專利名稱：：提供用于訪問控制的智能組的系統(tǒng)和方法
技術(shù)領(lǐng)域：
：本申請總的涉及控制對與數(shù)據(jù)通信網(wǎng)絡(luò)連接的資源的訪問。本申請尤其涉及用于配置和應(yīng)用用于做出訪問控制決策的策略組的系統(tǒng)和方法。
背景技術(shù)：
：通信和數(shù)據(jù)網(wǎng)絡(luò)的激增已經(jīng)顯著提高了資源對于大量用戶的可用性，該資源例如是文件、應(yīng)用以及服務(wù)。為了有效地管理和保護這些資源，可以實施各種系統(tǒng)來限制或控制對這些資源的訪問?？蓪δ承┚W(wǎng)絡(luò)及其資源的訪問限制到對這些網(wǎng)絡(luò)具有訪問權(quán)限的用戶上。例如，可能需要對請求訪問資源的用戶進行認證。在一些實施例中，可基于資源的可用性和/或其他因素將有限的資源分配給用戶。隨著資源類型、網(wǎng)絡(luò)、保護方案和分配方法的增加，網(wǎng)絡(luò)資源的管理也變得日益復雜。例如，傳統(tǒng)系統(tǒng)可能包括諸如訪問網(wǎng)關(guān)、防火墻以及認證、授權(quán)和審計(AAA)服務(wù)器的網(wǎng)絡(luò)組件，來提供各種功能。
發(fā)明內(nèi)容本發(fā)明針對提供策略組用于控制對網(wǎng)絡(luò)資源的訪問的方法和系統(tǒng)?？蓪⒉呗越M配置為聚合與控制對網(wǎng)絡(luò)資源的訪問相關(guān)的一個或多個訪問配置?？蓪⒉呗越M用于邏輯地管理一個或多個訪問配置。策略組的訪問配置可屬于下列中一個或多個的任意組合:登錄點(logonpoint)、資源的標識和該資源的可用權(quán)限、裝置描述文件，以及組名。每個登錄點可與至少一種認證方法和一種授權(quán)方法相關(guān)聯(lián)。應(yīng)用策略組的網(wǎng)絡(luò)裝置或訪問網(wǎng)關(guān)可基于訪問配置的評估來為所請求的資源授予特定的訪問級別?？蛻魴C裝置處的用戶可嘗試登錄會話以訪問資源。用戶可經(jīng)由登錄點提供的統(tǒng)一資源定位符(URL)來訪問登錄接口。可認證用戶并且可以評估用戶的授權(quán)權(quán)限。基于認證和/或授權(quán)，可識別用戶可應(yīng)用的組名。系統(tǒng)可至少部分基于該組名識別一個或多個策略組。還可以根據(jù)與該策略組關(guān)聯(lián)的裝置描述文件來評估用戶的客戶機裝置?；谒R別的組名、認證、授權(quán)和/或裝置描述文件評估，所述策略組可準許用戶對一個或多個資源的訪問。在一個方面，本發(fā)明涉及用于建立策略組以集合訪問配置從而控制用戶對所識別資源的訪問的方法。該方法包括經(jīng)由在多個客戶機和一個或多個服務(wù)器的中間的裝置上執(zhí)行的策略管理器，建立策略組，該策略組表示一個或多個訪問配置的集合，用于用戶經(jīng)由該裝置訪問一個或多個服務(wù)器的一個或多個所標識資源。策略組可包括用于表示訪問一個或多個所標識資源的入口點的登錄點組件。該方法可包括經(jīng)由策略管理器將所述登錄點組件配置用于為入口點指定統(tǒng)一資源定位符。該方法可包括經(jīng)由策略管理器為登錄點組件選擇一個或多個認證方法。該方法可包括經(jīng)由策略管理器，基于一個或多個認證方法為登錄點組件識別一個或多個授權(quán)方法。在一些實施例中，該方法包括建立策略組以使其具有裝置描述文件組件與登錄點組件。裝置描述文件組件可識別要執(zhí)行的一個或多個端點分析用于經(jīng)由登錄點組件的入口點訪問。該方法可包括為策略組建立第二登錄點組件并且將第二統(tǒng)一資源定位符(URL)配置為入口點。方法可以包括為登錄點組件指定兩個認證方法用于雙重認證。策略管理器可基于一個或多個認證方法的選擇來限制授權(quán)方法的選擇。在一個實施例中，該方法可包括禁用登錄點組件，其中策略組可變?yōu)椴豢捎?。在一些實施例中，該方法包括為策略組指定一個或多個裝置描述文件。該一個或多個裝置描述文件的每一個可識別一種或多種類型的端點分析以在用戶的裝置上執(zhí)行。該方法可包括為策略組指定一個或多個所識別資源的允許訪問的一種資源。該方法可包括為策略組指定一個或多個所識別資源的拒絕訪問的一種資源。該方法可包括為登錄點組件指定一個或多個參數(shù)，該一個或多個參數(shù)優(yōu)先于裝置的相應(yīng)參數(shù)。在另一個方面，本發(fā)明涉及用于應(yīng)用策略組來控制用戶對所識別資源的訪問的方法。在多個客戶機和一個或多個服務(wù)器中間的裝置可識別策略組。所述策略組可表示一個或多個訪問配置的集合，用于用戶經(jīng)由所述裝置訪問一個或多個服務(wù)器的一個或多個所識別資源。策略組可包括用于表示訪問一個或多個所識別資源的入口點的登錄點組件。所述裝置可接收用戶訪問統(tǒng)一資源定位符的請求，該統(tǒng)一資源定位符對應(yīng)于由登錄點組件指定的入口點。裝置可發(fā)起由登錄點組件指定的與用戶的一個或多個認證方法。為訪問所述一個或多個所識別資源，裝置可基于一個或多個認證方法應(yīng)用由登錄點組件指定的一個或多個授權(quán)方法。在一些實施例中，該方法包括識別策略組的裝置描述文件組件。裝置描述文件組件可指定一個或多個裝置描述文件用于經(jīng)由登錄點組件的入口點進行訪問。裝置可接收統(tǒng)一資源定位符，該統(tǒng)一資源定位符被識別為策略組的第二登錄組件的入口點。裝置可發(fā)起由登錄點組件指定的兩個認證方法用于雙重認證。在一些實施例中，一個或多個授權(quán)方法的選擇受限于一個或多個認證方法的指定。在用戶的第二裝置上，裝置可執(zhí)行由裝置描述文件組件的一個或多個裝置描述文件指定的一種或多種類型的端點分析。裝置可準許對一個或多個所識別資源的一種資源的訪問。裝置可拒絕對一個或多個所識別資源的一種資源的訪問。如策略組所指定的，裝置可忽略該裝置的一個或多個參數(shù)。在另一個方面，本發(fā)明涉及用于提供策略組以集合訪問配置從而控制特定用戶對特定資源的訪問的系統(tǒng)。該系統(tǒng)可包括在多個客戶機和一個或多個服務(wù)器中間的裝置。該裝置的策略管理器可建立策略組。所述策略組可表示一個或多個訪問配置的集合，用于用戶經(jīng)由所述裝置訪問一個或多個服務(wù)器的一個或多個所標識資源。策略組的登錄點組件可表示訪問一個或多個所識別資源的入口點。登錄點組件可指定入口點的統(tǒng)一資源定位符?？山?jīng)由策略管理器指定用于登錄點組件的一個或多個認證方法?？山?jīng)由策略管理器基于所述一個或多個認證方法為登錄點組件識別一個或多個授權(quán)方法。在附圖和下面的描述中將詳細闡述本發(fā)明的各種實施例的細節(jié)。通過參考下述結(jié)合附圖的描述，本發(fā)明的前述及其它目的、方面、特征和優(yōu)點將會更加明顯并更易于理解，其中:圖1A是客戶機經(jīng)由設(shè)備訪問服務(wù)器的網(wǎng)絡(luò)環(huán)境的實施例的框圖；圖1B是經(jīng)由設(shè)備從服務(wù)器傳送計算環(huán)境到客戶機的環(huán)境的實施例的框圖；圖1C是經(jīng)由設(shè)備從服務(wù)器傳送計算環(huán)境到客戶機的環(huán)境的另一個實施例的框圖；圖1D是經(jīng)由設(shè)備從服務(wù)器傳送計算環(huán)境到客戶機的環(huán)境的又一個實施例的框圖；圖1E-1H是計算裝置的實施例的框圖；圖2A是用于處理客戶機和服務(wù)器之間的通信的設(shè)備的實施例的框圖；圖2B是用于優(yōu)化、加速、負載平衡以及路由客戶機和服務(wù)器之間的通信的設(shè)備的另一個實施例的框圖；圖3是用于經(jīng)由設(shè)備與服務(wù)器通信的客戶機的實施例的框圖；圖4A是虛擬化環(huán)境的實施例的框圖；圖4B是虛擬化環(huán)境的另一個實施例的框圖；圖4C是虛擬化設(shè)備的實施例的框圖；圖5A是在多核網(wǎng)絡(luò)設(shè)備中實現(xiàn)并行的方法的實施例的框圖；圖5B是使用多核網(wǎng)絡(luò)應(yīng)用的系統(tǒng)的實施例的框圖；圖5C是多核網(wǎng)絡(luò)設(shè)備的一個方面的實施例的框圖；圖6A是用于提供策略組的系統(tǒng)的實施例的框圖；圖6B是用于提供策略組的系統(tǒng)的另一個實施例的框圖；以及圖6C是用于提供策略組的方法的實施例的流程圖。根據(jù)下面結(jié)合附圖所闡述的詳細描述，本發(fā)明的特征和優(yōu)點將更明顯，其中，同樣的參考標記在全文中標識相應(yīng)的元素。在附圖中，同樣的附圖標記通常表示相同的、功能上相似的和/或結(jié)構(gòu)上相似的元素。具體實施例方式為了閱讀本發(fā)明下述各種具體實施例的描述，下述對于說明書的部分以及它們各自內(nèi)容的描述是有用的:-A部分描述有益于實施本文描述的實施例的網(wǎng)絡(luò)環(huán)境和計算環(huán)境；-B部分描述用于將計算環(huán)境傳送到遠程用戶的系統(tǒng)和方法的實施例；-C部分描述用于加速客戶機和服務(wù)器之間通信的系統(tǒng)和方法的實施例；-D部分描述用于對應(yīng)用傳送控制器進行虛擬化的系統(tǒng)和方法的實施例。-E部分描述用于提供多核架構(gòu)和環(huán)境的系統(tǒng)和方法的實施例；以及-F部分描述用于提供策略組以控制對資源的訪問的系統(tǒng)和方法的實施例。A.網(wǎng)絡(luò)和計算環(huán)塏在討論設(shè)備和/或客戶機的系統(tǒng)和方法的實施例的細節(jié)之前，討論可在其中部署這些實施例的網(wǎng)絡(luò)和計算環(huán)境是有幫助的。現(xiàn)在參見圖1A，描述了網(wǎng)絡(luò)環(huán)境的實施例。概括來講，網(wǎng)絡(luò)環(huán)境包括經(jīng)由一個或多個網(wǎng)絡(luò)104、104’(總的稱為網(wǎng)絡(luò)104)與一個或多個服務(wù)器106a—106η(同樣總的稱為服務(wù)器106,或遠程機器106)通信的一個或多個客戶機102a-102η(同樣總的稱為本地機器102，或客戶機102)。在一些實施例中，客戶機102通過設(shè)備200與服務(wù)器106通信。雖然圖1A示出了在客戶機102和服務(wù)器106之間的網(wǎng)絡(luò)104和網(wǎng)絡(luò)104’，客戶機102和服務(wù)器106可以位于同一個的網(wǎng)絡(luò)104上。網(wǎng)絡(luò)104和104’可以是相同類型的網(wǎng)絡(luò)或不同類型的網(wǎng)絡(luò)。網(wǎng)絡(luò)104和/或104’可為局域網(wǎng)(LAN)例如公司內(nèi)網(wǎng)，城域網(wǎng)(MAN)，或者廣域網(wǎng)(WAN)例如因特網(wǎng)或萬維網(wǎng)。在一個實施例中，網(wǎng)絡(luò)104可為專用網(wǎng)絡(luò)并且網(wǎng)絡(luò)104’可為公網(wǎng)。在一些實施例中，網(wǎng)絡(luò)104可為專用網(wǎng)并且網(wǎng)絡(luò)104’可為公網(wǎng)。在又一個實施例中，網(wǎng)絡(luò)104和104’可都為專用網(wǎng)。在一些實施例中，客戶機102可位于公司企業(yè)的分支機構(gòu)中，通過網(wǎng)絡(luò)104上的WAN連接與位于公司數(shù)據(jù)中心的服務(wù)器106通信。網(wǎng)絡(luò)104和/或104’可以是任何類型和/或形式的網(wǎng)絡(luò)，并且可包括任何下述網(wǎng)絡(luò):點對點網(wǎng)絡(luò)，廣播網(wǎng)絡(luò)，廣域網(wǎng)，局域網(wǎng)，電信網(wǎng)絡(luò)，數(shù)據(jù)通信網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)，ATM(異步傳輸模式)網(wǎng)絡(luò)，SONET(同步光纖網(wǎng)絡(luò))網(wǎng)絡(luò)，SDH(同步數(shù)字體系)網(wǎng)絡(luò)，無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)。在一些實施例中，網(wǎng)絡(luò)104可以包括無線鏈路，諸如紅外信道或者衛(wèi)星頻帶。網(wǎng)絡(luò)104和/或104’的拓撲可為總線型、星型或環(huán)型網(wǎng)絡(luò)拓撲。網(wǎng)絡(luò)104和/或104’以及網(wǎng)絡(luò)拓撲可以是對于本領(lǐng)域普通技術(shù)人員所熟知的、可以支持此處描述的操作的任何這樣的網(wǎng)絡(luò)或網(wǎng)絡(luò)拓撲。如圖1A所示，設(shè)備200被顯示在網(wǎng)絡(luò)104和104’之間，設(shè)備200也可被稱為接口單元200或者網(wǎng)關(guān)200。在一些實施例中，設(shè)備200可位于網(wǎng)絡(luò)104上。例如，公司的分支機構(gòu)可在分支機構(gòu)中部署設(shè)備200。在其他實施例中，設(shè)備200可以位于網(wǎng)絡(luò)104’上。例如，設(shè)備200可位于公司的數(shù)據(jù)中心。在又一個實施例中，多個設(shè)備200可在網(wǎng)絡(luò)104上部署。在一些實施例中，多個設(shè)備200可部署在網(wǎng)絡(luò)104’上。在一個實施例中，第一設(shè)備200與第二設(shè)備200’通信。在其他實施例中，設(shè)備200可為位于與客戶機102同一或不同網(wǎng)絡(luò)104、104’的任一客戶機102或服務(wù)器106的一部分。一個或多個設(shè)備200可位于客戶機102和服務(wù)器106之間的網(wǎng)絡(luò)或網(wǎng)絡(luò)通信路徑中的任一點。在一些實施例中，設(shè)備200包括由位于佛羅里達州Ft.Lauderdale的CitrixSystems公司制造的被稱為CitrixNetScaler設(shè)備的任何網(wǎng)絡(luò)設(shè)備。在其他實施例中，設(shè)備200包括由位于華盛頓州西雅圖的F5Networks公司制造的被稱為WebAccelerator和BigIP的任何一個產(chǎn)品實施例。在又一個實施例中，設(shè)備205包括由位于加利福尼亞州Sunnyvale的JuniperNetworks公司制造的DX加速設(shè)備平臺和/或諸如SA700、SA2000、SA4000和SA6000的SSLVPN系列設(shè)備中的任何一個。在又一個實施例中，設(shè)備200包括由位于加利福尼亞州SanJose的CiscoSystems公司制造的任何應(yīng)用加速和/或安全相關(guān)的設(shè)備和/或軟件，例如CiscoACE應(yīng)用控制引擎模塊服務(wù)(ApplicationControlEngineModuleservice)軟件和網(wǎng)絡(luò)模塊以及CiscoAVS系列應(yīng)用速度系統(tǒng)(ApplicationVelocitySystem)。在一個實施例中，系統(tǒng)可包括多個邏輯分組的服務(wù)器106。在這些實施例中，服務(wù)器的邏輯分組可以被稱為服務(wù)器群38。在其中一些實施例中，服務(wù)器106可為地理上分散的。在一些情況中，群38可以作為單個實體被管理。在其他實施例中，服務(wù)器群38包括多個服務(wù)器群38。在一個實施例中，服務(wù)器群代表一個或多個客戶機102執(zhí)行一個或多個應(yīng)用程序。在每個群38中的服務(wù)器106可為不同種類。一個或多個服務(wù)器106可根據(jù)一種類型的操作系統(tǒng)平臺(例如，由華盛頓州Redmond的Microsoft公司制造的WINDOWSNT)操作，而一個或多個其它服務(wù)器106可根據(jù)另一類型的操作系統(tǒng)平臺(例如，Unix或Linux)操作。每個群38的服務(wù)器106不需要與同一群38內(nèi)的另一個服務(wù)器106物理上接近。