǎn)38(參見圖1)上的資源并被作為該例子中的典型服務(wù)器計(jì)算機(jī)的計(jì)算機(jī)34監(jiān)控的個人計(jì)算機(jī)�。該設(shè)備可包括以公知的方式彼此連接的一個或多個處理器40、永久存儲設(shè)備42和存儲器44���。永久存儲設(shè)備可包括允許當(dāng)設(shè)備32斷電時存儲數(shù)據(jù)和指令的例如閃存�、硬盤驅(qū)動器����、可重寫光盤驅(qū)動器��、可移動介質(zhì)驅(qū)動器或者其它存儲機(jī)構(gòu)等非易失性存儲器����。存儲器44可以是例如當(dāng)給該設(shè)備供電時暫時存儲由處理器40執(zhí)行的數(shù)據(jù)和指令的SRAM�����、DRAM或者其它結(jié)構(gòu)�����。設(shè)備32還可包括用于訪問站點(diǎn)38和服務(wù)器34的一些機(jī)構(gòu)(未示出)���,例如有線連接(例如線纜調(diào)制解調(diào)器和線纜)或者無線連接(例如802.11鏈路���、蜂窩鏈路或者GPRS鏈路)�����。設(shè)備32還可包括在該設(shè)備的工作期間位于存儲器44內(nèi)且由已知的處理器40執(zhí)行的操作系統(tǒng)46�����。本發(fā)明不限于任何特定類型的操作系統(tǒng),且可以通過各種不同的操作系統(tǒng)來實(shí)現(xiàn)�。為了實(shí)現(xiàn)根據(jù)本發(fā)明的過濾和監(jiān)控系統(tǒng),設(shè)備32還可包括存儲在存儲器44內(nèi)且由處理器40執(zhí)行以進(jìn)行以下更詳細(xì)說明的過濾系統(tǒng)的客戶端功能的客戶端48(在該例子中作為包含多行計(jì)算機(jī)指令和數(shù)據(jù)的軟件應(yīng)用程序/軟件模塊示出)�����。在本發(fā)明的優(yōu)選實(shí)施例中���,客戶端還包括一個或者多個具有多行計(jì)算機(jī)代碼的軟件模塊�����,其中每個模塊執(zhí)行過濾系統(tǒng)的不同功能且模塊的組合實(shí)現(xiàn)客戶端功能��?����?蛻舳?8還可以作為插入設(shè)備32中的插入式介質(zhì)卡等混合硬件/軟件設(shè)備來實(shí)現(xiàn)����,或者作為將客戶端嵌入ASIC中的ASIC等硬件設(shè)備來實(shí)現(xiàn)。在本發(fā)明的一個實(shí)施例中��,當(dāng)設(shè)備32的用戶試圖訪問圖1所示的站點(diǎn)38上的資源等遠(yuǎn)程資源時���,客戶端48攔截該訪問并且收集關(guān)于該訪問的數(shù)據(jù)�����,然后將該訪問傳送到服務(wù)器34�����。在本發(fā)明的另一實(shí)施例中�,客戶端48還可收集關(guān)于資源訪問的數(shù)據(jù)�,然后自己做出關(guān)于訪問請求的判斷?��?梢詫μ囟ㄓ脩舳ㄖ聘饔脩?和/或各設(shè)備)的訪問級別���。服務(wù)器34還可包括如眾所周知的那樣互相連接在一起的一個或者多個處理器50、永久存儲設(shè)備52和存儲器54����。該服務(wù)器還可包括存儲與根據(jù)本發(fā)明的過濾系統(tǒng)有關(guān)的數(shù)據(jù)和軟件代碼的數(shù)據(jù)庫56。該服務(wù)器還可包括已知的操作系統(tǒng)58以及在該例子中作為位于存儲器54內(nèi)的軟件示出的過濾/分類模塊60�,在本發(fā)明的一個實(shí)施例中該過濾/分類模塊60用來處理資源訪問請求并且判斷設(shè)備32是否可以訪問站點(diǎn)38上的資源。模塊60(優(yōu)選地包括一個或者多個軟件模塊)實(shí)現(xiàn)包括與過濾系統(tǒng)有關(guān)的管理功能的過濾系統(tǒng)的不同功能�,并且模塊60可以與數(shù)據(jù)庫56相互作用以請求并且將數(shù)據(jù)存儲在與過濾動作有關(guān)的數(shù)據(jù)庫中。為了唯一地識別各設(shè)備32���,對各設(shè)備分配唯一的標(biāo)識符���,該標(biāo)識符將結(jié)構(gòu)和過濾請求連接到特定設(shè)備,并且允許將特定設(shè)備的過濾日志存儲到數(shù)據(jù)庫中����。另外,唯一標(biāo)識符和各設(shè)備32到服務(wù)器的初始登錄的結(jié)合減小了當(dāng)服務(wù)器34正在進(jìn)行過濾決策時�����,在各資源訪問請求期間在設(shè)備32和計(jì)算機(jī)34之間傳輸?shù)臄?shù)據(jù)量�����。在本發(fā)明的該實(shí)施例中�����,過濾系統(tǒng)允許實(shí)時地過濾設(shè)備對遠(yuǎn)程資源的訪問,其中服務(wù)器用來完成過濾決策����。也就是說,服務(wù)器進(jìn)行系統(tǒng)的大部分處理和存儲工作負(fù)荷�,需要客戶端做的工作很少。在本發(fā)明的另一實(shí)施例中����,設(shè)備可以進(jìn)行其自身的過濾決策。特別地�����,當(dāng)服務(wù)器對設(shè)備不可用時�����,客戶端以服務(wù)器指定的離線模式工作�����,例如客戶端將訪問記入日志��,然后當(dāng)重新建立連接時將日志上載到服務(wù)器����。圖3是進(jìn)一步詳細(xì)示出設(shè)備資源訪問過濾和監(jiān)控系統(tǒng)的客戶端/服務(wù)器實(shí)施例的圖�����,其更詳細(xì)示出設(shè)備32和服務(wù)器34。在該例子中�,設(shè)備32可包括一個或者多個可用在典型個人計(jì)算機(jī)上的典型軟件應(yīng)用程序,例如網(wǎng)絡(luò)瀏覽器70�����、AOL瀏覽器72�、OutlookExpress74、Outlook76�����、FTP客戶端(未示出)�、Gopher客戶端(未示出)和/或新聞讀取器78。當(dāng)使用試圖訪問遠(yuǎn)程資源的任何典型軟件應(yīng)用程序時�����,由客戶端48攔截關(guān)于遠(yuǎn)程資源訪問的信息���,以便可將該信息發(fā)送到服務(wù)器34來判斷對特定設(shè)備是否應(yīng)該允許對特定資源的訪問�����。在一個實(shí)施例中����,在服務(wù)器34側(cè),服務(wù)器還包括用于從設(shè)備32上的客戶端48接收數(shù)據(jù)的Microsoft因特網(wǎng)信息服務(wù)器(InternetInformationServer���,IIS)80�。本發(fā)明不限于使用IIS��,且可以以其它方式來實(shí)現(xiàn)��。然后����,IIS服務(wù)器80可將該信息傳送到IIS插件(plug-in)82,該插件將數(shù)據(jù)傳送到分類引擎84����。IIS插件82可使用客戶端數(shù)據(jù)庫56a(優(yōu)選實(shí)施例中的圖2所示的數(shù)據(jù)庫56的一部分或者單獨(dú)的數(shù)據(jù)庫)來確定與設(shè)備32有關(guān)的特定客戶端,其中可以使用管理模塊86來維持該客戶端數(shù)據(jù)庫����。管理模塊可包括例如安裝在遠(yuǎn)程設(shè)備上的所有被監(jiān)控的客戶端列表���、以及可以存儲在客戶端數(shù)據(jù)庫56a中的各客戶端的設(shè)置,如參照圖7更詳細(xì)所述����。IIS插件82還可包括離線過濾模塊���、非過濾端口模塊和/或過濾靈敏度模塊�。然后���,服務(wù)器34可將特定客戶端的離線模式�、非過濾端口模式和過濾靈敏度設(shè)置傳送到客戶端��,該客戶端然后實(shí)施離線過濾�、非過濾端口過濾和過濾靈敏度級別?���?蛻舳丝砂x線過濾模塊、非過濾端口模塊和過濾靈敏度模塊��,其中各模塊實(shí)現(xiàn)客戶端的各功能,并且各模塊可以作為由客戶端所在的設(shè)備的處理器執(zhí)行的多行計(jì)算機(jī)代碼來實(shí)現(xiàn)���。分類引擎84可從由規(guī)則管理模塊88維持的規(guī)則數(shù)據(jù)庫56b(優(yōu)選實(shí)施例的圖2中的數(shù)據(jù)庫56的一部分或者單獨(dú)數(shù)據(jù)庫)中取出分類規(guī)則����。規(guī)則管理模塊88還可用來創(chuàng)建如下參照圖8更詳細(xì)說明的新規(guī)則�����。分類引擎可將其結(jié)果存儲在由監(jiān)控器模塊90維持的監(jiān)控?cái)?shù)據(jù)庫56c(優(yōu)選實(shí)施例的圖2中的數(shù)據(jù)庫56的一部分或者單獨(dú)數(shù)據(jù)庫)�。監(jiān)控器模塊90可以例如收集并且顯示關(guān)于各客戶端或者所有客戶端的網(wǎng)絡(luò)沖浪習(xí)慣(Websurfinghabits)的信息。監(jiān)控器模塊90還可包括當(dāng)請求連接時����,允許監(jiān)控系統(tǒng)的用戶對設(shè)備的遠(yuǎn)程用戶示出因特網(wǎng)連接的實(shí)時監(jiān)控器模塊(未示出)。根據(jù)本發(fā)明��,分類引擎可以基于一個或者多個數(shù)據(jù)對特定信息請求進(jìn)行分類�。可以主要基于將由設(shè)備訪問的站點(diǎn)地址來對信息請求進(jìn)行分類��。分類引擎還可使用1)設(shè)備的主機(jī)名或者服務(wù)器側(cè)的可配置的可選名(當(dāng)設(shè)備沒有主機(jī)名時)��;和/或2)設(shè)備的當(dāng)前用戶名或者服務(wù)器側(cè)的可配置的可選名(用于沒有用戶名的設(shè)備)。因此����,對于特定設(shè)備/用戶,可以配置分類標(biāo)準(zhǔn)(以及可訪問資源)���。例如����,可以根據(jù)雇員資歷或者在公司內(nèi)的地位來改變訪問級別����。管理員模塊(未示出)可包括允許用戶設(shè)置數(shù)據(jù)庫更新����、數(shù)據(jù)庫維持任務(wù)等在服務(wù)器上自動發(fā)生的事件的調(diào)度程序(scheduler)。管理員模塊還允許用戶對站點(diǎn)進(jìn)行分類/再分類�����。虛擬控制代理(virtualcontrolagent)(未示出)是使用人工智能以自動訪問并且對已被用戶訪問且那時還沒有分類的站點(diǎn)進(jìn)行分類的可選模塊��。管理員模塊還具有網(wǎng)絡(luò)報(bào)告模塊���,從而系統(tǒng)可以生成關(guān)于客戶端數(shù)據(jù)和沖浪習(xí)慣的報(bào)告�。遠(yuǎn)程計(jì)算機(jī)34的各種模塊可以是都具有實(shí)現(xiàn)此處說明的功能的多行代碼的軟件。圖4是更詳細(xì)示出本發(fā)明的設(shè)備客戶端/服務(wù)器實(shí)施例的服務(wù)器部分34的圖���,圖5是更詳細(xì)示出本發(fā)明的設(shè)備客戶端/服務(wù)器實(shí)施例的設(shè)備32部分的圖�。如圖4所示�,示出了服務(wù)器34的實(shí)現(xiàn),其中SQL數(shù)據(jù)庫用來存儲系統(tǒng)和網(wǎng)絡(luò)過濾規(guī)則引擎服務(wù)的數(shù)據(jù)���。以下將參照圖8更詳細(xì)說明根據(jù)本發(fā)明的過濾規(guī)則以及如何創(chuàng)建該規(guī)則的例子�。如圖5所示���,設(shè)備上的客戶端48還包括用戶界面部分100�����、客戶端通信層102�、網(wǎng)絡(luò)攔截器層104和存儲如下所述的日志文件以及特定客戶端48的配置的存儲介質(zhì)106�����。在優(yōu)選實(shí)施例中�����,這些部分和層中的每一個都是由設(shè)備的處理器執(zhí)行的軟件。