因此，被邏輯分組為群38的服務(wù)器106組可使用廣域網(wǎng)(WAN)連接或城域網(wǎng)(MAN)連接互聯(lián)。例如，群38可包括物理上位于不同大陸或大陸的不同區(qū)域、國家、州、城市、校園或房間的服務(wù)器106。如果使用局域網(wǎng)(LAN)連接或一些直連形式來連接服務(wù)器106，則可增加群38中的服務(wù)器106間的數(shù)據(jù)傳送速度。服務(wù)器106可指文件服務(wù)器、應(yīng)用服務(wù)器、web服務(wù)器、代理服務(wù)器或者網(wǎng)關(guān)服務(wù)器。在一些實施例中，服務(wù)器106可以有作為應(yīng)用服務(wù)器或者作為主應(yīng)用服務(wù)器工作的能力。在一個實施例中，服務(wù)器106可包括活動目錄。客戶機102也可稱為客戶端節(jié)點或端點。在一些實施例中，客戶機102可以有作為客戶機節(jié)點尋求訪問服務(wù)器上的應(yīng)用的能力，也可以有作為應(yīng)用服務(wù)器為其它客戶機102a-102n提供對寄載的應(yīng)用的訪問的能力。在一些實施例中，客戶機102與服務(wù)器106通信。在一個實施例中，客戶機102與群38中的服務(wù)器106的其中一個直接通信。在又一個實施例中，客戶機102執(zhí)行程序鄰近應(yīng)用(programneighborhoodapplication)以與群38內(nèi)的服務(wù)器106通信。在又一個實施例中，服務(wù)器106提供主節(jié)點的功能。在一些實施例中，客戶機102通過網(wǎng)絡(luò)104與群38中的服務(wù)器106通信。通過網(wǎng)絡(luò)104，客戶機102例如可以請求執(zhí)行群38中的服務(wù)器106a-106n寄載的各種應(yīng)用，并接收應(yīng)用執(zhí)行結(jié)果的輸出進行顯示。在一些實施例中，只有主節(jié)點提供識別和提供與寄載所請求的應(yīng)用的服務(wù)器106’相關(guān)的地址信息所需的功能。在一個實施例中，服務(wù)器106提供web服務(wù)器的功能。在又一個實施例中，服務(wù)器106a接收來自客戶機102的請求，將該請求轉(zhuǎn)發(fā)到第二服務(wù)器106b，并使用來自服務(wù)器106b對該請求的響應(yīng)來對客戶機102的請求進行響應(yīng)。在又一個實施例中，服務(wù)器106獲得客戶機102可用的應(yīng)用的列舉以及與由該應(yīng)用的列舉所識別的應(yīng)用的服務(wù)器106相關(guān)的地址信息。在又一個實施例中，服務(wù)器106使用web接口將對請求的響應(yīng)提供給客戶機102。在一個實施例中，客戶機102直接與服務(wù)器106通信以訪問所識別的應(yīng)用。在又一個實施例中，客戶機102接收由執(zhí)行服務(wù)器106上所識別的應(yīng)用而產(chǎn)生的諸如顯示數(shù)據(jù)的應(yīng)用輸出數(shù)據(jù)?，F(xiàn)參考圖1B，描述了部署多個設(shè)備200的網(wǎng)絡(luò)環(huán)境的實施例。第一設(shè)備200可以部署在第一網(wǎng)絡(luò)104上，而第二設(shè)備200’部署在第二網(wǎng)絡(luò)104’上。例如，公司可以在分支機構(gòu)部署第一設(shè)備200,而在數(shù)據(jù)中心部署第二設(shè)備200’。在又一個實施例中，第一設(shè)備200和第二設(shè)備200’被部署在同一個網(wǎng)絡(luò)104或網(wǎng)絡(luò)104上。例如，第一設(shè)備200可以被部署用于第一服務(wù)器群38,而第二設(shè)備200可以被部署用于第二服務(wù)器群38’。在另一個實例中，第一設(shè)備200可以被部署在第一分支機構(gòu)，而第二設(shè)備200’被部署在第二分支機構(gòu)’。在一些實施例中，第一設(shè)備200和第二設(shè)備200’彼此協(xié)同或聯(lián)合工作，以加速客戶機和服務(wù)器之間的網(wǎng)絡(luò)流量或應(yīng)用和數(shù)據(jù)的傳送?，F(xiàn)參考圖1C，描述了網(wǎng)絡(luò)環(huán)境的又一個實施例，在該網(wǎng)絡(luò)環(huán)境中，將設(shè)備200和一個或多個其它類型的設(shè)備部署在一起，例如，部署在一個或多個WAN優(yōu)化設(shè)備205，205’之間。例如，第一WAN優(yōu)化設(shè)備205顯示在網(wǎng)絡(luò)104和104’之間，而第二WAN優(yōu)化設(shè)備205’可以部署在設(shè)備200和一個或多個服務(wù)器106之間。例如，公司可以在分支機構(gòu)部署第一WAN優(yōu)化設(shè)備205，而在數(shù)據(jù)中心部署第二WAN優(yōu)化設(shè)備205’。在一些實施例中，設(shè)備205可以位于網(wǎng)絡(luò)104’上。在其他實施例中，設(shè)備205’可以位于網(wǎng)絡(luò)104上。在一些實施例中，設(shè)備205’可以位于網(wǎng)絡(luò)104’或網(wǎng)絡(luò)104〃上。在一個實施例中，設(shè)備205和205’在同一個網(wǎng)絡(luò)上。在又一個實施例中，設(shè)備205和205’在不同的網(wǎng)絡(luò)上。在另一個實例中，第一WAN優(yōu)化設(shè)備205可以被部署用于第一服務(wù)器群38,而第二WAN優(yōu)化設(shè)備205’可以被部署用于第二服務(wù)器群38’。在一個實施例中，設(shè)備205是用于加速、優(yōu)化或者以其他方式改善任何類型和形式的網(wǎng)絡(luò)流量(例如去往和/或來自WAN連接的流量)的性能、操作或服務(wù)質(zhì)量的裝置。在一些實施例中，設(shè)備205是一個性能增強代理。在其他實施例中，設(shè)備205是任何類型和形式的WAN優(yōu)化或加速裝置，有時也被稱為WAN優(yōu)化控制器。在一個實施例中，設(shè)備205是由位于佛羅里達州Ft.Lauderdale的CitrixSystems公司出品的被稱為WANScaler的產(chǎn)品實施例中的任何一種。在其他實施例中，設(shè)備205包括由位于華盛頓州Seattle的F5Networks公司出品的被稱為BIG-1P鏈路控制器和WANjet的產(chǎn)品實施例中的任何一種。在又一個實施例中，設(shè)備205包括由位于加利福尼亞州Sunnyvale的JuniperNetWorks公司出品的WX和WXCWAN加速裝置平臺中的任何一種。在一些實施例中，設(shè)備205包括由加利福尼亞州SanFrancisco的RiverbedTechnology公司出品的虹蹲(steelhead)系列WAN優(yōu)化設(shè)備中的任何一種。在其他實施例中，設(shè)備205包括由位于新澤西州Roseland的ExpandNetworks公司出品的WAN相關(guān)裝置中的任何一種。在一個實施例中，設(shè)備205包括由位于加利福尼亞州Cupertino的Packeteer公司出品的任何一種WAN相關(guān)設(shè)備，例如由Packeteer提供的PacketShaper、iShared和SkyX產(chǎn)品實施例。在又一個實施例中，設(shè)備205包括由位于加利福尼亞州SanJose的CiscoSystems公司出品的任何WAN相關(guān)設(shè)備和/或軟件，例如Cisco廣域網(wǎng)應(yīng)用服務(wù)軟件和網(wǎng)絡(luò)模塊以及廣域網(wǎng)引擎設(shè)備。在一個實施例中，設(shè)備205為分支機構(gòu)或遠程辦公室提供應(yīng)用和數(shù)據(jù)加速服務(wù)。在一個實施例中，設(shè)備205包括廣域文件服務(wù)(WAFS)的優(yōu)化。在又一個實施例中，設(shè)備205加速文件的傳送，例如經(jīng)由通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS)協(xié)議。在其他實施例中，設(shè)備205在存儲器和/或存儲裝置中提供高速緩存來加速應(yīng)用和數(shù)據(jù)的傳送。在一個實施例中，設(shè)備205在任何級別的網(wǎng)絡(luò)堆?；蛟谌魏蔚膮f(xié)議或網(wǎng)絡(luò)層中提供網(wǎng)絡(luò)流量的壓縮。在又一個實施例中，設(shè)備205提供傳輸層協(xié)議優(yōu)化、流量控制、性能增強或修改和/或管理，以加速WAN連接上的應(yīng)用和數(shù)據(jù)的傳送。例如，在一個實施例中，設(shè)備205提供傳輸控制協(xié)議(TCP)優(yōu)化。在其他實施例中，設(shè)備205提供對于任何會話或應(yīng)用層協(xié)議的優(yōu)化、流量控制、性能增強或修改和/或管理。在又一個實施例中，設(shè)備205將任何類型和形式的數(shù)據(jù)或信息編碼成網(wǎng)絡(luò)分組的定制的或標準的TCP和/或IP的報頭字段或可選字段，以將其存在、功能或能力通告給另一個設(shè)備205’。在又一個實施例中，設(shè)備205’可以使用在TCP和/或IP報頭字段或選項中編碼的數(shù)據(jù)來與另一個設(shè)備205’進行通信。例如，設(shè)備可以使用TCP選項或IP報頭字段或選項來傳達在執(zhí)行諸如WAN加速的功能時或者為了彼此聯(lián)合工作而由設(shè)備205，205’所使用的一個或多個參數(shù)。在一些實施例中，設(shè)備200保存在設(shè)備205和205’之間傳達的TCP和/或IP報頭和/或可選字段中編碼的任何信息。例如，設(shè)備200可以終止經(jīng)過設(shè)備200的傳輸層連接，例如經(jīng)過設(shè)備205和205’的在客戶機和服務(wù)器之間的一個傳輸層連接。在一個實施例中，設(shè)備200識別并保存由第一設(shè)備205通過第一傳輸層連接發(fā)送的傳輸層分組中的任何編碼信息，并經(jīng)由第二傳輸層連接來將具有編碼信息的傳輸層分組傳達到第二設(shè)備205’。現(xiàn)參考圖1D，描述了用于傳送和/或操作客戶機102上的計算環(huán)境的網(wǎng)絡(luò)環(huán)境。在一些實施例中，服務(wù)器106包括用于向一個或多個客戶機102傳送計算環(huán)境或應(yīng)用和/或數(shù)據(jù)文件的應(yīng)用傳送系統(tǒng)190?？偟膩碚f，客戶機10通過網(wǎng)絡(luò)104、104’和設(shè)備200與服務(wù)器106通信。例如，客戶機102可駐留在公司的遠程辦公室里，例如分支機構(gòu)，并且服務(wù)器106可駐留在公司數(shù)據(jù)中心。客戶機102包括客戶機代理120以及計算環(huán)境15。計算環(huán)境15可執(zhí)行或操作用于訪問、處理或使用數(shù)據(jù)文件的應(yīng)用。可經(jīng)由設(shè)備200和/或服務(wù)器106傳送計算環(huán)境15、應(yīng)用和/或數(shù)據(jù)文件。在一些實施例中，設(shè)備200加速計算環(huán)境15或者其任何部分到客戶機102的傳送。在一個實施例中，設(shè)備200通過應(yīng)用傳送系統(tǒng)190加速計算環(huán)境15的傳送。例如，可使用此處描述的實施例來加速從公司中央數(shù)據(jù)中心到遠程用戶位置(例如公司的分支機構(gòu))的流應(yīng)用(streamingapplication)及該應(yīng)用可處理的數(shù)據(jù)文件的傳送。在又一個實施例中，設(shè)備200加速客戶機102和服務(wù)器106之間的傳輸層流量。設(shè)備200可以提供用于加速從服務(wù)器106到客戶機102的任何傳輸層有效載荷的加速技術(shù)，例如:1)傳輸層連接池，2)傳輸層連接多路復用，3)傳輸控制協(xié)議緩沖，4)壓縮和5)高速緩存。在一些實施例中，設(shè)備200響應(yīng)于來自客戶機102的請求提供服務(wù)器106的負載平衡。在其他實施例中，設(shè)備200充當代理或者訪問服務(wù)器來提供對一個或者多個服務(wù)器106的訪問。在又一個實施例中，設(shè)備200提供從客戶機102的第一網(wǎng)絡(luò)104到服務(wù)器106的第二網(wǎng)絡(luò)104’的安全虛擬專用網(wǎng)絡(luò)連接，諸如SSLVPN連接。在又一些實施例中，設(shè)備200提供客戶機102和服務(wù)器106之間的連接和通信的應(yīng)用防火墻安全、控制和管理。在一些實施例中，基于多個執(zhí)行方法并且基于通過策略引擎195所應(yīng)用的任一驗證和授權(quán)策略，應(yīng)用傳送管理系統(tǒng)190提供將計算環(huán)境傳送到遠程的或者另外的用戶的桌面的應(yīng)用傳送技術(shù)。使用這些技術(shù)，遠程用戶可以從任何網(wǎng)絡(luò)連接裝置100獲取計算環(huán)境并且訪問服務(wù)器所存儲的應(yīng)用和數(shù)據(jù)文件。在一個實施例中，應(yīng)用傳送系統(tǒng)190可駐留在服務(wù)器106上或在其上執(zhí)行。在又一個實施例中，應(yīng)用傳送系統(tǒng)190可駐留在多個服務(wù)器106a-106n上或在其上執(zhí)行。在一些實施例中，應(yīng)用傳送系統(tǒng)190可在服務(wù)器群38內(nèi)執(zhí)行。在一個實施例中，執(zhí)行應(yīng)用傳送系統(tǒng)190的服務(wù)器106也可存儲或提供應(yīng)用和數(shù)據(jù)文件。在又一個實施例中，一個或多個服務(wù)器106的第一組可執(zhí)行應(yīng)用傳送系統(tǒng)190，而不同的服務(wù)器106η可存儲或提供應(yīng)用和數(shù)據(jù)文件。在一些實施例中，應(yīng)用傳送系統(tǒng)190、應(yīng)用和數(shù)據(jù)文件中的每一個可駐留或位于不同的服務(wù)器。在又一個實施例中，應(yīng)用傳送系統(tǒng)190的任何部分可駐留、執(zhí)行、或被存儲于或分發(fā)到設(shè)備200或多個設(shè)備。客戶機102可包括用于執(zhí)行使用或處理數(shù)據(jù)文件的應(yīng)用的計算環(huán)境15。客戶機102可通過網(wǎng)絡(luò)104、104’和設(shè)備200請求來自服務(wù)器106的應(yīng)用和數(shù)據(jù)文件。在一個實施例中，設(shè)備200可以將來自客戶機102的請求轉(zhuǎn)發(fā)到服務(wù)器106。例如，客戶機102可能不具有本地存儲或者本地可訪問的應(yīng)用和數(shù)據(jù)文件。響應(yīng)于請求，應(yīng)用傳送系統(tǒng)190和/或服務(wù)器106可以傳送應(yīng)用和數(shù)據(jù)文件到客戶機102。例如，在一個實施例中，服務(wù)器106可以把應(yīng)用作為應(yīng)用流來傳輸，以在客戶機102上的計算環(huán)境15中操作。在一些實施例中，應(yīng)用傳送系統(tǒng)190包括CitrixSystems有限公司的CitrixAccessSuite的任一部分(例如MetaFrame或CitrixPresentationServer),和/或微軟公司開發(fā)的’MicrosoftWindows終端服務(wù)中的任何一個。在一個實施例中，應(yīng)用傳送系統(tǒng)190可以通過遠程顯示協(xié)議或者以其它方式通過基于遠程計算或者基于服務(wù)器計算來傳送一個或者多個應(yīng)用到客戶機102或者用戶。在又一個實施例中，應(yīng)用傳送系統(tǒng)190可以通過應(yīng)用流來傳送一個或者多個應(yīng)用到客戶機或者用戶。在一個實施例中，應(yīng)用傳送系統(tǒng)190包括策略引擎195，其用于控制和管理對應(yīng)用的訪問、應(yīng)用執(zhí)行方法的選擇以及應(yīng)用的傳送。在一些實施例中，策略引擎195確定用戶或者客戶機102可以訪問的一個或者多個應(yīng)用。在又一個實施例中，策略弓I擎195確定應(yīng)用應(yīng)該如何被傳送到用戶或者客戶機102，例如執(zhí)行方法。在一些實施例中，應(yīng)用傳送系統(tǒng)190提供多個傳送技術(shù)，從中選擇應(yīng)用執(zhí)行的方法，例如基于服務(wù)器的計算、本地流式傳輸或傳送應(yīng)用給客戶機120以用于本地執(zhí)行。在一個實施例中，客戶機102請求應(yīng)用程序的執(zhí)行并且包括服務(wù)器106的應(yīng)用傳送系統(tǒng)190選擇執(zhí)行應(yīng)用程序的方法。在一些實施例中，服務(wù)器106從客戶機102接收證書。在又一個實施例中，服務(wù)器106從客戶機102接收對于可用應(yīng)用的列舉的請求。在一個實施例中，響應(yīng)該請求或者證書的接收，應(yīng)用傳送系統(tǒng)190列舉對于客戶機102可用的多個應(yīng)用程序。應(yīng)用傳送系統(tǒng)190接收執(zhí)行所列舉的應(yīng)用的請求。應(yīng)用傳送系統(tǒng)190選擇預定數(shù)量的方法之一來執(zhí)行所列舉的應(yīng)用，例如響應(yīng)策略引擎的策略。應(yīng)用傳送系統(tǒng)190可以選擇執(zhí)行應(yīng)用的方法，使得客戶機102接收通過執(zhí)行服務(wù)器106上的應(yīng)用程序所產(chǎn)生的應(yīng)用輸出數(shù)據(jù)。應(yīng)用傳送系統(tǒng)190可以選擇執(zhí)行應(yīng)用的方法，使得本地機器10在檢索包括應(yīng)用的多個應(yīng)用文件之后本地執(zhí)行應(yīng)用程序。在又一個實施例中，應(yīng)用傳送系統(tǒng)190可以選擇執(zhí)行應(yīng)用的方法，以通過網(wǎng)絡(luò)104流式傳輸應(yīng)用到客戶機102?？蛻魴C102可以執(zhí)行、操作或者以其它方式提供應(yīng)用，所述應(yīng)用可為任何類型和/或形式的軟件、程序或者可執(zhí)行指令，例如任何類型和/或形式的web瀏覽器、基于web的客戶機、客戶機一服務(wù)器應(yīng)用、瘦客戶端計算客戶機、ActiveX控件、或者Java程序、或者可以在客戶機102上執(zhí)行的任何其它類型和/或形式的可執(zhí)行指令。在一些實施例中，應(yīng)用可以是代表客戶機102在服務(wù)器106上執(zhí)行的基于服務(wù)器或者基于遠程的應(yīng)用。在一個實施例中，服務(wù)器106可以使用任何瘦-客戶端或遠程顯示協(xié)議來顯示輸出到客戶機102，所述瘦_客戶端或遠程顯示協(xié)議例如由位于佛羅里達州Ft.Lauderdale的CitrixSystems公司出品的獨立計算架構(gòu)(ICA)協(xié)議或由位于華盛頓州Redmond的微軟公司出品的遠程桌面協(xié)議(RDP)。應(yīng)用可使用任何類型的協(xié)議，并且它可為，例如，HTTP客戶機、FTP客戶機、Oscar客戶機或Telnet客戶機。在其他實施例中，應(yīng)用包括和VoIP通信相關(guān)的任何類型的軟件，例如軟IP電話。在進一步的實施例中，應(yīng)用包括涉及到實時數(shù)據(jù)通信的任一應(yīng)用，例如用于流式傳輸視頻和/或音頻的應(yīng)用。在一些實施例中，服務(wù)器106或服務(wù)器群38可運行一個或多個應(yīng)用，例如提供瘦客戶端計算或遠程顯示表示應(yīng)用的應(yīng)用。在一個實施例中，服務(wù)器106或服務(wù)器群38作為一個應(yīng)用來執(zhí)行CitrixSystems有限公司的CitrixAccessSuite的任一部分(例如MetaFrame或CitrixPresentationServer),和/或微軟公司開發(fā)的MiermrtftCEWindows終端服務(wù)中的任何一個。在一個實施例中，該應(yīng)用是位于佛羅里達州FortLauderdale的CitrixSystems有限公司開發(fā)的ICA客戶機。在其他實施例中，該應(yīng)用包括由位于華盛頓州Redmond的Microsoft公司開發(fā)的遠程桌面(RDP)客戶機。另外，服務(wù)器106可以運行一個應(yīng)用，例如，其可以是提供電子郵件服務(wù)的應(yīng)用服務(wù)器，例如由位于華盛頓州Redmond的Microsoft公司制造的MicrosoftExchange,web或Internet服務(wù)器，或者桌面共享服務(wù)器，或者協(xié)作服務(wù)器。在一些實施例中，任一應(yīng)用可以包括任一類型的所寄載的服務(wù)或產(chǎn)品，例如位于加利福尼亞州SantaBarbara的CitrixOnlineDivision公司提供的GoToMeeting,位于加利福尼亞州SantaClara的WebEx有限公司提供的WebEx,或者位于華盛頓州Redmond的Microsoft公司提供的MicrosoftOfficeLiveMeeting。仍參考圖1D，網(wǎng)絡(luò)環(huán)境的一個實施例可以包括監(jiān)控服務(wù)器106A。監(jiān)控服務(wù)器106A可以包括任何類型和形式的性能監(jiān)控服務(wù)198。性能監(jiān)控服務(wù)198可以包括監(jiān)控、測量和/或管理軟件和/或硬件，包括數(shù)據(jù)收集、集合、分析、管理和報告。在一個實施例中，性能監(jiān)控服務(wù)198包括一個或多個監(jiān)控代理197。監(jiān)控代理197包括用于在諸如客戶機102、服務(wù)器106或設(shè)備200和205的裝置上執(zhí)行監(jiān)控、測量和數(shù)據(jù)收集活動的任何軟件、硬件或其組合。在一些實施例中，監(jiān)控代理197包括諸如VisualBasic腳本或Javascript任何類型和形式的腳本。在一個實施例中，監(jiān)控代理197相對于裝置的任何應(yīng)用和/或用戶透明地執(zhí)行。在一些實施例中，監(jiān)控代理197相對于應(yīng)用或客戶機不顯眼地被安裝和操作。在又一個實施例中，監(jiān)控代理197的安裝和操作不需要用于該應(yīng)用或裝置的任何設(shè)備。在一些實施例中，監(jiān)控代理197以預定頻率監(jiān)控、測量和收集數(shù)據(jù)。在其他實施例中，監(jiān)控代理197基于檢測到任何類型和形式的事件來監(jiān)控、測量和收集數(shù)據(jù)。例如，監(jiān)控代理197可以在檢測到對web頁面的請求或收到HTTP響應(yīng)時收集數(shù)據(jù)。在另一個實例中，監(jiān)控代理197可以在檢測到諸如鼠標點擊的任一用戶輸入事件時收集數(shù)據(jù)。監(jiān)控代理197可以報告或提供任何所監(jiān)控、測量或收集的數(shù)據(jù)給監(jiān)控服務(wù)198。在一個實施例中，監(jiān)控代理197根據(jù)時間安排或預定頻率來發(fā)送信息給監(jiān)控服務(wù)198。在又一個實施例中，監(jiān)控代理197在檢測到事件時發(fā)送信息給監(jiān)控服務(wù)198。在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197對諸如客戶機、服務(wù)器、服務(wù)器群、設(shè)備200、設(shè)備205或網(wǎng)絡(luò)連接的任何網(wǎng)絡(luò)資源或網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)元件的進行監(jiān)控和性能測量。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197執(zhí)行諸如TCP或UDP連接的任何傳輸層連接的監(jiān)控和性能測量。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量網(wǎng)絡(luò)等待時間。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量帶寬利用。在其他實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量終端用戶響應(yīng)時間。在一些實施例中，監(jiān)控服務(wù)198執(zhí)行應(yīng)用的監(jiān)控和性能測量。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197執(zhí)行到應(yīng)用的任何會話或連接的監(jiān)控和性能測量。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量瀏覽器的性能。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量基于HTTP的事務(wù)的性能。在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量IP電話(VoIP)應(yīng)用或會話的性能。在其他實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量諸如ICA客戶機或RDP客戶機的遠程顯示協(xié)議應(yīng)用的性能。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量任何類型和形式的流媒體的性能。在進一步的實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量所寄載的應(yīng)用或軟件即服務(wù)(Software-As-A-Service,SaaS)傳送模型的性能。在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197執(zhí)行與應(yīng)用相關(guān)的一個或多個事務(wù)、請求或響應(yīng)的監(jiān)控和性能測量。在其他實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量應(yīng)用層堆棧的任何部分，例如任何.NET或J2EE調(diào)用。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量數(shù)據(jù)庫或SQL事務(wù)。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量任何方法、函數(shù)或應(yīng)用編程接口(API)調(diào)用。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197對經(jīng)由諸如設(shè)備200和/或設(shè)備205的一個或多個設(shè)備從服務(wù)器到客戶機的應(yīng)用和/或數(shù)據(jù)的傳送進行監(jiān)控和性能測量。在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量虛擬化應(yīng)用的傳送的性能。在其他實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量流式應(yīng)用的傳送的性能。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量傳送桌面應(yīng)用到客戶機和/或在客戶機上執(zhí)行桌面應(yīng)用的性能。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控和測量客戶機/服務(wù)器應(yīng)用的性能。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197被設(shè)計和構(gòu)建成為應(yīng)用傳送系統(tǒng)190提供應(yīng)用性能管理。例如，監(jiān)控服務(wù)198和/或監(jiān)控代理197可以監(jiān)控、測量和管理經(jīng)由Citrix表示服務(wù)器(CitrixPresentationServer)傳送應(yīng)用的性能。在該實例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控單獨的ICA會話。監(jiān)控服務(wù)198和/或監(jiān)控代理197可以測量總的以及每次的會話系統(tǒng)資源使用，以及應(yīng)用和連網(wǎng)性能。監(jiān)控服務(wù)198和/或監(jiān)控代理197可以對于給定用戶和/或用戶會話來標識有效服務(wù)器(activeserver).在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197監(jiān)控在應(yīng)用傳送系統(tǒng)190和應(yīng)用和/或數(shù)據(jù)庫服務(wù)器之間的后端連接。監(jiān)控服務(wù)198和/或監(jiān)控代理197可以測量每個用戶會話或ICA會話的網(wǎng)絡(luò)等待時間、延遲和容量。在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控對于應(yīng)用傳送系統(tǒng)190的諸如總的存儲器使用、每個用戶會話和/或每個進程的存儲器使用。在其他實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控諸如總的CPU使用、每個用戶會話和/或每個進程的應(yīng)用傳送系統(tǒng)190的CPU使用。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控登錄到諸如Citrix表示服務(wù)器的應(yīng)用、服務(wù)器或應(yīng)用傳送系統(tǒng)所需的時間。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控用戶登錄應(yīng)用、月艮務(wù)器或應(yīng)用傳送系統(tǒng)190的持續(xù)時間。在一些實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控應(yīng)用、服務(wù)器或應(yīng)用傳送系統(tǒng)會話的有效和無效的會話計數(shù)。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控用戶會話等待時間。在另外的實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控任何類型和形式的服務(wù)器指標。在一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控與系統(tǒng)內(nèi)存、CPU使用和盤存儲器有關(guān)的指標。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控和頁錯誤有關(guān)的指標，諸如每秒頁錯誤。在其他實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控往返時間的指標。在又一個實施例中，監(jiān)控服務(wù)198和/或監(jiān)控代理197測量和監(jiān)控與應(yīng)用崩潰、錯誤和/或中止相關(guān)的指標。在一些實施例中，監(jiān)控服務(wù)198和監(jiān)控代理198包括由位于佛羅里達州Ft.Lauderdale的CitrixSystems公司出品的被稱為EdgeSight的任何一種產(chǎn)品實施例。