用戶界面部分100生成顯示給用戶的監(jiān)控系統(tǒng)的用戶界面���,并且可包括配置用戶界面屏幕�����。網(wǎng)絡(luò)攔截器層104可從對外部站點(diǎn)的資源訪問請求中收集數(shù)據(jù)�,而客戶端通信層102可將該數(shù)據(jù)格式化成格式以發(fā)送到服務(wù)器34��,接收服務(wù)器的資源訪問決策�����,并且實(shí)現(xiàn)該決策����。在根據(jù)本發(fā)明的系統(tǒng)的正常工作期間����,設(shè)備可以發(fā)起對Amazon.com的網(wǎng)頁等遠(yuǎn)程站點(diǎn)上的資源的資源訪問請求,且客戶端48捕獲站點(diǎn)地址等與該請求有關(guān)的數(shù)據(jù)�����。客戶端還可收集設(shè)備標(biāo)識符以及其它設(shè)備數(shù)據(jù)�,然后將資源訪問請求數(shù)據(jù)傳送給服務(wù)器34。然后��,服務(wù)器可基于該資源訪問請求數(shù)據(jù)��,做出分類/過濾決策�,以生成資源訪問決策,然后將該資源訪問決策發(fā)送回客戶端48�,使得客戶端可以采取適當(dāng)?shù)膭幼鳌R虼?,遠(yuǎn)程服務(wù)器可以對設(shè)備32的資源訪問請求進(jìn)行實(shí)時監(jiān)控和過濾。然而�,如果(出于任何原因)服務(wù)器34對設(shè)備不可用,那么設(shè)備可以進(jìn)行設(shè)備32負(fù)責(zé)其自身的監(jiān)控和過濾的離線過濾�����。在客戶端連接到因特網(wǎng)的情況下����,當(dāng)設(shè)備(客戶端)不能連接到服務(wù)器時,設(shè)備將例如每5分鐘定期試圖進(jìn)行重新連接����。在離線過濾期間��,設(shè)備/客戶端可通過服務(wù)器根據(jù)特定客戶端的配置以不同的工作模式工作��。例如����,客戶端48可允許所有因特網(wǎng)訪問���,但是將各資源訪問請求記入本地日志文件(“日志和允許”模式)�,然后可將該本地日志文件上載到服務(wù)器����。可選地��,客戶端可以阻止所有因特網(wǎng)訪問(“阻止所有”模式)或者不進(jìn)行日志記錄而允許所有因特網(wǎng)訪問(“允許所有”模式)���。根據(jù)本發(fā)明�����,可以將記錄在客戶端上的離線日志存儲在設(shè)備的本地存儲器中��,例如上述存儲器或者永久存儲設(shè)備���。如果稍后將日志上載到服務(wù)器,則可在設(shè)備上刪除日志文件�����。在優(yōu)選實(shí)施例中���,可以對日志文件進(jìn)行加密����。日志文件還可以包括一些基本監(jiān)控能力以檢測客戶端的未授權(quán)篡改���。根據(jù)本發(fā)明����,離線日志上載可包括帶寬限制����,從而當(dāng)服務(wù)器重新在線時,其不會由于許多客戶端都試圖將日志上載到服務(wù)器而超負(fù)荷����。根據(jù)本發(fā)明�����,服務(wù)器可包括管理員模塊86����,其允許公司的信息總監(jiān)(ChiefInformationOfficer)等系統(tǒng)管理員或者客戶端自身(使用自動算法)來調(diào)整根據(jù)本發(fā)明的過濾和監(jiān)控系統(tǒng)的工作��。例如�,可以定制/調(diào)整各設(shè)備的該系統(tǒng)的過濾靈敏度(在特定設(shè)備上過濾因特網(wǎng)訪問的級別),從而可以對特定設(shè)備減少被過濾的因特網(wǎng)流量的量���,這減少該設(shè)備的專用于監(jiān)控和過濾工作的帶寬量�����。例如�����,具有便攜式電話的GPRS等慢速因特網(wǎng)連接的設(shè)備可以調(diào)整其靈敏度����。根據(jù)本發(fā)明�����,可以基于任何設(shè)備的任何特定特性來調(diào)整該設(shè)備的過濾靈敏度�����。在系統(tǒng)的優(yōu)選實(shí)施例中����,存在高過濾級別、中過濾級別�����、低過濾級別和自動過濾級別�����。在高過濾靈敏度級別��,系統(tǒng)可以例如過濾所有非超文本傳輸協(xié)議(HTTP)端口和所有HTTP請求���,從而該設(shè)置過濾包括例如彈出廣告的所有資源��。高過濾靈敏度提供非常徹底的過濾��,但是如果設(shè)備在進(jìn)行大量資源訪問請求�����,則可能影響過濾速度和性能���。在中靈敏度級別�,對所有非HTTP端口進(jìn)行分類���,但是僅對HTTP網(wǎng)頁請求進(jìn)行分類�����,而不對圖像文件��、聲音文件���、樣式單和XML請求進(jìn)行分類。在低靈敏度級別�,對所有非HTTP端口進(jìn)行分類,但是僅對HTTP請求的服務(wù)器地址部分進(jìn)行分類,且可將結(jié)果緩沖存儲非常短的一段時間����。在自動靈敏度級別,客戶端基于平均服務(wù)器應(yīng)答時間(應(yīng)答等待時間(latency))和預(yù)定的閾值選擇高���、中或低級別。對于自動模式�����,客戶端可包括調(diào)整靈敏度的代碼����。例如,當(dāng)應(yīng)答等待時間少于預(yù)定時間段時可以使用高級別��,然后將其復(fù)位成中級別����。根據(jù)本發(fā)明,系統(tǒng)可以過濾所有TCP/IP端口���,其中��,將一些端口看作直接對站點(diǎn)38的資源進(jìn)行的或者通過代理服務(wù)器進(jìn)行的HTTP網(wǎng)絡(luò)請求�����。為了對到端口的設(shè)備訪問減少與服務(wù)器的不必要的通信�,其中特定公司對過濾或者監(jiān)控該端口不感興趣,可以(通過服務(wù)器)通知設(shè)備32哪些端口將被傳送給服務(wù)器以及哪些端口將被當(dāng)成HTTP網(wǎng)絡(luò)請求�。