在又一個實施例中，性能監(jiān)控服務(wù)198和/或監(jiān)控代理198包括由位于加利福尼亞州PaloAlto的Symphoniq公司出品的被稱為TrueView產(chǎn)品套件的產(chǎn)品實施例的任一部分。在一個實施例中，性能監(jiān)控服務(wù)198和/或監(jiān)控代理198包括由位于加利福尼亞州SanFrancisco的TeaLeaf技術(shù)公司出品的被稱為TeaLeafCX產(chǎn)品套件的產(chǎn)品實施例的任何部分。在其他實施例中，性能監(jiān)控服務(wù)198和/或監(jiān)控代理198包括由位于德克薩斯州Houston的BMC軟件公司出品的諸如BMC性能管理器和巡邏產(chǎn)品(BMCPerformanceManagerandPatrolproducts)的商業(yè)服務(wù)管理產(chǎn)品的任何部分?？蛻魴C102、服務(wù)器106和設(shè)備200可以被部署為和/或執(zhí)行在任何類型和形式的計算裝置上，諸如能夠在任何類型和形式的網(wǎng)絡(luò)上通信并執(zhí)行此處描述的操作的計算機、網(wǎng)絡(luò)裝置或者設(shè)備。圖1E和IF描述了可用于實施客戶機102、服務(wù)器106或設(shè)備200的實施例的計算裝置100的框圖。如圖1E和IF所示，每個計算裝置100包括中央處理單元101和主存儲器單元122。如圖1E所示，計算裝置100可以包括可視顯示裝置124、鍵盤126和/或諸如鼠標的指示裝置127。每個計算裝置100也可包括其它可選元件，例如一個或多個輸入/輸出裝置130a-130b(總的使用附圖標記130表示)，以及與中央處理單元101通信的高速緩存存儲器140。中央處理單元101是響應(yīng)并處理從主存儲器單元122取出的指令的任何邏輯電路。在許多實施例中，中央處理單元由微處理器單元提供，例如:由加利福尼亞州MountainView的Intel公司制造的微處理器單元；由伊利諾伊州Schaumburg的Motorola公司制造的微處理器單元；由加利福尼亞州SantaClara的Transmeta公司制造的微處理器單元；由紐約州WhitePlains的InternationalBusinessMachines公司制造的RS/6000處理器；或者由加利福尼亞州Sunnyvale的AdvancedMicroDevices公司制造的微處理器單元。計算裝置100可以基于這些處理器中的任何一種，或者能夠如此處所述方式運行的任何其它處理器。主存儲器單元122可以是能夠存儲數(shù)據(jù)并允許微處理器101直接訪問任何存儲位置的一個或多個存儲器芯片，例如靜態(tài)隨機存取存儲器(SRAM)、突發(fā)SRAM或同步突發(fā)SRAM(BSRAM)、動態(tài)隨機存取存儲器DRAM、快速頁模式DRAM(FPMDRAM)、增強型DRAM(EDRAM)、擴展數(shù)據(jù)輸出RAM(EDORAM)、擴展數(shù)據(jù)輸出DRAM(EDODRAM)、突發(fā)式擴展數(shù)據(jù)輸出DRAM(BED0DRAM)、增強型DRAM(EDRAM)、同步DRAM(SDRAM),JEDECSRAM、PC100SDRAM、雙數(shù)據(jù)速率SDRAM(DDRSDRAM)、增強型SRAM(ESDRAM)、同步鏈路DRAM(SLDRAM)、直接內(nèi)存總線DRAM(DRDRAM)或鐵電RAM(FRAM)0主存儲器122可以基于上述存儲芯片的任何一種，或者能夠如此處所述方式運行的任何其它可用存儲芯片。在圖1E中所示的實施例中，處理器101通過系統(tǒng)總線150(在下面進行更詳細的描述)與主存儲器122進行通信。圖1E描述了在其中處理器通過存儲器端口103直接與主存儲器122通信的計算裝置100的實施例。例如，在圖1F中，主存儲器122可以是DRDRAM。圖1F描述了在其中主處理器101通過第二總線與高速緩存存儲器140直接通信的實施例，第二總線有時也稱為后端總線。其他實施例中，主處理器101使用系統(tǒng)總線150和高速緩存存儲器140通信。高速緩存存儲器140通常有比主存儲器122更快的響應(yīng)時間，并且通常由SRAM、BSRAM或EDRAM提供。在圖1F中所示的實施例中，處理器101通過本地系統(tǒng)總線150與多個I/O裝置130進行通信?？梢允褂酶鞣N不同的總線將中央處理單元101連接到任何I/O裝置130，所述總線包括VESAVL總線、ISA總線、EISA總線、微通道體系結(jié)構(gòu)(MCA)總線、PCI總線、PC1-X總線、PC1-Express總線或NuBus。對于I/O裝置是視頻顯示器124的實施例，處理器101可以使用高級圖形端口(AGP)與顯示器124通信。圖1F說明了主處理器101通過超傳輸(HyperTransport)、快速I/O或者InfiniBand直接與I/O裝置130通信的計算機100的一個實施例。圖1F還描述了在其中混合本地總線和直接通信的實施例:處理器101使用本地互連總線與I/O裝置130b進行通信，同時直接與I/O裝置130a進行通信。計算裝置100可以支持任何適當?shù)陌惭b裝置116，例如用于接納諸如3.5英寸、5.25英寸磁盤或ZIP磁盤這樣的軟盤的軟盤驅(qū)動器、⑶-ROM驅(qū)動器、⑶-R/RW驅(qū)動器、DVD-ROM驅(qū)動器、各種格式的磁帶驅(qū)動器、USB裝置、硬盤驅(qū)動器或適于安裝像任何客戶機代理120或其部分的軟件和程序的任何其它裝置。計算裝置100還可以包括存儲裝置128，諸如一個或者多個硬盤驅(qū)動器或者獨立磁盤冗余陣列，用于存儲操作系統(tǒng)和其它相關(guān)軟件，以及用于存儲諸如涉及客戶機代理120的任何程序的應(yīng)用軟件程序?；蛘?，可以使用安裝裝置116的任何一種作為存儲裝置128。此外，操作系統(tǒng)和軟件可從例如可引導⑶的可引導介質(zhì)運行，諸如KNOPPiX,—種用于GNU/Linux的可引導CD，該可引導CD可自knoppix.net作為GNU/Linux—個分發(fā)版獲得。此外，計算裝置100可以包括通過多種連接接口到局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)或因特網(wǎng)的網(wǎng)絡(luò)接口118，所述多種連接包括但不限于標準電話線路、LAN或WAN鏈路(例如802.ll，Tl，T3、56kb、X.25)、寬帶連接(如ISDN、幀中繼、ATM)、無線連接、或上述任何或所有連接的一些組合。網(wǎng)絡(luò)接口118可以包括內(nèi)置網(wǎng)絡(luò)適配器、網(wǎng)絡(luò)接口卡、PCMCIA網(wǎng)絡(luò)卡、卡總線網(wǎng)絡(luò)適配器、無線網(wǎng)絡(luò)適配器、USB網(wǎng)絡(luò)適配器、調(diào)制解調(diào)器或適用于將計算裝置100接口到能夠通信并執(zhí)行這里所說明的操作的任何類型的網(wǎng)絡(luò)的任何其它設(shè)備。計算裝置100中可以包括各種I/O裝置130a_130n。輸入裝置包括鍵盤、鼠標、觸控板、軌跡球、麥克風和繪圖板。輸出裝置包括視頻顯示器、揚聲器、噴墨打印機、激光打印機和熱升華打印機。如圖1E所示，I/O裝置130可以由I/O控制器123控制。I/O控制器可以控制一個或多個I/O裝置，例如鍵盤126和指示裝置127(如鼠標或光筆)。此外，I/O裝置還可以為計算裝置100提供存儲裝置128和/或安裝介質(zhì)116。在其他實施例中，計算裝置100可以提供USB連接以接納手持USB存儲裝置，例如由位于美國加利福尼亞州LosAlamitos的TwintechIndustry有限公司生產(chǎn)的USB閃存驅(qū)動驅(qū)動系列裝置。在一些實施例中，計算裝置100可以包括多個顯示裝置124a_124n或與其相連，這些顯示裝置各自可以是相同或不同的類型和/或形式。因而，任何一種I/O裝置130a-130n和/或I/O控制器123可以包括任一類型和/或形式的適當?shù)挠布?、軟件或硬件和軟件的組合，以支持、允許或提供通過計算裝置100連接和使用多個顯示裝置124a-124n。例如，計算裝置100可以包括任何類型和/或形式的視頻適配器、視頻卡、驅(qū)動器和/或庫，以與顯示裝置124a-124n接口、通信、連接或以其他方式使用顯示裝置。在一個實施例中，視頻適配器可以包括多個連接器以與多個顯示裝置124a-124n接口。在其他實施例中，計算裝置100可以包括多個視頻適配器，每個視頻適配器與顯示裝置124a-124n中的一個或多個連接。在一些實施例中，計算裝置100的操作系統(tǒng)的任一部分都可以被配置用于使用多個顯示器124a-124n。在其他實施例中，顯示裝置124a_124n中的一個或多個可以由一個或多個其它計算裝置提供，諸如例如通過網(wǎng)絡(luò)與計算裝置100連接的計算裝置IOOa和100b。這些實施例可以包括被設(shè)計和構(gòu)造為將另一個計算機的顯示裝置用作計算裝置100的第二顯示裝置124a的任一類型的軟件。本領(lǐng)域的普通技術(shù)人員應(yīng)認識和理解可以將計算裝置100配置成具有多個顯示裝置124a-124n的各種方法和實施例。在另外的實施例中，I/O裝置130可以是系統(tǒng)總線150和外部通信總線之間的橋170，所述外部通信總線例如USB總線、Apple桌面總線、RS-232串行連接、SCSI總線、FireWire總線、Fireffire800總線、以太網(wǎng)總線、AppleTalk總線、千兆位以太網(wǎng)總線、異步傳輸模式總線、HIPPI總線、超級HIPPI總線、SerialPlus總線、SCI/LAMP總線、光纖信道總線或串行SCSI總線。圖1E和IF中描述的那類計算裝置100通常在控制任務(wù)的調(diào)度和對系統(tǒng)資源的訪問的操作系統(tǒng)的控制下操作。計算裝置100可以運行任何操作系統(tǒng)，如MkiOSoft:X)Windows操作系統(tǒng),不同發(fā)行版本的Unix和Linux操作系統(tǒng),用于Macintosh計算機的任何版本的MAC()S(R>任何嵌入式操作系統(tǒng)，任何實時操作系統(tǒng)，任何開源操作系統(tǒng)，任何專有操作系統(tǒng)，任何用于移動計算裝置的操作系統(tǒng)，或者任何其它能夠在計算裝置上運行并完成這里所述操作的操作系統(tǒng)。典型的操作系統(tǒng)包括:WIND0WS3.X、WIND0WS95、WIND0WS98、WIND0WS2000,WINDOWSΝΤ3.51、WINDOWSΝΤ4.0、WINDOWSCE和WINDOWSXP，所有這些均由位于華盛頓州Redmond的微軟公司出品；由位于加利福尼亞州Cupertino的蘋果計算機出品的MacOS;由位于紐約州Armonk的國際商業(yè)機器公司出品的OS/2;以及由位于猶他州SaltLakeCity的Caldera公司發(fā)布的可免費使用的Linux操作系統(tǒng)或者任何類型和/或形式的Unix操作系統(tǒng)，以及其它。在其他的實施例中，計算裝置100可以有符合該裝置的不同的處理器、操作系統(tǒng)和輸入設(shè)備。例如，在一個實施例中，計算機100是由Palm公司出品的Treol80、270、1060、600或650智能電話。在該實施例中，Treo智能電話在PalmOS操作系統(tǒng)的控制下操作，并包括指示筆輸入裝置以及五向?qū)Ш窖b置。此外，計算裝置100可以是任何工作站、桌面計算機、膝上型或筆記本計算機、服務(wù)器、手持計算機、移動電話、任何其它計算機、或能夠通信并有足夠的處理器能力和存儲容量以執(zhí)行此處所述的操作的其它形式的計算或者電信裝置。如圖1G所示，計算裝置100可以包括多個處理器，可以提供用于對不只一個數(shù)據(jù)片同時執(zhí)行多個指令或者同時執(zhí)行一個指令的功能。在一些實施例中，計算裝置100可包括具有一個或多個核的并行處理器。在這些實施例的一個中，計算裝置100是共享內(nèi)存并行設(shè)備，具有多個處理器和/或多個處理器核，將所有可用內(nèi)存作為一個全局地址空間進行訪問。在這些實施例的又一個中，計算裝置100是分布式存儲器并行設(shè)備，具有多個處理器，每個處理器訪問本地存儲器。在這些實施例的又一個中，計算裝置100既有共享的存儲器又有僅由特定處理器或處理器子集訪問的存儲器。在這些實施例的又一個中，如多核微處理器的計算裝置100將兩個或多個獨立處理器組合在一個封裝中，通常在一個集成電路(IC)中。在這些實施例的又一個中，計算裝置100包括具有單元寬帶引擎(CELLBROADBANDENGINE)架構(gòu)的芯片，并包括高能處理器單元以及多個協(xié)同處理單元，高能處理器單元和多個協(xié)同處理單元通過內(nèi)部高速總線連接在一起，可以將內(nèi)部高速總線稱為單元互連總線。在一些實施例中，處理器提供用于對多個數(shù)據(jù)片同時執(zhí)行單個指令(SMD)的功能。其他實施例中，處理器提供用于對多個數(shù)據(jù)片同時執(zhí)行多個指令(MMD)的功能。又一個實施例中，處理器可以在單個裝置中使用SMD和MMD核的任意組合。在一些實施例中，計算裝置100可包括圖像處理單元。圖1H所示的在這些實施例的一個中，計算裝置100包括至少一個中央處理單元101和至少一個圖像處理單元。在這些實施例的又一個中，計算裝置100包括至少一個并行處理單元和至少一個圖像處理單元。在這些實施例的又一個中，計算裝置100包括任意類型的多個處理單元，多個處理單元中的一個包括圖像處理單元。一些實施例中，第一計算裝置IOOa代表客戶計算裝置IOOb的用戶執(zhí)行應(yīng)用。又一個實施例中，計算裝置100執(zhí)行虛擬機，其提供執(zhí)行會話，在該會話中，代表客戶計算裝置IOOb的用戶執(zhí)行應(yīng)用。在這些實施例的一個中，執(zhí)行會話是寄載的桌面會話。在這些實施例的又一個中，計算裝置100執(zhí)行終端服務(wù)會話。終端服務(wù)會話可以提供寄載的桌面環(huán)境。在這些實施例的又一個中，執(zhí)行會話提供對計算環(huán)境的訪問，該計算環(huán)境可包括以下的一個或多個:應(yīng)用、多個應(yīng)用、桌面應(yīng)用以及可執(zhí)行一個或多個應(yīng)用的桌面會話。B.設(shè)各架構(gòu)圖2A示出設(shè)備200的一個示例實施例。提供圖2A的設(shè)備200架構(gòu)僅用于示例，并不意于作為限制性的架構(gòu)。如圖2所示，設(shè)備200包括硬件層206和被分為用戶空間202和內(nèi)核空間204的軟件層。硬件層206提供硬件元件，在內(nèi)核空間204和用戶空間202中的程序和服務(wù)在該硬件元件上被執(zhí)行。硬件層206也提供結(jié)構(gòu)和元件，就設(shè)備200而言，這些結(jié)構(gòu)和元件允許在內(nèi)核空間204和用戶空間202內(nèi)的程序和服務(wù)既在內(nèi)部進行數(shù)據(jù)通信又與外部進行數(shù)據(jù)通信。如圖2所示，硬件層206包括用于執(zhí)行軟件程序和服務(wù)的處理單元262，用于存儲軟件和數(shù)據(jù)的存儲器264，用于通過網(wǎng)絡(luò)傳輸和接收數(shù)據(jù)的網(wǎng)絡(luò)端口266，以及用于執(zhí)行與安全套接字協(xié)議層相關(guān)的功能處理通過網(wǎng)絡(luò)傳輸和接收的數(shù)據(jù)的加密處理器260。在一些實施例中，中央處理單元262可在單獨的處理器中執(zhí)行加密處理器260的功能。另外，硬件層206可包括用于每個處理單元262和加密處理器260的多處理器。處理器262可以包括以上結(jié)合圖1E和IF所述的任一處理器101。例如，在一個實施例中，設(shè)備200包括第一處理器262和第二處理器262’。在其他實施例中，處理器262或者262’包括多核處理器。雖然示出的設(shè)備200的硬件層206通常帶有加密處理器260，但是處理器260可為執(zhí)行涉及任何加密協(xié)議的功能的處理器，例如安全套接字協(xié)議層(SSL)或者傳輸層安全(TLS)協(xié)議。在一些實施例中，處理器260可為通用處理器(GPP)，并且在進一步的實施例中，可為用于執(zhí)行任何安全相關(guān)協(xié)議處理的可執(zhí)行指令。雖然圖2中設(shè)備200的硬件層206包括了某些元件，但是設(shè)備200的硬件部分或組件可包括計算裝置的任何類型和形式的元件、硬件或軟件，例如此處結(jié)合圖1E和IF示出和討論的計算裝置100。在一些實施例中，設(shè)備200可包括服務(wù)器、網(wǎng)關(guān)、路由器、開關(guān)、橋接器或其它類型的計算或網(wǎng)絡(luò)設(shè)備，并且擁有與此相關(guān)的任何硬件和/或軟件元件。設(shè)備200的操作系統(tǒng)分配、管理或另外分離可用的系統(tǒng)存儲器到內(nèi)核空間204和用戶空間204。在示例的軟件架構(gòu)200中，操作系統(tǒng)可以是任何類型和/或形式的Unix操作系統(tǒng)，盡管本發(fā)明并未這樣限制。這樣，設(shè)備200可以運行任何操作系統(tǒng)，如任何版本的MicrosoftWindows操作系統(tǒng)、不同版本的Unix和Linux操作系統(tǒng)、用于Macintosh計算機的任何版本的MacOS@和、任何的嵌入式操作系統(tǒng)、任何的網(wǎng)絡(luò)操作系統(tǒng)、任何的實時操作系統(tǒng)、任何的開放源操作系統(tǒng)、任何的專用操作系統(tǒng)、用于移動計算裝置或網(wǎng)絡(luò)裝置的任何操作系統(tǒng)、或者能夠運行在設(shè)備200上并執(zhí)行此處所描述的操作的任何其它操作系統(tǒng)。保留內(nèi)核空間204用于運行內(nèi)核230，內(nèi)核230包括任何設(shè)備驅(qū)動器，內(nèi)核擴展或其他內(nèi)核相關(guān)軟件。就像本領(lǐng)域技術(shù)人員所知的，內(nèi)核230是操作系統(tǒng)的核心，并提供對資源以及設(shè)備104的相關(guān)硬件元件的訪問、控制和管理。根據(jù)設(shè)備200的實施例，內(nèi)核空間204也包括與高速緩存管理器232協(xié)同工作的多個網(wǎng)絡(luò)服務(wù)或進程，高速緩存管理器232有時也稱為集成的高速緩存，其益處此處將進一步詳細描述。另外，內(nèi)核230的實施例將依賴于通過設(shè)備200安裝、配置或其他使用的操作系統(tǒng)的實施例。在一個實施例中，設(shè)備200包括一個網(wǎng)絡(luò)堆棧267,例如基于TCP/IP的堆棧,用于與客戶機102和/或服務(wù)器106通信。在一個實施例中，使用網(wǎng)絡(luò)堆棧267與第一網(wǎng)絡(luò)(例如網(wǎng)絡(luò)108)以及第二網(wǎng)絡(luò)110通信。在一些實施例中，設(shè)備200終止第一傳輸層連接，例如客戶機102的TCP連接，并建立客戶機102使用的到服務(wù)器106的第二傳輸層連接，例如，終止在設(shè)備200和服務(wù)器106的第二傳輸層連接?？赏ㄟ^單獨的網(wǎng)絡(luò)堆棧267建立第一和第二傳輸層連接。在其他實施例中，設(shè)備200可包括多個網(wǎng)絡(luò)堆棧，例如267或267’，并且在一個網(wǎng)絡(luò)堆棧267可建立或終止第一傳輸層連接，在第二網(wǎng)絡(luò)堆棧267’上可建立或者終止第二傳輸層連接。例如，一個網(wǎng)絡(luò)堆?？捎糜谠诘谝痪W(wǎng)絡(luò)上接收和傳輸網(wǎng)絡(luò)分組，并且另一個網(wǎng)絡(luò)堆棧用于在第二網(wǎng)絡(luò)上接收和傳輸網(wǎng)絡(luò)分組。在一個實施例中，網(wǎng)絡(luò)堆棧267包括用于為一個或多個網(wǎng)絡(luò)分組進行排隊的緩沖器243，其中網(wǎng)絡(luò)分組由設(shè)備200傳輸。如圖2A所示，內(nèi)核空間204包括高速緩存管理器232、高速層2_7集成分組引擎240、加密引擎234、策略引擎236以及多協(xié)議壓縮邏輯238。在內(nèi)核空間204或內(nèi)核模式而不是用戶空間202中運行這些組件或進程232、240、234、236和238提高這些組件中的每個單獨的和結(jié)合的性能。內(nèi)核操作意味著這些組件或進程232、240、234、236和238在設(shè)備200的操作系統(tǒng)的核地址空間中運行。例如,在內(nèi)核模式中運行加密引擎234通過移動加密和解密操作到內(nèi)核可改進加密性能，從而可減少在內(nèi)核模式中的存儲空間或內(nèi)核線程與在用戶模式中的存儲空間或線程之間的傳輸?shù)臄?shù)量。例如，在內(nèi)核模式獲得的數(shù)據(jù)可能不需要傳輸或拷貝到運行在用戶模式的進程或線程，例如從內(nèi)核級數(shù)據(jù)結(jié)構(gòu)到用戶級數(shù)據(jù)結(jié)構(gòu)。在另一個方面，也可減少內(nèi)核模式和用戶模式之間的上下文切換的數(shù)量。另外，在任何組件或進程232、240、235、236和238間的同步和通信在內(nèi)核空間204中可被執(zhí)行的更有效率。在一些實施例中，組件232、240、234、236和238的任何部分可在內(nèi)核空間204中運行或操作，而這些組件232、240、234、236和238的其它部分可在用戶空間202中運行或操作。在一個實施例中，設(shè)備200使用內(nèi)核級數(shù)據(jù)結(jié)構(gòu)來提供對一個或多個網(wǎng)絡(luò)分組的任何部分的訪問，例如，包括來自客戶機102的請求或者來自服務(wù)器106的響應(yīng)的網(wǎng)絡(luò)分組。在一些實施例中，可以由分組引擎240通過到網(wǎng)絡(luò)堆棧267的傳輸層驅(qū)動器接口或過濾器獲得內(nèi)核級數(shù)據(jù)結(jié)構(gòu)。內(nèi)核級數(shù)據(jù)結(jié)構(gòu)可包括通過與網(wǎng)絡(luò)堆棧267相關(guān)的內(nèi)核空間204可訪問的任何接口和/或數(shù)據(jù)、由網(wǎng)絡(luò)堆棧267接收或發(fā)送的網(wǎng)絡(luò)流量或分組。在其他實施例中，任何組件或進程232、240、234、236和238可使用內(nèi)核級數(shù)據(jù)結(jié)構(gòu)來執(zhí)行組件或進程的需要的操作。在一個實例中，當使用內(nèi)核級數(shù)據(jù)結(jié)構(gòu)時，組件232、240、234、236和238在內(nèi)核模式204中運行，而在又一個實施例中，當使用內(nèi)核級數(shù)據(jù)結(jié)構(gòu)時，組件232、240、234、236和238在用戶模式中運行。在一些實施例中，內(nèi)核級數(shù)據(jù)結(jié)構(gòu)可被拷貝或傳遞到第二內(nèi)核級數(shù)據(jù)結(jié)構(gòu)，或任何期望的用戶級數(shù)據(jù)結(jié)構(gòu)。高速緩存管理器232可包括軟件、硬件或軟件和硬件的任何組合，以提供對任何類型和形式的內(nèi)容的高速緩存訪問、控制和管理，例如對象或由源服務(wù)器106提供服務(wù)的動態(tài)產(chǎn)生的對象。由高速緩存管理器232處理和存儲的數(shù)據(jù)、對象或內(nèi)容可包括任何格式(例如標記語言)的數(shù)據(jù)，或者通過任何協(xié)議的通信的任何類型的數(shù)據(jù)。在一些實施例中，高速緩存管理器232復制存儲在其他地方的原始數(shù)據(jù)或先前計算、產(chǎn)生或傳輸?shù)臄?shù)據(jù)，其中相對于讀高速緩存存儲器元件，需要更長的訪問時間以取得、計算或以其他方式得到原始數(shù)據(jù)。一旦數(shù)據(jù)被存儲在高速緩存存儲元件中，通過訪問高速緩存的副本而不是重新獲得或重新計算原始數(shù)據(jù)即可進行后續(xù)操作，因此而減少了訪問時間。在一些實施例中，高速緩存元件可以包括設(shè)備200的存儲器264中的數(shù)據(jù)對象。在其他實施例中，高速緩存存儲元件可包括有比存儲器264更快的存取時間的存儲器。在又一個實施例中，高速緩存元件可以包括設(shè)備200的任一類型和形式的存儲元件，諸如硬盤的一部分。在一些實施例中，處理單元262可提供被高速緩存管理器232使用的高速緩存存儲器。在又一個實施例中，高速緩存管理器232可使用存儲器、存儲區(qū)或處理單元的任何部分和組合來高速緩存數(shù)據(jù)、對象或其它內(nèi)容。另外，高速緩存管理器232包括用于執(zhí)行此處描述的設(shè)備200的技術(shù)的任一實施例的任何邏輯、功能、規(guī)則或操作。例如，高速緩存管理器232包括基于無效時間周期的終止，或者從客戶機102或服務(wù)器106接收無效命令使對象無效的邏輯或功能。在一些實施例中，高速緩存管理器232可作為在內(nèi)核空間204中執(zhí)行的程序、服務(wù)、進程或任務(wù)而操作，并且在其他實施例中，在用戶空間202中執(zhí)行。在一個實施例中，高速緩存管理器232的第一部分在用戶空間202中執(zhí)行，而第二部分在內(nèi)核空間204中執(zhí)行。在一些實施例中，高速緩存管理器232可包括任何類型的通用處理器(GPP)，或任何其他類型的集成電路，例如現(xiàn)場可編程門陣列(FPGA)，可編程邏輯設(shè)備(PLD)，或者專用集成電路(ASIC)。策略引擎236可包括例如智能統(tǒng)計引擎或其它可編程應(yīng)用。在一個實施例中，策略引擎236提供配置機制以允許用戶識別、指定、定義或配置高速緩存策略。策略引擎236，在一些實施例中，也訪問存儲器以支持數(shù)據(jù)結(jié)構(gòu)，例如備份表或hash表，以啟用用戶選擇的高速緩存策略決定。在其他實施例中，除了對安全、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)訪問、壓縮或其它任何由設(shè)備200執(zhí)行的功能或操作的訪問、控制和管理之外，策略引擎236可包括任何邏輯、規(guī)貝U、功能或操作以確定和提供對設(shè)備200所高速緩存的對象、數(shù)據(jù)、或內(nèi)容的訪問、控制和管理。特定高速緩存策略的其他實施例此處進一步描述。加密引擎234包括用于操控諸如SSL或TLS的任何安全相關(guān)協(xié)議或其中涉及的任何功能的處理的任何邏輯、商業(yè)規(guī)則、功能或操作。例如，加密引擎234加密并解密通過設(shè)備200傳輸?shù)木W(wǎng)絡(luò)分組，或其任何部分。加密引擎234也可代表客戶機102a-102n、服務(wù)器106a-106n或設(shè)備200來設(shè)置或建立SSL或TLS連接。因此，加密引擎234提供SSL處理的卸載和加速。在一個實施例中，加密引擎234使用隧道協(xié)議來提供在客戶機102a-102n和服務(wù)器106a-106n間的虛擬專用網(wǎng)絡(luò)。在一些實施例中，加密引擎234與加密處理器260通信。在其他實施例中，加密引擎234包括運行在加密處理器260上的可執(zhí)行指令。多協(xié)議壓縮引擎238包括用于壓縮一個或多個網(wǎng)絡(luò)分組協(xié)議(例如被設(shè)備200的網(wǎng)絡(luò)堆棧267使用的任何協(xié)議)的任何邏輯、商業(yè)規(guī)則、功能或操作。在一個實施例中，多協(xié)議壓縮引擎238雙向壓縮在客戶機102a-102n和服務(wù)器106a_106n間任一基于TCP/IP的協(xié)議，包括消息應(yīng)用編程接口(MAPI)(電子郵件)、文件傳輸協(xié)議(FTP)、超文本傳輸協(xié)議(HTTP)、通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS)協(xié)議(文件傳輸)、獨立計算架構(gòu)(ICA)協(xié)議、遠程桌面協(xié)議(RDP)、無線應(yīng)用協(xié)議(WAP)、移動IP協(xié)議以及互聯(lián)網(wǎng)協(xié)議電話(VoIP)協(xié)議。在其他實施例中，多協(xié)議壓縮引擎238提供基于超文本標記語言(HTML)的協(xié)議的壓縮，并且在一些實施例中，提供任何標記語言的壓縮，例如可擴展標記語言(XML)。在一個實施例中，多協(xié)議壓縮引擎238提供任何高性能協(xié)議的壓縮，例如設(shè)計用于設(shè)備200到設(shè)備200通信的任何協(xié)議。在又一個實施例中，多協(xié)議壓縮引擎238使用修改的傳輸控制協(xié)議來壓縮任何通信的任何載荷或任何通信，例如事務(wù)TCP(T/TCP)、帶有選擇確認的TCP(TCP-SACK)、帶有大窗口的TCP(TCP-LW)、例如TCP-Vegas協(xié)議的擁塞預報協(xié)議以及TCP欺騙協(xié)議(TCPspoofingprotocol)0同樣的，多協(xié)議壓縮引擎238為用戶加速經(jīng)由桌面客戶機乃至移動客戶機訪問應(yīng)用的性能，所述桌面客戶機例如MicosoftOutlook和非web瘦客戶機,諸如由像Oracle、SAP和Siebel的通用企業(yè)應(yīng)用所啟動的任何客戶機，所述移動客戶機例如掌上電腦。在一些實施例中，通過在內(nèi)核模式204內(nèi)部執(zhí)行并與訪問網(wǎng)絡(luò)堆棧267的分組處理引擎240集成，多協(xié)議壓縮引擎238可以壓縮TCP/IP協(xié)議攜帶的任何協(xié)議，例如任何應(yīng)用層協(xié)議。高速層2-7集成分組引擎240，通常也稱為分組處理引擎，或分組引擎，負責設(shè)備200通過網(wǎng)絡(luò)端口266接收和發(fā)送的分組的內(nèi)核級處理的管理。高速層2-7集成分組引擎240可包括用于在例如接收網(wǎng)絡(luò)分組和傳輸網(wǎng)絡(luò)分組的處理期間排隊一個或多個網(wǎng)絡(luò)分組的緩沖器。另外，高速層2-7集成分組引擎240與一個或多個網(wǎng)絡(luò)堆棧267通信以通過網(wǎng)絡(luò)端口266發(fā)送和接收網(wǎng)絡(luò)分組。高速層2-7集成分組引擎240與加密引擎234、高速緩存管理器232、策略引擎236和多協(xié)議壓縮邏輯238協(xié)同工作。更具體地，配置加密引擎234以執(zhí)行分組的SSL處理，配置策略引擎236以執(zhí)行涉及流量管理的功能，例如請求級內(nèi)容切換以及請求級高速緩存重定向，并配置多協(xié)議壓縮邏輯238以執(zhí)行涉及數(shù)據(jù)壓縮和解壓縮的功能。高速層2-7集成分組引擎240包括分組處理定時器242。在一個實施例中，分組處理定時器242提供一個或多個時間間隔以觸發(fā)輸入處理，例如，接收或者輸出(即傳輸)網(wǎng)絡(luò)分組。在一些實施例中，高速層2-7集成分組引擎240響應(yīng)于定時器242處理網(wǎng)絡(luò)分組。分組處理定時器242向分組引擎240提供任何類型和形式的信號以通知、觸發(fā)或傳輸時間相關(guān)的事件、間隔或發(fā)生。在許多實施例中，分組處理定時器242以毫秒級操作，例如100ms、50ms、或25ms。例如，在一些實例中，分組處理定時器242提供時間間隔或者以其它方式使得由高速層2-7集成分組引擎240以IOms時間間隔處理網(wǎng)絡(luò)分組，而在其他實施例中，使高速層2-7集成分組引擎240以5ms時間間隔處理網(wǎng)絡(luò)分組，并且在進一步的實施例中，短至IJ3、2或Ims時間間隔。高速層2-7集成分組引擎240在操作期間可與加密引擎234、高速緩存管理器232、策略引擎236以及多協(xié)議壓縮引擎238連接、集成或通信。因此，響應(yīng)于分組處理定時器242和/或分組引擎240，可執(zhí)行加密引擎234、高速緩存管理器232、策略引擎236以及多協(xié)議壓縮引擎238的任何邏輯、功能或操作。