因此,可以對特定公司將服務(wù)器配置成具有非過濾端口(不傳送給服務(wù)器的端口列表)�。根據(jù)本發(fā)明,在設(shè)備的登錄過程期間將待過濾和/或被當(dāng)成HTTP請求的端口列表傳送到設(shè)備�����。然后����,客戶端可進(jìn)行非過濾端口動作,該動作是當(dāng)在設(shè)備上執(zhí)行的應(yīng)用程序試圖訪問非過濾端口時進(jìn)行的自動動作����。在該系統(tǒng)的當(dāng)前實(shí)現(xiàn)和一個實(shí)施例中,將過濾端口列表和HTTP端口列表硬編碼到服務(wù)器軟件中�。在本發(fā)明的另一實(shí)施例中,服務(wù)器可以分析(可被調(diào)整/定制的)規(guī)則集/列�,且根據(jù)該規(guī)則自動生成被監(jiān)控端口列表。非過濾端口動作可包括例如允許所有這些端口請求的允許所有選項(xiàng)(“允許所有”模式)、阻止對所有非過濾端口的訪問的阻止所有選項(xiàng)(“阻止所有”模式)以及將端口請求傳送到服務(wù)器的過濾選項(xiàng)(“過濾”模式)��,該服務(wù)器用于在典型網(wǎng)絡(luò)過濾中通常影響所有端口的規(guī)則�,例如阻止每個人看到色情內(nèi)容。圖6A和6B是安裝根據(jù)本發(fā)明的過濾系統(tǒng)的兩個不同的例子����。對于每種安裝,將服務(wù)器34定位成使得設(shè)備32(具有客戶端)可以通過TCP端口80訪問服務(wù)器�����。在圖6A中�����,可以將服務(wù)器34定位在主要受保護(hù)網(wǎng)絡(luò)112(具有其內(nèi)部計(jì)算設(shè)備114)外��,并如圖所示將其通過網(wǎng)橋/路由器/防火墻設(shè)備110連接到公司網(wǎng)絡(luò)����,使得設(shè)備32可以訪問服務(wù)器34����。在圖6B所示的例子中,可以使服務(wù)器34位于網(wǎng)絡(luò)112內(nèi),然后�����,必須將防火墻110配置成只要流量指向服務(wù)器34就允許TCP端口80上的流量�。在這兩種情況下,設(shè)備32都能和服務(wù)器34進(jìn)行通信���,因此服務(wù)器可以進(jìn)行遠(yuǎn)程監(jiān)控和過濾操作��。圖7示出客戶端管理員模塊的典型實(shí)現(xiàn)的用戶界面120的例子���。管理員是系統(tǒng)的主要管理點(diǎn),并且提供各遠(yuǎn)程設(shè)備的可定制說明和各特定設(shè)備的設(shè)置����。用戶界面120包括概要部分122和客戶端細(xì)節(jié)部分124,其中概要部分122列出當(dāng)前進(jìn)入或者登錄到系統(tǒng)中的所有客戶端(為了簡單在該例子中僅示出一個)��。當(dāng)管理員模塊的用戶從概要部分選擇特定客戶端時����,客戶端細(xì)節(jié)部分124示出特定客戶端和正在執(zhí)行客戶端的設(shè)備的詳細(xì)設(shè)置和其它信息?���?蛻舳思?xì)節(jié)部分124還可包括客戶端信息部分126和客戶端設(shè)置部分128�����,其中客戶端信息部分列出關(guān)于所選擇的特定客戶端/設(shè)備的信息�����,且客戶端設(shè)置部分允許管理員調(diào)整/設(shè)置/復(fù)位特定客戶端/設(shè)備的過濾/監(jiān)控的設(shè)置�����。如客戶端信息部分所示���,各客戶端具有用來唯一地識別各客戶端安裝的唯一標(biāo)識符(圖7所示的客戶端ID)����,從而可將各客戶端的設(shè)置存儲在數(shù)據(jù)庫中���。在客戶端設(shè)置部分128中�,管理員可以設(shè)置各種過濾和監(jiān)控設(shè)置,包括例如離線動作設(shè)置130�、非過濾端口設(shè)置132、過濾靈敏度設(shè)置134����、用戶名設(shè)置136和主機(jī)名設(shè)置138。如上所述�,離線動作設(shè)置130允許管理員選擇當(dāng)服務(wù)器對客戶端不可用時客戶端將如何工作的選項(xiàng),且在優(yōu)選實(shí)施例中��,可以從“允許所有”“阻止所有”或者“日志和允許”中選擇離線動作����。非過濾端口設(shè)置132允許管理員設(shè)置當(dāng)未包括在過濾端口中的端口被設(shè)備的用戶訪問時特定客戶端應(yīng)該怎樣工作����。在本發(fā)明的優(yōu)選實(shí)施例中,為了減少客戶端和服務(wù)器之間的總流量����,選擇要被監(jiān)控的TCP端口的所選擇列表?����?梢允褂霉芾韱T模塊來更改被監(jiān)控的端口的實(shí)際選擇。默認(rèn)的TCP端口列表可包括��,例如因此���,對于沒有被管理員指定為過濾端口或者添加到被監(jiān)控端口的任何端口����,將應(yīng)用非過濾端口設(shè)置�����。如上所述�����,在優(yōu)選實(shí)施例中�����,非過濾端口選擇可包括允許所有、阻止所有和過濾模式��。過濾靈敏度設(shè)置134允許管理員對客戶端設(shè)置過濾的靈敏度級別����。如上所述,在優(yōu)選實(shí)施例中��,選擇可包括高過濾級別����、中過濾級別、低過濾級別和自動過濾級別��。一般說來��,過濾規(guī)則可基于用戶名或者主機(jī)名�����。因此���,如果由規(guī)則指定用戶名�����,則不考慮用戶正在使用的設(shè)備而應(yīng)用用戶過濾規(guī)則����。如果在規(guī)則中指定主機(jī)名,則不考慮哪個用戶登錄到特定設(shè)備而將基于主機(jī)名的規(guī)則應(yīng)用于該特定設(shè)備���。因此�,用戶名設(shè)置136允許管理員設(shè)置應(yīng)用于特定設(shè)備的用戶�����。