因此，在由分組處理定時器242提供的時間間隔粒度，可執(zhí)行加密引擎234、高速緩存管理器232、策略引擎236以及多協(xié)議壓縮引擎238的任何邏輯、功能或操作，例如，時間間隔少于或等于10ms。例如，在一個實施例中，高速緩存管理器232可響應(yīng)于高速層2-7集成分組引擎240和/或分組處理定時器242來執(zhí)行任何高速緩存的對象的終止。在又一個實施例中，高速緩存的對象的終止或無效時間被設(shè)定為與分組處理定時器242的時間間隔相同的粒度級，例如每10ms。與內(nèi)核空間204不同，用戶空間202是被用戶模式應(yīng)用或在用戶模式運行的程序所使用的操作系統(tǒng)的存儲區(qū)域或部分。用戶模式應(yīng)用不能直接訪問內(nèi)核空間204而使用服務(wù)調(diào)用以訪問內(nèi)核服務(wù)。如圖2所示，設(shè)備200的用戶空間202包括圖形用戶接口(⑶I)210、命令行接口(CLI)212、殼服務(wù)(shellservice)214、健康監(jiān)控程序216以及守護(daemon)服務(wù)218。⑶1210和CLI212提供系統(tǒng)管理員或其他用戶可與之交互并控制設(shè)備200操作的裝置，例如通過設(shè)備200的操作系統(tǒng)。⑶1210和CLI212可包括運行在用戶空間202或內(nèi)核框架204中的代碼。GUI210可以是任何類型或形式的圖形用戶接口，可以通過文本、圖形或其他形式由任何類型的程序或應(yīng)用(如瀏覽器)來呈現(xiàn)。CLI212可為任何類型和形式的命令行或基于文本的接口，例如通過操作系統(tǒng)提供的命令行。例如，CLI212可包括殼，該殼是使用戶與操作系統(tǒng)相互作用的工具。在一些實施例中，可通過bash、csh、tcsh或者ksh類型的殼提供CLI212。殼服務(wù)214包括程序、服務(wù)、任務(wù)、進程或可執(zhí)行指令以支持由用戶通過⑶1210和/或CLI212的與設(shè)備200或者操作系統(tǒng)的交互健康監(jiān)控程序216用于監(jiān)控、檢查、報告并確保網(wǎng)絡(luò)系統(tǒng)正常運行，以及用戶正通過網(wǎng)絡(luò)接收請求的內(nèi)容。健康監(jiān)控程序216包括一個或多個程序、服務(wù)、任務(wù)、進程或可執(zhí)行指令，為監(jiān)控設(shè)備200的任何行為提供邏輯、規(guī)則、功能或操作。在一些實施例中，健康監(jiān)控程序216攔截并檢查通過設(shè)備200傳遞的任何網(wǎng)絡(luò)流量。在其他實施例中，健康監(jiān)控程序216通過任何合適的方法和/或機制與一個或多個下述設(shè)備連接:加密引擎234，高速緩存管理器232，策略引擎236，多協(xié)議壓縮邏輯238，分組引擎240，守護服務(wù)218以及殼服務(wù)214。因此，健康監(jiān)控程序216可調(diào)用任何應(yīng)用編程接口(API)以確定設(shè)備200的任何部分的狀態(tài)、情況或健康。例如，健康監(jiān)控程序216可周期性地查驗(ping)或發(fā)送狀態(tài)查詢以檢查程序、進程、服務(wù)或任務(wù)是否活動并當前正在運行。在又一個實施例中，健康監(jiān)控程序216可檢查由任何程序、進程、服務(wù)或任務(wù)提供的任何狀態(tài)、錯誤或歷史日志以確定設(shè)備200任何部分的任何狀況、狀態(tài)或錯誤。守護服務(wù)218是連續(xù)運行或在背景中運行的程序，并且處理設(shè)備200接收的周期性服務(wù)請求。在一些實施例中，守護服務(wù)可向其他程序或進程(例如合適的另一個守護服務(wù)218)轉(zhuǎn)發(fā)請求。如本領(lǐng)域技術(shù)人員所公知的，守護服務(wù)218可無人監(jiān)護的運行，以執(zhí)行連續(xù)的或周期性的系統(tǒng)范圍功能，例如網(wǎng)絡(luò)控制，或者執(zhí)行任何需要的任務(wù)。在一些實施例中，一個或多個守護服務(wù)218運行在用戶空間202中，而在其他實施例中，一個或多個守護服務(wù)218運行在內(nèi)核空間。現(xiàn)參考圖2B，描述了設(shè)備200的又一個實施例?？偟膩碚f，設(shè)備200提供下列服務(wù)、功能或操作中的一個或多個:用于一個或多個客戶機102以及一個或多個服務(wù)器106之間的通信的SSLVPN連通280、交換/負載平衡284、域名服務(wù)解析286、加速288和應(yīng)用防火墻290。服務(wù)器106的每一個可以提供一個或者多個網(wǎng)絡(luò)相關(guān)服務(wù)270a-270n(稱為服務(wù)270)。例如，服務(wù)器106可以提供http服務(wù)270。設(shè)備200包括一個或者多個虛擬服務(wù)器或者虛擬互聯(lián)網(wǎng)協(xié)議服務(wù)器，稱為vServer275、vS275、VIP服務(wù)器或者僅是VIP275a_275n(此處也稱為vServer275)。vServer275根據(jù)設(shè)備200的配置和操作來接收、攔截或者以其它方式處理客戶機102和服務(wù)器106之間的通信。vServer275可以包括軟件、硬件或者軟件和硬件的任何組合。vServer275可包括在設(shè)備200中的用戶模式202、內(nèi)核模式204或者其任何組合中運行的任何類型和形式的程序、服務(wù)、任務(wù)、進程或者可執(zhí)行指令。vServer275包括任何邏輯、功能、規(guī)則或者操作，以執(zhí)行此處所述技術(shù)的任何實施例，諸如SSLVPN280、轉(zhuǎn)換/負載平衡284、域名服務(wù)解析286、加速288和應(yīng)用防火墻290。在一些實施例中，vServer275建立到服務(wù)器106的服務(wù)270的連接。服務(wù)275可以包括能夠連接到設(shè)備200、客戶機102或者vServer275并與之通信的任何程序、應(yīng)用、進程、任務(wù)或者可執(zhí)行指令集。例如，服務(wù)275可以包括web服務(wù)器、http服務(wù)器、ftp、電子郵件或者數(shù)據(jù)庫服務(wù)器。在一些實施例中，服務(wù)270是守護進程或者網(wǎng)絡(luò)驅(qū)動器，用于監(jiān)聽、接收和/或發(fā)送應(yīng)用的通信，諸如電子郵件、數(shù)據(jù)庫或者企業(yè)應(yīng)用。在一些實施例中，服務(wù)270可以在特定的IP地址、或者IP地址和端口上通信。在一些實施例中，vServer275應(yīng)用策略引擎236的一個或者多個策略到客戶機102和服務(wù)器106之間的網(wǎng)絡(luò)通信。在一個實施例中，該策略與VSerVer275相關(guān)。在又一個實施例中，該策略基于用戶或者用戶組。在又一個實施例中，策略為通用的并且應(yīng)用到一個或者多個vServer275a-275n，和通過設(shè)備200通信的任何用戶或者用戶組。在一些實施例中，策略引擎的策略具有基于通信的任何內(nèi)容應(yīng)用該策略的條件，通信的內(nèi)容諸如互聯(lián)網(wǎng)協(xié)議地址、端口、協(xié)議類型、分組中的頭部或者字段、或者通信的上下文，諸如用戶、用戶組、VSerVer275、傳輸層連接、和/或客戶機102或者服務(wù)器106的標識或者屬性。在其他實施例中，設(shè)備200與策略引擎236通信或接口，以便確定遠程用戶或遠程客戶機102的驗證和/或授權(quán)，以訪問來自服務(wù)器106的計算環(huán)境15、應(yīng)用和/或數(shù)據(jù)文件。在又一個實施例中，設(shè)備200與策略引擎236通信或交互，以便確定遠程用戶或遠程客戶機102的驗證和/或授權(quán)，使得應(yīng)用傳送系統(tǒng)190傳送一個或多個計算環(huán)境15、應(yīng)用和/或數(shù)據(jù)文件。在又一個實施例中，設(shè)備200基于策略引擎236對遠程用戶或遠程客戶機102的驗證和/或授權(quán)建立VPN或SSLVPN連接。一個實施例中，設(shè)備200基于策略引擎236的策略控制網(wǎng)絡(luò)流量以及通信會話。例如，基于策略引擎236，設(shè)備200可控制對計算環(huán)境15、應(yīng)用或數(shù)據(jù)文件的訪問。在一些實施例中，vServer275與客戶機102經(jīng)客戶機代理120建立傳輸層連接，諸如TCP或者UDP連接。在一個實施例中，vServer275監(jiān)聽和接收來自客戶機102的通信。在其他實施例中，vServer275與客戶機服務(wù)器106建立傳輸層連接，諸如TCP或者UDP連接。在一個實施例中，vServer275建立到運行在服務(wù)器106上的服務(wù)器270的互聯(lián)網(wǎng)協(xié)議地址和端口的傳輸層連接。在又一個實施例中，vServer275將到客戶機102的第一傳輸層連接與到服務(wù)器106的第二傳輸層連接相關(guān)聯(lián)。在一些實施例中，VSerVer275建立到服務(wù)器106的傳輸層連接池并經(jīng)由所述池化(pooled)的傳輸層連接多路復用客戶機的請求。在一些實施例中，設(shè)備200提供客戶機102和服務(wù)器106之間的SSLVPN連接280。例如，第一網(wǎng)絡(luò)102上的客戶機102請求建立到第二網(wǎng)絡(luò)104’上的服務(wù)器106的連接。在一些實施例中，第二網(wǎng)絡(luò)104’是不能從第一網(wǎng)絡(luò)104路由的。在其他實施例中，客戶機102位于公用網(wǎng)絡(luò)104上，并且服務(wù)器106位于專用網(wǎng)絡(luò)104’上，例如企業(yè)網(wǎng)。在一個實施例中，客戶機代理120攔截第一網(wǎng)絡(luò)104上的客戶機102的通信，加密該通信，并且經(jīng)第一傳輸層連接發(fā)送該通信到設(shè)備200。設(shè)備200將第一網(wǎng)絡(luò)104上的第一傳輸層連接與到第二網(wǎng)絡(luò)104上的服務(wù)器106的第二傳輸層連接相關(guān)聯(lián)。設(shè)備200接收來自客戶機代理102的所攔截的通信，解密該通信，并且經(jīng)第二傳輸層連接發(fā)送該通信到第二網(wǎng)絡(luò)104上的服務(wù)器106。第二傳輸層連接可以是池化的傳輸層連接。同樣的，設(shè)備200為兩個網(wǎng)絡(luò)104、104’之間的客戶機102提供端到端安全傳輸層連接。在一個實施例中，設(shè)備200寄載虛擬專用網(wǎng)絡(luò)104上的客戶機102的內(nèi)部網(wǎng)互聯(lián)網(wǎng)協(xié)議或者IntranetIP282地址?？蛻魴C102具有本地網(wǎng)絡(luò)標識符，諸如第一網(wǎng)絡(luò)104上的互聯(lián)網(wǎng)協(xié)議(IP)地址和/或主機名稱。當經(jīng)設(shè)備200連接到第二網(wǎng)絡(luò)104’時，設(shè)備200在第二網(wǎng)絡(luò)104’上為客戶機102建立、分配或者以其它方式提供IntranetIP，其是諸如IP地址和/或主機名稱的網(wǎng)絡(luò)標識符。使用為客戶機的所建立的IntranetIP282，設(shè)備200在第二或?qū)Ｓ镁W(wǎng)104’上監(jiān)聽并接收指向該客戶機102的任何通信。在一個實施例中，設(shè)備200在第二專用網(wǎng)絡(luò)104上用作或者代表客戶機102。例如，在又一個實施例中，vServer275監(jiān)聽和響應(yīng)到客戶機102的IntranetIP282的通信。在一些實施例中，如果第二網(wǎng)絡(luò)104’上的計算裝置100發(fā)送請求，設(shè)備200如同客戶機102—樣來處理該請求。例如，設(shè)備200可以響應(yīng)對客戶機IntranetIP282的查驗。在又一個實施例中，設(shè)備可以與請求和客戶機IntranetIP282連接的第二網(wǎng)絡(luò)104上的計算裝置100建立連接，諸如TCP或者UDP連接。在一些實施例中，設(shè)備200為客戶機102和服務(wù)器106之間的通信提供下列一個或多個加速技術(shù)288:1)壓縮；2)解壓縮；3)傳輸控制協(xié)議池；4)傳輸控制協(xié)議多路復用；5)傳輸控制協(xié)議緩沖；以及6)高速緩存。在一個實施例中，設(shè)備200通過開啟與每一服務(wù)器106的一個或者多個傳輸層連接并且維持這些連接以允許由客戶機經(jīng)因特網(wǎng)的重復數(shù)據(jù)訪問，來為服務(wù)器106緩解由重復開啟和關(guān)閉到客戶機102的傳輸層連接所造成的大量處理負載。該技術(shù)此處稱為“連接池”。在一些實施例中，為了經(jīng)池化的傳輸層連接無縫拼接從客戶機102到服務(wù)器106的通信，設(shè)備200通過在傳輸層協(xié)議級修改序列號和確認號來轉(zhuǎn)換或多路復用通信。這被稱為“連接多路復用”。在一些實施例中，不需要應(yīng)用層協(xié)議相互作用。例如，在到來分組(即，自客戶機102接收的分組)的情況中，所述分組的源網(wǎng)絡(luò)地址被改變?yōu)樵O(shè)備200的輸出端口的網(wǎng)絡(luò)地址，而目的網(wǎng)絡(luò)地址被改為目的服務(wù)器的網(wǎng)絡(luò)地址。在發(fā)出分組(即，自服務(wù)器106接收的一個分組)的情況中，源網(wǎng)絡(luò)地址被從服務(wù)器106的網(wǎng)絡(luò)地址改變?yōu)樵O(shè)備200的輸出端口的網(wǎng)絡(luò)地址，而目的地址被從設(shè)備200的網(wǎng)絡(luò)地址改變?yōu)檎埱蟮目蛻魴C102的網(wǎng)絡(luò)地址。分組的序列號和確認號也被轉(zhuǎn)換為到客戶機102的設(shè)備200的傳輸層連接上的客戶機102所期待的序列號和確認。在一些實施例中，傳輸層協(xié)議的分組校驗和被重新計算以計及這些轉(zhuǎn)換。在又一個實施例中，設(shè)備200為客戶機102和服務(wù)器106之間的通信提供交換或負載平衡功能284。在一些實施例中，設(shè)備200根據(jù)層4或應(yīng)用層請求數(shù)據(jù)來分布流量并將客戶機請求定向到服務(wù)器106。在一個實施例中，盡管網(wǎng)絡(luò)分組的網(wǎng)絡(luò)層或者層2識別目的服務(wù)器106，但設(shè)備200通過承載為傳輸層分組的有效載荷的數(shù)據(jù)和應(yīng)用信息來確定服務(wù)器106以便分發(fā)網(wǎng)絡(luò)分組。在一個實施例中，設(shè)備200的健康監(jiān)控程序216監(jiān)控服務(wù)器的健康來確定分發(fā)客戶機請求到哪個服務(wù)器106。在一些實施例中，如果設(shè)備200探測到某個服務(wù)器106不可用或者具有超過預定閾值的負載，設(shè)備200可以將客戶機請求指向或者分發(fā)到另一個服務(wù)器106。在一些實施例中，設(shè)備200用作域名服務(wù)(DNS)解析器或者以其它方式為來自客戶機102的DNS請求提供解析。在一些實施例中，設(shè)備攔截由客戶機102發(fā)送的DNS請求。在一個實施例中，設(shè)備200以設(shè)備200的IP地址或其所寄載的IP地址來響應(yīng)客戶機的DNS請求。在此實施例中，客戶機102把用于域名的網(wǎng)絡(luò)通信發(fā)送到設(shè)備200。在又一個實施例中，設(shè)備200以第二設(shè)備200’的或其所寄載的IP地址來響應(yīng)客戶機的DNS請求。在一些實施例中，設(shè)備200使用由設(shè)備200確定的服務(wù)器106的IP地址來響應(yīng)客戶機的DNS請求。在又一個實施例中，設(shè)備200為客戶機102和服務(wù)器106之間的通信提供應(yīng)用防火墻功能290。在一個實施例中，策略引擎236提供用于探測和阻斷非法請求的規(guī)則。在一些實施例中，應(yīng)用防火墻290防御拒絕服務(wù)(DoS)攻擊。在其他實施例中，設(shè)備檢查所攔截的請求的內(nèi)容，以識別和阻斷基于應(yīng)用的攻擊。在一些實施例中，規(guī)則/策略引擎236包括用于提供對多個種類和類型的基于web或因特網(wǎng)的脆弱點的保護的一個或多個應(yīng)用防火墻或安全控制策略，例如下列的一個或多個脆弱點:1)緩沖區(qū)泄出，2)CG1-BIN參數(shù)操縱，3)表單/隱藏字段操縱，4)強制瀏覽，5)C00kie或會話中毒，6)被破壞的訪問控制列表(ACLs)或弱密碼，7)跨站腳本處理(XSS)，8)命令注入，9)SQL注入，10)錯誤觸發(fā)敏感信息泄露，11)對加密的不安全使用，12)服務(wù)器錯誤配置，13)后門和調(diào)試選項，14)網(wǎng)站涂改，15)平臺或操作系統(tǒng)弱點，和16)零天攻擊。在一個實施例中，對下列情況的一種或多種，應(yīng)用防火墻290以檢查或分析網(wǎng)絡(luò)通信的形式來提供HTML格式字段的保護:1)返回所需的字段，2)不允許附加字段，3)只讀和隱藏字段強制(enforcement)，4)下拉列表和單選按鈕字段的一致，以及5)格式字段最大長度強制。在一些實施例中，應(yīng)用防火墻290確保cookie不被修改。在其他實施例中，應(yīng)用防火墻290通過執(zhí)行合法的URL來防御強制瀏覽。在其他實施例中，應(yīng)用防火墻290保護在網(wǎng)絡(luò)通信中包含的任何機密信息。應(yīng)用防火墻290可以根據(jù)引擎236的規(guī)則或策略來檢查或分析任一網(wǎng)絡(luò)通信以識別在網(wǎng)絡(luò)分組的任一字段中的任一機密信息。在一些實施例中，應(yīng)用防火墻290在網(wǎng)絡(luò)通信中識別信用卡號、口令、社會保險號、姓名、病人代碼、聯(lián)系信息和年齡的一次或多次出現(xiàn)。網(wǎng)絡(luò)通信的編碼部分可以包括這些出現(xiàn)或機密信息?；谶@些出現(xiàn)，在一個實施例中，應(yīng)用防火墻290可以對網(wǎng)絡(luò)通信采取策略行動，諸如阻止發(fā)送網(wǎng)絡(luò)通信。在又一個實施例中，應(yīng)用防火墻290可以重寫、移動或者以其它方式掩蓋該所識別的出現(xiàn)或者機密信息。仍參考圖2B，設(shè)備200可以包括如上面結(jié)合圖1D所討論的性能監(jiān)控代理197。在一個實施例中，設(shè)備200從如圖1D中所描述的監(jiān)控服務(wù)198或監(jiān)控服務(wù)器106中接收監(jiān)控代理197。在一些實施例中，設(shè)備200在諸如磁盤的存儲裝置中保存監(jiān)控代理197，以用于傳送給與設(shè)備200通信的任何客戶機或服務(wù)器。例如，在一個實施例中，設(shè)備200在接收到建立傳輸層連接的請求時發(fā)送監(jiān)控代理197給客戶機。在其他實施例中，設(shè)備200在建立與客戶機102的傳輸層連接時發(fā)送監(jiān)控代理197。在又一個實施例中，設(shè)備200在攔截或檢測對web頁面的請求時發(fā)送監(jiān)控代理197給客戶機。在又一個實施例中，設(shè)備200響應(yīng)于監(jiān)控服務(wù)器198的請求來發(fā)送監(jiān)控代理197到客戶機或服務(wù)器。在一個實施例中，設(shè)備200發(fā)送監(jiān)控代理197到第二設(shè)備200’或設(shè)備205。在其他實施例中，設(shè)備200執(zhí)行監(jiān)控代理197。在一個實施例中，監(jiān)控代理197測量和監(jiān)控在設(shè)備200上執(zhí)行的任何應(yīng)用、程序、進程、服務(wù)、任務(wù)或線程的性能。例如，監(jiān)控代理197可以監(jiān)控和測量vServers275A-275N的性能與操作。在又一個實施例中，監(jiān)控代理197測量和監(jiān)控設(shè)備200的任何傳輸層連接的性能。在一些實施例中，監(jiān)控代理197測量和監(jiān)控通過設(shè)備200的任何用戶會話的性能。在一個實施例中，監(jiān)控代理197測量和監(jiān)控通過設(shè)備200的諸如SSLVPN會話的任何虛擬專用網(wǎng)連接和/或會話的性能。在進一步的實施例中，監(jiān)控代理197測量和監(jiān)控設(shè)備200的內(nèi)存、CPU和磁盤使用以及性能。在又一個實施例中，監(jiān)控代理197測量和監(jiān)控諸如SSL卸載、連接池和多路復用、高速緩存以及壓縮的由設(shè)備200執(zhí)行的任何加速技術(shù)288的性能。在一些實施例中，監(jiān)控代理197測量和監(jiān)控由設(shè)備200執(zhí)行的任一負載平衡和/或內(nèi)容交換284的性能。在其他實施例中，監(jiān)控代理197測量和監(jiān)控由設(shè)備200執(zhí)行的應(yīng)用防火墻290保護和處理的性能。C.客戶機代理現(xiàn)參考圖3，描述客戶機代理120的實施例?？蛻魴C102包括客戶機代理120，用于經(jīng)由網(wǎng)絡(luò)104與設(shè)備200和/或服務(wù)器106來建立和交換通信?？偟膩碚f，客戶機102在計算裝置100上操作，該計算裝置100擁有帶有內(nèi)核模式302以及用戶模式303的操作系統(tǒng)，以及帶有一個或多個層310a-310b的網(wǎng)絡(luò)堆棧310?？蛻魴C102可以已經(jīng)安裝和/或執(zhí)行一個或多個應(yīng)用。在一些實施例中，一個或多個應(yīng)用可通過網(wǎng)絡(luò)堆棧310與網(wǎng)絡(luò)104通信。所述應(yīng)用之一，諸如web瀏覽器，也可包括第一程序322。例如，可在一些實施例中使用第一程序322來安裝和/或執(zhí)行客戶機代理120，或其中任何部分?？蛻魴C代理120包括攔截機制或者攔截器350，用于從網(wǎng)絡(luò)堆棧310攔截來自一個或者多個應(yīng)用的網(wǎng)絡(luò)通信?？蛻魴C102的網(wǎng)絡(luò)堆棧310可包括任何類型和形式的軟件、或硬件或其組合，用于提供與網(wǎng)絡(luò)的連接和通信。在一個實施例中，網(wǎng)絡(luò)堆棧310包括用于網(wǎng)絡(luò)協(xié)議組的軟件實現(xiàn)。網(wǎng)絡(luò)堆棧310可包括一個或多個網(wǎng)絡(luò)層，例如為本領(lǐng)域技術(shù)人員所公認和了解的開放式系統(tǒng)互聯(lián)(OSI)通信模型的任何網(wǎng)絡(luò)層。這樣，網(wǎng)絡(luò)堆棧310可包括用于任何以下OSI模型層的任何類型和形式的協(xié)議:1)物理鏈路層；2)數(shù)據(jù)鏈路層；3)網(wǎng)絡(luò)層；4)傳輸層；5)會話層)；6)表示層，以及7)應(yīng)用層。在一個實施例中，網(wǎng)絡(luò)堆棧310可包括在因特網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)層協(xié)議上的傳輸控制協(xié)議(TCP)，通常稱為TCP/IP。在一些實施例中，可在以太網(wǎng)協(xié)議上承載TCP/IP協(xié)議，以太網(wǎng)協(xié)議可包括IEEE廣域網(wǎng)(WAN)或局域網(wǎng)(LAN)協(xié)議的任何族，例如被IEEE802.3覆蓋的這些協(xié)議。在一些實施例中，網(wǎng)絡(luò)堆棧310包括任何類型和形式的無線協(xié)議，例如IEEE802.11和/或移動因特網(wǎng)協(xié)議?？紤]基于TCP/IP的網(wǎng)絡(luò)，可使用任何基于TCP/IP的協(xié)議，包括消息應(yīng)用編程接口(MAPI)(email)、文件傳輸協(xié)議(FTP)、超文本傳輸協(xié)議(HTTP)、通用因特網(wǎng)文件系統(tǒng)(CIFS)協(xié)議(文件傳輸)、獨立計算架構(gòu)(ICA)協(xié)議、遠程桌面協(xié)議(RDP)、無線應(yīng)用協(xié)議(WAP)、移動IP協(xié)議，以及互聯(lián)網(wǎng)協(xié)議電話(VoIP)協(xié)議。在又一個實施例中，網(wǎng)絡(luò)堆棧310包括任何類型和形式的傳輸控制協(xié)議，諸如修改的傳輸控制協(xié)議，例如事務(wù)TCP(T/TCP)，帶有選擇確認的TCP(TCP-SACK),帶有大窗口的TCP(TCP-LW)，例如TCP-Vegas協(xié)議的擁塞預測協(xié)議，以及TCP欺騙協(xié)議。在其他實施例中，網(wǎng)絡(luò)堆棧310可使用諸如基于IP的UDP的任何類型和形式的用戶數(shù)據(jù)報協(xié)議(UDP)，例如用于語音通信或?qū)崟r數(shù)據(jù)通信。另外，網(wǎng)絡(luò)堆棧310可包括支持一個或多個層的一個或多個網(wǎng)絡(luò)驅(qū)動器，例如TCP驅(qū)動器或網(wǎng)絡(luò)層驅(qū)動器。網(wǎng)絡(luò)層驅(qū)動器可作為計算裝置100的操作系統(tǒng)的一部分或者作為計算裝置100的任何網(wǎng)絡(luò)接口卡或其它網(wǎng)絡(luò)訪問組件的一部分被包括。在一些實施例中，網(wǎng)絡(luò)堆棧310的任何網(wǎng)絡(luò)驅(qū)動器可被定制、修改或調(diào)整以提供網(wǎng)絡(luò)堆棧310的定制或修改部分，用來支持此處描述的任何技術(shù)。在其他實施例中，設(shè)計并構(gòu)建加速程序302以與網(wǎng)絡(luò)堆棧310協(xié)同操作或工作，上述網(wǎng)絡(luò)堆棧310由客戶機102的操作系統(tǒng)安裝或以其它方式提供。網(wǎng)絡(luò)堆棧310包括任何類型和形式的接口，用于接收、獲得、提供或以其它方式訪問涉及客戶機102的網(wǎng)絡(luò)通信的任何信息和數(shù)據(jù)。在一個實施例中，與網(wǎng)絡(luò)堆棧310的接口包括應(yīng)用編程接口(API)。接口也可包括任何函數(shù)調(diào)用、鉤子或過濾機制，事件或回調(diào)機制、或任何類型的接口技術(shù)。網(wǎng)絡(luò)堆棧310通過接口可接收或提供與網(wǎng)絡(luò)堆棧310的功能或操作相關(guān)的任何類型和形式的數(shù)據(jù)結(jié)構(gòu)，例如對象。例如，數(shù)據(jù)結(jié)構(gòu)可以包括與網(wǎng)絡(luò)分組相關(guān)的信息和數(shù)據(jù)或者一個或多個網(wǎng)絡(luò)分組。在一些實施例中，數(shù)據(jù)結(jié)構(gòu)包括在網(wǎng)絡(luò)堆棧310的協(xié)議層處理的網(wǎng)絡(luò)分組的一部分，例如傳輸層的網(wǎng)絡(luò)分組。在一些實施例中，數(shù)據(jù)結(jié)構(gòu)325包括內(nèi)核級別數(shù)據(jù)結(jié)構(gòu)，而在其他實施例中，數(shù)據(jù)結(jié)構(gòu)325包括用戶模式數(shù)據(jù)結(jié)構(gòu)。內(nèi)核級數(shù)據(jù)結(jié)構(gòu)可以包括獲得的或與在內(nèi)核模式302中操作的網(wǎng)絡(luò)堆棧310的一部分相關(guān)的數(shù)據(jù)結(jié)構(gòu)、或者運行在內(nèi)核模式302中的網(wǎng)絡(luò)驅(qū)動程序或其它軟件、或者由運行或操作在操作系統(tǒng)的內(nèi)核模式的服務(wù)、進程、任務(wù)、線程或其它可執(zhí)行指令獲得或收到的任何數(shù)據(jù)結(jié)構(gòu)。此外，網(wǎng)絡(luò)堆棧310的一些部分可在內(nèi)核模式302執(zhí)行或操作，例如，數(shù)據(jù)鏈路或網(wǎng)絡(luò)層，而其他部分在用戶模式303執(zhí)行或操作，例如網(wǎng)絡(luò)堆棧310的應(yīng)用層。例如，網(wǎng)絡(luò)堆棧的第一部分310a可以給應(yīng)用提供對網(wǎng)絡(luò)堆棧310的用戶模式訪問，而網(wǎng)絡(luò)堆棧310的第二部分310a提供對網(wǎng)絡(luò)的訪問。在一些實施例中，網(wǎng)絡(luò)堆棧的第一部分310a可包括網(wǎng)絡(luò)堆棧310的一個或多個更上層，例如層5-7的任何層。在其他實施例中，網(wǎng)絡(luò)堆棧310的第二部分310b包括一個或多個較低的層，例如層1-4的任何層。網(wǎng)絡(luò)堆棧310的每個第一部分310a和第二部分310b可包括網(wǎng)絡(luò)堆棧310的任何部分，位于任何一個或多個網(wǎng)絡(luò)層，處于用戶模式203、內(nèi)核模式202，或其組合，或在網(wǎng)絡(luò)層的任何部分或者到網(wǎng)絡(luò)層的接口點，或用戶模式203和內(nèi)核模式202的任何部分或到用戶模式203和內(nèi)核模式202的接口點。攔截器350可以包括軟件、硬件、或者軟件和硬件的任何組合。在一個實施例中，攔截器350在網(wǎng)絡(luò)堆棧310的任一點攔截網(wǎng)絡(luò)通信，并且重定向或者發(fā)送網(wǎng)絡(luò)通信到由攔截器350或者客戶機代理120所期望的、管理的或者控制的目的地。例如，攔截器350可以攔截第一網(wǎng)絡(luò)的網(wǎng)絡(luò)堆棧310的網(wǎng)絡(luò)通信并且發(fā)送該網(wǎng)絡(luò)通信到設(shè)備200，用于在第二網(wǎng)絡(luò)104上發(fā)送。在一些實施例中，攔截器350包括含有諸如被構(gòu)建和設(shè)計來與網(wǎng)絡(luò)堆棧310對接并一同工作的網(wǎng)絡(luò)驅(qū)動器的驅(qū)動器的任一類型的攔截器350。在一些實施例中，客戶機代理120和/或攔截器350操作在網(wǎng)絡(luò)堆棧310的一個或者多個層，諸如在傳輸層。在一個實施例中，攔截器350包括過濾器驅(qū)動器、鉤子機制、或者連接到網(wǎng)絡(luò)堆棧的傳輸層的任一形式和類型的合適網(wǎng)絡(luò)驅(qū)動器接口，諸如通過傳輸驅(qū)動器接口(TDI)。在一些實施例中，攔截器350連接到諸如傳輸層的第一協(xié)議層和諸如傳輸協(xié)議層之上的任何層的另一個協(xié)議層，例如，應(yīng)用協(xié)議層。在一個實施例中，攔截器350可以包括遵守網(wǎng)絡(luò)驅(qū)動器接口規(guī)范(NDIS)的驅(qū)動器，或者NDIS驅(qū)動器。在又一個實施例中，攔截器350可以包括微型過濾器或者微端口驅(qū)動器。在一個實施例中，攔截器350或其部分在內(nèi)核模式202中操作。在又一個實施例中，攔截器350或其部分在用戶模式203中操作。在一些實施例中，攔截器350的一部分在內(nèi)核模式202中操作，而攔截器350的另一部分在用戶模式203中操作。在其他實施例中，客戶機代理120在用戶模式203操作，但通過攔截器350連接到內(nèi)核模式驅(qū)動器、進程、服務(wù)、任務(wù)或者操作系統(tǒng)的部分，諸如以獲取內(nèi)核級數(shù)據(jù)結(jié)構(gòu)225。在其他實施例中，攔截器350為用戶模式應(yīng)用或者程序，諸如應(yīng)用。在一個實施例中，攔截器350攔截任何的傳輸層連接請求。在這些實施例中，攔截器350執(zhí)行傳輸層應(yīng)用編程接口(API)調(diào)用以設(shè)置目的地信息，諸如到期望位置的目的地IP地址和/或端口用于定位。