對于客戶端設(shè)備的所有過濾決策��,由服務(wù)器使用該用戶名��。然后可以使用該名稱來檢查規(guī)則數(shù)據(jù)庫中的規(guī)則以對特定客戶端用戶確定合適的過濾����。在優(yōu)選實(shí)施例中,用戶名設(shè)置允許管理員從客戶端指定名稱模式����、服務(wù)器覆蓋模式(overridemode)或者服務(wù)器默認(rèn)模式中進(jìn)行選擇�。在客戶端指定模式下����,當(dāng)用戶登錄到執(zhí)行客戶端的設(shè)備時�����,客戶端將用作用戶名的用戶登錄名發(fā)送到服務(wù)器�����。在服務(wù)器覆蓋模式下���,管理員可以指定將該用戶識別為組織成員的名稱����,例如工程師�����、秘書��、移動雇員等��,而不將用戶具體定義為個人,從而將該組織的過濾規(guī)則應(yīng)用于特定用戶�。例如,公司可能有許多旅游保險(xiǎn)推銷員使用的移動設(shè)備�����,根據(jù)“推銷員”的角色��,而不是根據(jù)其個人用戶名�����,來過濾使用這些移動設(shè)備的任何人�����。因此����,可以創(chuàng)建允許“推銷員”進(jìn)入工作需要的特定場所的規(guī)則。當(dāng)客戶端不能提供如移動電話等用戶名時�,也可以使用該模式。當(dāng)不使用客戶端指定模式和服務(wù)器覆蓋模式時�,使用服務(wù)器默認(rèn)模式,從而仍能以一定級別過濾該設(shè)備�。主機(jī)名設(shè)置138指定實(shí)際設(shè)備(與設(shè)備的用戶相對比)����,使得可以將(具有特定特征的)設(shè)備或者設(shè)備組分組在一起����、不考慮使用該設(shè)備的個人而根據(jù)該組設(shè)備的過濾規(guī)則對其進(jìn)行識別和過濾����。在優(yōu)選實(shí)施例中,主機(jī)名設(shè)置允許管理員從客戶端指定主機(jī)名模式��、服務(wù)器覆蓋模式和服務(wù)器默認(rèn)模式中進(jìn)行選擇�。在客戶端指定模式下,當(dāng)用戶登錄到設(shè)備時�,該設(shè)備的客戶端將該設(shè)備的網(wǎng)絡(luò)名提供給服務(wù)器。在服務(wù)器覆蓋模式���,主機(jī)名用來將設(shè)備識別為用于不能提供主機(jī)名的移動電話等設(shè)備的組的成員�����。在服務(wù)器默認(rèn)模式下�����,當(dāng)不使用客戶端指定模式和服務(wù)器覆蓋模式時使用主機(jī)名���,從而仍能以一定級別過濾該設(shè)備����。圖8示出規(guī)則管理員模塊的實(shí)現(xiàn)的用戶界面150的例子����。規(guī)則管理員允許系統(tǒng)的授權(quán)用戶創(chuàng)建一個或者多個過濾規(guī)則。用戶界面將各規(guī)則152作為顯示中的一行示出����,該行具有各規(guī)則的不同特征/設(shè)置,例如布置在顯示的不同列中的規(guī)則類型�����、規(guī)則應(yīng)用的用戶/設(shè)備���、規(guī)則應(yīng)用的內(nèi)容類型����、規(guī)則的閾值以及規(guī)則的通知特性���。規(guī)則的類型包括允許(允許規(guī)則指定的內(nèi)容)��、禁止(不允許規(guī)則指定的內(nèi)容)或者閾值(如果在閾值以內(nèi)��,則允許規(guī)則指定的內(nèi)容)�。對于閾值規(guī)則,例如����,可允許規(guī)則指定的用戶訪問因特網(wǎng)一段所設(shè)置的時間��。對于各規(guī)則�����,管理員可以指定在過濾操作期間應(yīng)用規(guī)則的客戶端/設(shè)備或者客戶端或設(shè)備的組�����。對于各規(guī)則����,管理員可以指定待過濾的內(nèi)容類型。例如�����,如圖8所示,該內(nèi)容可以是色情/性暴露����、旅游、賭博�、可執(zhí)行文件等,然而可以創(chuàng)建規(guī)則以過濾任何類型的內(nèi)容���,并且可以將任何類型的內(nèi)容添加到系統(tǒng)中�����,使得將來可以過濾新類型的內(nèi)容��。各規(guī)則還指定應(yīng)用規(guī)則的時間�,例如任何時間��、下班后和周末��、工作時間等����,其中可以給不同的時間段新的名稱��,然后由用戶指定該時間段����。各規(guī)則還可具有如上所述的閾值�、以及指定當(dāng)用戶正在訪問某內(nèi)容時通知給系統(tǒng)中的誰的通知特性。根據(jù)本發(fā)明�,由規(guī)則管理員生成的過濾規(guī)則可以管理在什么時間誰可以訪問因特網(wǎng)的什么區(qū)域。該規(guī)則可以是肯定的(允許訪問站點(diǎn)�,“性暴露”等站點(diǎn)種類或者資源)或者否定的(拒絕訪問站點(diǎn),站點(diǎn)種類或資源)��。一般說來�,各規(guī)則可包含指定各過濾規(guī)則的不同特性的類型(Type)對象����、人物(Who)對象、過濾內(nèi)容(Where)對象�����、時間(When)對象�����、通知(Notify)對象、閾值(Threshold)對象和HTTP拒絕對象(在圖8中僅示出其中一些)��。類型對象包含指定規(guī)則是允許����、禁止還是閾值規(guī)則的數(shù)據(jù)。人物對象包含指定應(yīng)用規(guī)則的個人的數(shù)據(jù)�����,其中對象可以指定個人�、一組人、任何人�、沒有人等。過濾內(nèi)容對象包含指定所請求資源的源頭(例如網(wǎng)站)��,但是也可以指定例如“性暴露”或者“ftp”等網(wǎng)站種類的數(shù)據(jù)����。時間對象包含指定當(dāng)允許資源請求或者拒絕資源請求時的時間和/或日子的數(shù)據(jù)。通知對象包含當(dāng)特定資源請求觸發(fā)該規(guī)則時指定可通過例如電子郵件通知的一個或多個個人的數(shù)據(jù)��。閾值對象包含指定在特定時間段沖浪的數(shù)據(jù)量或者所花費(fèi)的時間的限制的數(shù)據(jù)�。HTTP拒絕對象包含當(dāng)觸發(fā)規(guī)則時指定將特定類型的(嚴(yán)厲、強(qiáng)烈或溫和的)拒絕網(wǎng)頁發(fā)送給用戶的數(shù)據(jù)��。對各新規(guī)則,規(guī)則管理員允許用戶通過輸入信息并且利用下拉式菜單來指定規(guī)則的這些特性�����。根據(jù)本發(fā)明�,系統(tǒng)過濾遠(yuǎn)離企業(yè)網(wǎng)絡(luò)的設(shè)備。期望當(dāng)特定設(shè)備返回企業(yè)網(wǎng)絡(luò)時�����,例如在路上使用的膝上型電腦又連接到企業(yè)網(wǎng)絡(luò)中���,只要該特定設(shè)備位于企業(yè)網(wǎng)絡(luò)內(nèi)��,就對該特定設(shè)備使用(例如固定雇員的)企業(yè)網(wǎng)絡(luò)的過濾策略。根據(jù)本發(fā)明���,客戶端可能包括軟件模塊���,該軟件模塊用于檢測是否通過企業(yè)網(wǎng)絡(luò)傳送設(shè)備的特定資源請求(例如當(dāng)客戶端所在的設(shè)備連接到企業(yè)網(wǎng)絡(luò)時),以對通過企業(yè)網(wǎng)絡(luò)傳送的那些資源請求禁止客戶端過濾功能�,從而可以使用企業(yè)網(wǎng)絡(luò)過濾策略。作為另一個例子�����,可將設(shè)備連接到企業(yè)網(wǎng)絡(luò),還可將設(shè)備連接到無線調(diào)制解調(diào)器����,且可對通過無線調(diào)制解調(diào)器傳送的資源請求使用客戶端過濾,而不對通過企業(yè)網(wǎng)絡(luò)傳送的資源請求使用客戶端過濾�。盡管已示出且說明了一些優(yōu)選實(shí)施例,但是本領(lǐng)域技術(shù)人員應(yīng)該理解���,在不脫離所附權(quán)利要求書所規(guī)定的本發(fā)明的范圍的情況下�����,可以做出各種變化和修改�����。關(guān)注與本申請相關(guān)的與該說明書同時或者之前提交的且與本說明書一起公開的所有文章和文檔���,通過引用將所有這些文章和文檔的內(nèi)容包括在此。除了在本說明書(包括所附權(quán)利要求書���、摘要和附圖)中公開的所有特征和/或公開的任何方法或處理的所有步驟中的至少一些特征和/或步驟相互獨(dú)立的組合之外���,這些特征和/或步驟可以以任何方式進(jìn)行組合�。除了另有明確說明之外����,在本說明書(包括所附權(quán)利要求書、摘要和附圖)中公開的各特征可以被用作相同�、等同或者相似目的的可選特征代替。因此��,除了另有明確說明�����,所公開的各特征僅是一類等同或者相似特征的一個例子�。本發(fā)明不限于前述實(shí)施例的細(xì)節(jié)。本發(fā)明延伸至本說明書(包括所附權(quán)利要求書�、摘要和附圖)中所公開的特征的任何新特征或者任何新組合,或者延伸至所公開的任何方法或者處理的步驟的任何新步驟或者任何新組合��。權(quán)利要求1.一種資源訪問過濾系統(tǒng)��,其包括計(jì)算機(jī)(33)�����;設(shè)備(32)上的客戶端(48)����,其中所述客戶端(48)建立與所述計(jì)算機(jī)(33)的遠(yuǎn)程連接,所述客戶端(48)還包括收集關(guān)于由所述設(shè)備(32)訪問資源的請求的信息的模塊和將所收集的信息傳送給所述計(jì)算機(jī)(33)的模塊�;以及所述計(jì)算機(jī)(33)還包括基于所收集的信息對所述設(shè)備(32)的資源訪問進(jìn)行分類的模塊和將資源訪問決策實(shí)時傳送給所述客戶端(48)使得所述客戶端(48)基于所述計(jì)算機(jī)(33)的所述資源訪問決策控制所述設(shè)備(32)對資源的訪問的模塊。2.根據(jù)權(quán)利要求1所述的資源訪問過濾方法��,其特征在于�,所述資源訪問決策向所述客戶端(48)提供允許決策或者阻止決策,由此所述客戶端(48)允許或者阻止對所請求的資源的訪問�����。3.根據(jù)權(quán)利要求1或2所述的資源訪問過濾系統(tǒng)�����,其特征在于��,所述客戶端(48)還包括檢測是否通過企業(yè)網(wǎng)絡(luò)傳送所請求的資源��,且禁止客戶端對通過企業(yè)網(wǎng)絡(luò)傳送的所請求的資源進(jìn)行過濾的模塊���。4.根據(jù)權(quán)利要求1��、2或3所述的資源訪問過濾系統(tǒng)���,其特征在于�����,所述客戶端(48)還包括當(dāng)所述客戶端(48)不能與所述計(jì)算機(jī)(33)進(jìn)行通信時控制所述設(shè)備(32)的資源訪問的離線過濾模塊�。5.根據(jù)權(quán)利要求4所述的資源訪問過濾系統(tǒng)�����,其特征在于�����,所述離線過濾模塊提供包括允許所有資源訪問模式����、阻止所有資源訪問模式和允許所有帶日志資源訪問模式的一種或多種模式。6.根據(jù)權(quán)利要求5所述的資源訪問過濾系統(tǒng)����,其特征在于,所述允許所有帶日志資源訪問模式還包括用于限制上載到所述計(jì)算機(jī)(33)的離線日志以控制所述離線日志所利用的帶寬的模塊��。7.根據(jù)權(quán)利要求4�、5或6所述的資源訪問過濾系統(tǒng),其特征在于�,由所述計(jì)算機(jī)(33)選擇離線過濾模塊的模式。8.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng)��,其特征在于���,所述客戶端(48)具有從所述計(jì)算機(jī)(33)下載的過濾端口列表��,該列表顯示將被過濾的端口和被當(dāng)作HTTP端口的端口���。9.根據(jù)權(quán)利要求8所述的資源訪問過濾系統(tǒng),其特征在于�,所述客戶端(48)還包括控制所述設(shè)備(32)對沒有明確標(biāo)識為過濾端口的端口的資源訪問的非過濾端口模塊。10.根據(jù)權(quán)利要求9所述的資源訪問過濾系統(tǒng)����,其特征在于,所述非過濾端口模塊還包括允許所有資源訪問模式���、阻止所有資源訪問模式以及向計(jì)算機(jī)(33)請求進(jìn)行過濾和/或記入日志的模式��。11.根據(jù)權(quán)利要求8�、9或10所述的資源訪問過濾系統(tǒng),其特征在于��,由所述計(jì)算機(jī)(33)選擇非過濾端口模塊的模式����。12.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng),其特征在于���,所述客戶端(48)還包括控制所述客戶端(48)的資源訪問的過濾級別的過濾靈敏度模塊���,由此所述客戶端(48)基于所述過濾級別判斷是否向所述計(jì)算機(jī)(33)提供所收集的信息。13.根據(jù)權(quán)利要求12所述的資源訪問過濾系統(tǒng)�����,其特征在于�����,所述過濾靈敏度模塊還包括高靈敏度級別模式�����、中靈敏度級別模式、低靈敏度級別模式和自動靈敏度級別模式���。14.根據(jù)權(quán)利要求12或13所述的資源訪問過濾系統(tǒng),其特征在于����,由所述計(jì)算機(jī)(33)選擇所述過濾靈敏度模塊的模式。15.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng)�,其特征在于,所述計(jì)算機(jī)(33)還包括監(jiān)控連接到所述計(jì)算機(jī)(33)的設(shè)備的資源訪問以生成所述設(shè)備的資源訪問匯總的監(jiān)控模塊����。16.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng),其特征在于����,被訪問的資源包括網(wǎng)頁、文件傳輸協(xié)議站點(diǎn)��、電子郵件站點(diǎn)�、安全網(wǎng)站、新聞?wù)军c(diǎn)中的任何一個��。17.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng)�,其特征在于���,所述設(shè)備(32)包括個人數(shù)字助理、便攜式電話��、個人計(jì)算機(jī)����、膝上型計(jì)算機(jī)、掌上型計(jì)算機(jī)和器具中的任何一個����。18.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng),其特征在于���,所述客戶端(48)還包括生成所述設(shè)備(32)的能力掩碼并將該能力掩碼傳送給所述計(jì)算機(jī)(33)的模塊�,所述能力掩碼包含關(guān)于所述設(shè)備(32)的過濾能力的信息����。19.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng),其特征在于���,在所述客戶端(48)和所述計(jì)算機(jī)(33)之間通過TCP端口80使用超本文傳輸協(xié)議來傳送所收集的信息和所述資源訪問決策��。20.根據(jù)權(quán)利要求19所述的資源訪問過濾系統(tǒng)����,其特征在于,所收集的信息的協(xié)議還包括超文本傳輸協(xié)議POST操作�����。21.根據(jù)前述任一項(xiàng)權(quán)利要求所述的資源訪問過濾系統(tǒng)�����,其特征在于����,所述資源訪問決策的協(xié)議還包括網(wǎng)頁格式的數(shù)據(jù)����。22.一種資源訪問過濾方法,其使用計(jì)算機(jī)(33)和建立到所述計(jì)算機(jī)(33)的連接的設(shè)備(32)上的客戶端(48)��,該方法包括由所述客戶端(48)收集關(guān)于由所述設(shè)備(32)訪問資源的請求的信息�;通過遠(yuǎn)程通信將所收集的信息傳送給所述計(jì)算機(jī)(33);在所述計(jì)算機(jī)(33)上�,基于所收集的信息對所述設(shè)備(32)的資源訪問進(jìn)行分類;以及將資源訪問決策實(shí)時傳送給所述客戶端(48)��,使得所述客戶端(48)基于所述計(jì)算機(jī)(33)的所述資源訪問決策控制所述設(shè)備(32)對資源的訪問。23.根據(jù)權(quán)利要求22所述的資源訪問過濾方法���,其特征在于�����,所述資源訪問決策向所述客戶端(48)提供允許決策或者阻止決策����,由此所述客戶端(48)允許或者阻止對所請求的資源的訪問���。24.根據(jù)權(quán)利要求22或23所述的資源訪問過濾方法��,其特征在于�����,所述客戶端(48)還包括檢測是否通過企業(yè)網(wǎng)絡(luò)傳送所請求的資源��,且禁止客戶端對通過企業(yè)網(wǎng)絡(luò)傳送的所請求的資源進(jìn)行過濾的模塊�����。25.根據(jù)權(quán)利要求22�、23或24所述的資源訪問過濾方法,其特征在于����,所述客戶端(48)還包括當(dāng)所述客戶端(48)不能與所述計(jì)算機(jī)(33)進(jìn)行通信時控制所述設(shè)備(32)的資源訪問的離線過濾模塊。26.根據(jù)權(quán)利要求25所述的資源訪問過濾方法�����,其特征在于�,所述離線過濾模塊提供包括允許所有資源訪問模式、阻止所有資源訪問模式和允許所有帶日志資源訪問模式的一種或多種模式��。27.根據(jù)權(quán)利要求26所述的資源訪問過濾方法�����,其特征在于����,所述允許所有帶日志資源訪問模式還包括用于限制上載到所述計(jì)算機(jī)(33)的離線日志以控制所述離線日志所利用的帶寬的模塊���。28.根據(jù)權(quán)利要求25����、26或27所述的資源訪問過濾方法,其特征在于��,由所述計(jì)算機(jī)(33)選擇離線過濾模塊的模式�����。29.根據(jù)權(quán)利要求22~28中任一項(xiàng)所述的資源訪問過濾方法����,其特征在于,所述客戶端(48)具有從所述計(jì)算機(jī)(33)下載的過濾端口列表�����,該列表顯示將被過濾的端口和被當(dāng)作HTTP端口的端口���。30.根據(jù)權(quán)利要求29所述的資源訪問過濾方法�����,其特征在于�,所述客戶端(48)還包括控制所述設(shè)備(32)對沒有明確標(biāo)識為過濾端口的端口的資源訪問的非過濾端口模塊���。31.根據(jù)權(quán)利要求30所述的資源訪問過濾方法����,其特征在于,所述非過濾端口模塊還包括允許所有資源訪問模式����、阻止所有資源訪問模式以及向計(jì)算機(jī)(33)請求進(jìn)行過濾和/或記入日志的模式。32.根據(jù)權(quán)利要求29���、30或31所述的資源訪問過濾方法����,其特征在于�����,由所述計(jì)算機(jī)(33)選擇非過濾端口模塊的模式��。33.根據(jù)權(quán)利要求22~32中任一項(xiàng)所述的資源訪問過濾方法�����,其特征在于��,所述客戶端(48)還包括控制所述客戶端(48)的資源訪問的過濾級別的過濾靈敏度模塊�,由此所述客戶端(48)基于所述過濾級別判斷是否向所述計(jì)算機(jī)(33)提供所收集的信息。34.根據(jù)權(quán)利要求33所述的資源訪問過濾方法����,其特征在于,所述過濾靈敏度模塊還包括高靈敏度級別模式���、中靈敏度級別模式�、低靈敏度級別模式和自動靈敏度級別模式��。35.根據(jù)權(quán)利要求33或34所述的資源訪問過濾方法�,其特征在于,由所述計(jì)算機(jī)(33)選擇所述過濾靈敏度模塊的模式��。36.根據(jù)權(quán)利要求22~35中任一項(xiàng)所述的資源訪問過濾方法����,其特征在于,所述計(jì)算機(jī)(33)還包括監(jiān)控連接到所述計(jì)算機(jī)(33)的設(shè)備的資源訪問以生成所述設(shè)備的資源訪問匯總的監(jiān)控模塊��。37.根據(jù)權(quán)利要求22~36中任一項(xiàng)所述的資源訪問過濾方法�����,其特征在于,被訪問的資源還包括網(wǎng)頁��、文件傳輸協(xié)議站點(diǎn)����、電子郵件站點(diǎn)、安全網(wǎng)站和新聞?wù)军c(diǎn)中的一個��。38.根據(jù)權(quán)利要求22~37中任一項(xiàng)所述的資源訪問過濾方法���,其特征在于�,所述設(shè)備(32)還包括個人數(shù)字助理���、便攜式電話�、個人計(jì)算機(jī)���、膝上型計(jì)算機(jī)��、掌上型計(jì)算機(jī)和器具中的一個��。39.根據(jù)權(quán)利要求22~38中任一項(xiàng)所述的資源訪問過濾方法,其特征在于�,所述客戶端(48)還包括生成所述設(shè)備(32)的能力掩碼并將該能力掩碼傳送給所述計(jì)算機(jī)(33)的模塊���,所述能力掩碼包含關(guān)于所述設(shè)備(32)的過濾能力的信息。40.根據(jù)權(quán)利要求22~39中任一項(xiàng)所述的資源訪問過濾方法�,其特征在于,在所述客戶端(48)和所述計(jì)算機(jī)(33)之間通過TCP端口80使用超本文傳輸協(xié)議來傳送所收集的信息和所述資源訪問決策�。41.根據(jù)權(quán)利要求40所述的資源訪問過濾方法,其特征在于��,所收集的信息的協(xié)議還包括超文本傳輸協(xié)議POST操作���。42.根據(jù)權(quán)利要求22~41中任一項(xiàng)所述的資源訪問過濾方法���,其特征在于,所述資源訪問決策的協(xié)議還包括網(wǎng)頁格式的數(shù)據(jù)����。43.一種用于資源訪問過濾系統(tǒng)的計(jì)算機(jī),其包括接收關(guān)于由遠(yuǎn)程設(shè)備(32)訪問資源的請求的信息的模塊�,其中從所述遠(yuǎn)程設(shè)備(32)上的客戶端(48)遠(yuǎn)程傳送關(guān)于所述資源訪問請求的信息;基于所收集的信息對所述遠(yuǎn)程設(shè)備(32)的資源訪問進(jìn)行分類的模塊����;以及將資源訪問決策實(shí)時傳送給所述客戶端(48)使得所述客戶端(48)基于所述計(jì)算機(jī)(33)的所述資源訪問決策控制所述遠(yuǎn)程設(shè)備(32)對資源的訪問的模塊。44.一種位于與遠(yuǎn)程計(jì)算機(jī)(33)進(jìn)行通信的設(shè)備(32)上的遠(yuǎn)程資源過濾客戶端(48)�,該客戶端(48)包括收集關(guān)于由所述設(shè)備(32)訪問資源的請求的信息的模塊���;將所收集的信息傳送給所述計(jì)算機(jī)(33)的模塊;以及從所述計(jì)算機(jī)(33)接收資源訪問決策并且基于所述計(jì)算機(jī)(33)的所述資源訪問決策控制所述設(shè)備(32)對資源的訪問的模塊��。全文摘要描述一種遠(yuǎn)程站點(diǎn)過濾和監(jiān)控系統(tǒng)及方法��,其中由遠(yuǎn)程服務(wù)器(33)實(shí)時地監(jiān)視并控制遠(yuǎn)程設(shè)備(32)的因特網(wǎng)訪問���。該系統(tǒng)還提供離線訪問日志和隨后的上載����、可調(diào)整的過濾靈敏度和特定HTTP端口過濾�����。文檔編號H04L29/08GK101019403SQ200580026776公開日2007年8月15日申請日期2005年7月28日優(yōu)先權(quán)日2004年8月7日發(fā)明者凱文·瓊斯,理查德·波因頓申請人:浪控有限公司