以此方式，攔截器350攔截并重定向傳輸層連接到由攔截器350或客戶機代理120控制或管理的IP地址和端口。在一個實施例中，攔截器350把連接的目的地信息設(shè)置為客戶機代理120監(jiān)聽的客戶機102的本地IP地址和端口。例如，客戶機代理120可以包括為重定向的傳輸層通信監(jiān)聽本地IP地址和端口的代理服務(wù)。在一些實施例中，客戶機代理120隨后將重定向的傳輸層通信傳送到設(shè)備200。在一些實施例中，攔截器350攔截域名服務(wù)(DNS)請求。在一個實施例中，客戶機代理120和/或攔截器350解析DNS請求。在又一個實施例中，攔截器發(fā)送所攔截的DNS請求到設(shè)備200以進行DNS解析。在一個實施例中，設(shè)備200解析DNS請求并且將DNS響應(yīng)傳送到客戶機代理120。在一些實施例中，設(shè)備200經(jīng)另一個設(shè)備200’或者DNS服務(wù)器106來解析DNS請求。在又一個實施例中，客戶機代理120可以包括兩個代理120和120’。在一個實施例中，第一代理120可以包括在網(wǎng)絡(luò)堆棧310的網(wǎng)絡(luò)層操作的攔截器350。在一些實施例中，第一代理120攔截網(wǎng)絡(luò)層請求，諸如因特網(wǎng)控制消息協(xié)議(ICMP)請求(例如，查驗和跟蹤路由)。在其他實施例中，第二代理120’可以在傳輸層操作并且攔截傳輸層通信。在一些實施例中，第一代理120在網(wǎng)絡(luò)堆棧210的一層攔截通信并且與第二代理120’連接或者將所攔截的通信傳送到第二代理120’?？蛻魴C代理120和/或攔截器350可以以對網(wǎng)絡(luò)堆棧310的任何其它協(xié)議層透明的方式在協(xié)議層操作或與之對接。例如，在一個實施例中，攔截器350可以以對諸如網(wǎng)絡(luò)層的傳輸層之下的任何協(xié)議層和諸如會話、表示或應(yīng)用層協(xié)議的傳輸層之上的任何協(xié)議層透明的方式在網(wǎng)絡(luò)堆棧310的傳輸層操作或與之對接。這允許網(wǎng)絡(luò)堆棧310的其它協(xié)議層如所期望的進行操作并無需修改以使用攔截器350。這樣，客戶機代理120和/或攔截器350可以與傳輸層連接以安全、優(yōu)化、加速、路由或者負載平衡經(jīng)由傳輸層承載的任一協(xié)議提供的任一通信，諸如TCP/IP上的任一應(yīng)用層協(xié)議。此外，客戶機代理120和/或攔截器可以以對任何應(yīng)用、客戶機102的用戶和與客戶機102通信的諸如服務(wù)器的任何其它計算裝置透明的方式在網(wǎng)絡(luò)堆棧310上操作或與之對接?？蛻魴C代理120和/或攔截器350可以以無需修改應(yīng)用的方式被安裝和/或執(zhí)行在客戶機102上。在一些實施例中，客戶機102的用戶或者與客戶機102通信的計算裝置未意識到客戶機代理120和/或攔截器350的存在、執(zhí)行或者操作。同樣，在一些實施例中，相對于應(yīng)用、客戶機102的用戶、諸如服務(wù)器的另一個計算裝置、或者在由攔截器350連接的協(xié)議層之上和/或之下的任何協(xié)議層透明地來安裝、執(zhí)行和/或操作客戶機代理120和/或攔截器350?？蛻魴C代理120包括加速程序302、流客戶機306、收集代理304和/或監(jiān)控代理197。在一個實施例中，客戶機代理120包括由佛羅里達州FortLauderdale的CitrixSystemsInc.開發(fā)的獨立計算架構(gòu)(ICA)客戶機或其任一部分,并且也指ICA客戶機。在一些實施例中，客戶機代理120包括應(yīng)用流客戶機306，用于從服務(wù)器106流式傳輸應(yīng)用到客戶機102。在一些實施例中，客戶機代理120包括加速程序302，用于加速客戶機102和服務(wù)器106之間的通信。在又一個實施例中，客戶機代理120包括收集代理304，用于執(zhí)行端點檢測/掃描并且用于為設(shè)備200和/或服務(wù)器106收集端點信息。在一些實施例中，加速程序302包括用于執(zhí)行一個或多個加速技術(shù)的客戶機側(cè)加速程序，以加速、增強或者以其他方式改善客戶機與服務(wù)器106的通信和/或?qū)Ψ?wù)器106的訪問，諸如訪問由服務(wù)器106提供的應(yīng)用。加速程序302的可執(zhí)行指令的邏輯、函數(shù)和/或操作可以執(zhí)行一個或多個下列加速技術(shù):1)多協(xié)議壓縮，2)傳輸控制協(xié)議池，3)傳輸控制協(xié)議多路復用，4)傳輸控制協(xié)議緩沖，以及5)通過高速緩存管理器的高速緩存。另外，加速程序302可執(zhí)行由客戶機102接收和/或發(fā)送的任何通信的加密和/或解密。在一些實施例中，加速程序302以集成的方式或者格式執(zhí)行一個或者多個加速技術(shù)。另外，加速程序302可以對作為傳輸層協(xié)議的網(wǎng)絡(luò)分組的有效載荷所承載的任一協(xié)議或者多協(xié)議執(zhí)行壓縮。流客戶機306包括應(yīng)用、程序、進程、服務(wù)、任務(wù)或者可執(zhí)行指令，所述應(yīng)用、程序、進程、服務(wù)、任務(wù)或者可執(zhí)行指令用于接收和執(zhí)行從服務(wù)器106所流式傳輸?shù)膽?yīng)用。服務(wù)器106可以流式傳輸一個或者多個應(yīng)用數(shù)據(jù)文件到流客戶機306，用于播放、執(zhí)行或者以其它方式引起客戶機102上的應(yīng)用被執(zhí)行。在一些實施例中，服務(wù)器106發(fā)送一組壓縮或者打包的應(yīng)用數(shù)據(jù)文件到流客戶機306。在一些實施例中，多個應(yīng)用文件被壓縮并存儲在文件服務(wù)器上檔案文件中，例如CAB、ZIP、SIT、TAR、JAR或其它檔案文件。在一個實施例中，服務(wù)器106解壓縮、解包或者解檔應(yīng)用文件并且將該文件發(fā)送到客戶機102。在又一個實施例中，客戶機102解壓縮、解包或者解檔應(yīng)用文件。流客戶機306動態(tài)安裝應(yīng)用或其部分，并且執(zhí)行該應(yīng)用。在一個實施例中，流客戶機306可以為可執(zhí)行程序。在一些實施例中，流客戶機306可以能夠啟動另一個可執(zhí)行程序。收集代理304包括應(yīng)用、程序、進程、服務(wù)、任務(wù)或者可執(zhí)行指令，用于識別、獲取和/或收集關(guān)于客戶機102的信息。在一些實施例中，設(shè)備200發(fā)送收集代理304到客戶機102或者客戶機代理120?？梢愿鶕?jù)設(shè)備的策略引擎236的一個或多個策略來配置收集代理304。在其他實施例中，收集代理304發(fā)送在客戶機102上收集的信息到設(shè)備200。在一個實施例中，設(shè)備200的策略引擎236使用所收集的信息來確定和提供到網(wǎng)絡(luò)104的客戶機連接的訪問、驗證和授權(quán)控制。在一個實施例中，收集代理304包括端點檢測和掃描機制，其識別并且確定客戶機的一個或者多個屬性或者特征。例如，收集代理304可以識別和確定任何一個或多個以下的客戶機側(cè)屬性:1)操作系統(tǒng)和/或操作系統(tǒng)的版本，2)操作系統(tǒng)的服務(wù)包，3)運行的服務(wù)，4)運行的進程，和5)文件。收集代理304還可以識別并確定客戶機上任何一個或多個以下軟件的存在或版本:1)防病毒軟件；2)個人防火墻軟件；3)防垃圾郵件軟件，和4)互聯(lián)網(wǎng)安全軟件。策略引擎236可以具有基于客戶機或客戶機側(cè)屬性的任何一個或多個屬性或特性的一個或多個策略。在一些實施例中，客戶機代理120包括如結(jié)合圖1D和2B所討論的監(jiān)控代理197。監(jiān)控代理197可以是諸如VisualBasic或Java腳本的任何類型和形式的腳本。在一個實施例中，監(jiān)控代理197監(jiān)控和測量客戶機代理120的任何部分的性能。例如，在一些實施例中，監(jiān)控代理197監(jiān)控和測量加速程序302的性能。在又一個實施例中，監(jiān)控代理197監(jiān)控和測量流客戶機306的性能。在其他實施例中，監(jiān)控代理197監(jiān)控和測量收集代理304的性能。在又一個實施例中，監(jiān)控代理197監(jiān)控和測量攔截器350的性能。在一些實施例中，監(jiān)控代理197監(jiān)控和測量客戶機102的諸如存儲器、CPU和磁盤的任何資源。監(jiān)控代理197可以監(jiān)控和測量客戶機的任何應(yīng)用的性能。在一個實施例中，監(jiān)控代理197監(jiān)控和測量客戶機102上的瀏覽器的性能。在一些實施例中，監(jiān)控代理197監(jiān)控和測量經(jīng)由客戶機代理120傳送的任何應(yīng)用的性能。在其他實施例中，監(jiān)控代理197測量和監(jiān)控應(yīng)用的最終用戶響應(yīng)時間，例如基于web的響應(yīng)時間或HTTP響應(yīng)時間。監(jiān)控代理197可以監(jiān)控和測量ICA或RDP客戶機的性能。在又一個實施例中，監(jiān)控代理197測量和監(jiān)控用戶會話或應(yīng)用會話的指標。在一些實施例中，監(jiān)控代理197測量和監(jiān)控ICA或RDP會話。在一個實施例中，監(jiān)控代理197測量和監(jiān)控設(shè)備200在加速傳送應(yīng)用和/或數(shù)據(jù)到客戶機102的過程中的性能。在一些實施例中，仍參考圖3，第一程序322可以用于自動地、靜默地、透明地或者以其它方式安裝和/或執(zhí)行客戶機代理120或其部分，諸如攔截器350。在一個實施例中，第一程序322包括插件組件,例如ActiveX控件或Java控件或腳本,其加載到應(yīng)用并由應(yīng)用執(zhí)行。例如，第一程序包括由web瀏覽器應(yīng)用載入和運行的ActiveX控件，例如在存儲器空間或應(yīng)用的上下文中。在又一個實施例中，第一程序322包括可執(zhí)行指令組，該可執(zhí)行指令組被例如瀏覽器的應(yīng)用載入并執(zhí)行。在一個實施例中，第一程序322包括被設(shè)計和構(gòu)造的程序以安裝客戶機代理120。在一些實施例中，第一程序322通過網(wǎng)絡(luò)從另一個計算裝置獲得、下載、或接收客戶機代理120。在又一個實施例中，第一程序322是用于在客戶機102的操作系統(tǒng)上安裝如網(wǎng)絡(luò)驅(qū)動的程序的安裝程序或即插即用管理器。P.用于提供虛擬化應(yīng)用傳送控制器的系統(tǒng)和方法現(xiàn)參考圖4A，該框圖描述虛擬化環(huán)境400的一個實施例。總體而言，計算裝置100包括管理程序?qū)印⑻摂M化層和硬件層。管理程序?qū)影ü芾沓绦?01(也稱為虛擬化管理器)，其通過在虛擬化層中執(zhí)行的至少一個虛擬機來分配和管理對硬件層中的多個物理資源(例如處理器421和盤428)的訪問。虛擬化層包括至少一個操作系統(tǒng)410和分配給至少一個操作系統(tǒng)410的多個虛擬資源。虛擬資源可包括而不限于多個虛擬處理器432a、432b、432c(總稱為432)和虛擬盤442a、442b、442c(總稱為442)，以及如虛擬存儲器和虛擬網(wǎng)絡(luò)接口的虛擬資源?？蓪⒍鄠€虛擬資源和操作系統(tǒng)稱為虛擬機406。虛擬機406可包括控制操作系統(tǒng)405，該控制操作系統(tǒng)405與管理程序401通信，并用于執(zhí)行應(yīng)用以管理并配置計算裝置100上的其他虛擬機。具體而言，管理程序401可以以模擬可訪問物理設(shè)備的操作系統(tǒng)的任何方式向操作系統(tǒng)提供虛擬資源。管理程序401可以向任何數(shù)量的客戶操作系統(tǒng)410a、410b(總稱為410)提供虛擬資源。一些實施例中，計算裝置100執(zhí)行一種或多種管理程序。這些實施例中，管理程序可用于模擬虛擬硬件、劃分物理硬件、虛擬化物理硬件并執(zhí)行提供對計算環(huán)境的訪問的虛擬機。管理程序可包括由位于美國加州的PaloAlto的VMWare制造的這些程序；XEN管理程序(一種開源產(chǎn)品，其開發(fā)由開源Xen.0rg協(xié)會監(jiān)管)；由微軟公司提供的HyperV、VirtualServer或虛擬PC管理程序,或其他。一些實施例中，計算裝置100執(zhí)行創(chuàng)建客戶操作系統(tǒng)可在其上執(zhí)行虛擬機平臺的管理程序，該計算裝置100被稱為宿主服務(wù)器。在這些實施例的一個中，例如，計算裝置100是由位于美國佛羅里達州FortLauderdale的CitrixSystems有限公司提供的XENSERVER。一些實施例中，管理程序401在計算裝置上執(zhí)行的操作系統(tǒng)之內(nèi)執(zhí)行。在這些實施例的一個中，執(zhí)行操作系統(tǒng)和管理程序401的計算裝置可被視為具有宿主操作系統(tǒng)(執(zhí)行在計算裝置上的操作系統(tǒng))，和客戶操作系統(tǒng)(在由管理程序401提供的計算資源分區(qū)內(nèi)執(zhí)行的操作系統(tǒng))。其他實施例中，管理程序401和計算裝置上的硬件直接交互而不是在宿主操作系統(tǒng)上執(zhí)行。在這些實施例的一個中，管理程序401可被視為在“裸金屬(baremetal)”上執(zhí)行，所述“裸金屬”指包括計算裝置的硬件。一些實施例中，管理程序401可以產(chǎn)生操作系統(tǒng)410在其中執(zhí)行的虛擬機406a_c(總稱為406)。在這些實施例的一個中，管理程序401加載虛擬機映像以創(chuàng)建虛擬機406。在這些實施例的又一個中，管理程序401在虛擬機406內(nèi)執(zhí)行操作系統(tǒng)410。仍在這些實施例的又一個中，虛擬機406執(zhí)行操作系統(tǒng)410。一些實施例中，管理程序401控制在計算裝置100上執(zhí)行的虛擬機406的處理器調(diào)度和內(nèi)存劃分。在這些實施例的一個中，管理程序401控制至少一個虛擬機406的執(zhí)行。在這些實施例的又一個中，管理程序401向至少一個虛擬機406呈現(xiàn)由計算裝置100提供的至少一個硬件資源的抽象。其他實施例中，管理程序401控制是否以及如何將物理處理器能力呈現(xiàn)給虛擬機406。控制操作系統(tǒng)405可以執(zhí)行用于管理和配置客戶操作系統(tǒng)的至少一個應(yīng)用。一個實施例中，控制操作系統(tǒng)405可以執(zhí)行管理應(yīng)用，如包括如下用戶接口的應(yīng)用，該用戶接口為管理員提供對用于管理虛擬機執(zhí)行的功能的訪問，這些功能包括用于執(zhí)行虛擬機、中止虛擬機執(zhí)行或者識別要分配給虛擬機的物理資源類型的功能。又一個實施例中，管理程序401在由管理程序401創(chuàng)建的虛擬機406內(nèi)執(zhí)行控制操作系統(tǒng)405。又一個實施例中，控制操作系統(tǒng)405在被授權(quán)直接訪問計算裝置100上的物理資源的虛擬機406上執(zhí)行。一些實施例中，計算裝置IOOa上的控制操作系統(tǒng)405a可以通過管理程序401a和管理程序401b之間的通信與計算裝置IOOb上的控制操作系統(tǒng)405b交換數(shù)據(jù)。這樣，一個或多個計算裝置100可以和一個或多個其他計算裝置100交換有關(guān)處理器或資源池中可用的其他物理資源的數(shù)據(jù)。在這些實施例的一個中，這種功能允許管理程序管理分布在多個物理計算裝置上的資源池。在這些實施例的又一個中，多個管理程序管理在一個計算裝置100上執(zhí)行的一個或多個客戶操作系統(tǒng)。一個實施例中，控制操作系統(tǒng)405在被授權(quán)與至少一個客戶操作系統(tǒng)410交互的虛擬機406上執(zhí)行。又一個實施例中，客戶操作系統(tǒng)410通過管理程序401和控制操作系統(tǒng)405通信，以請求訪問盤或網(wǎng)絡(luò)。仍在又一個實施例中，客戶操作系統(tǒng)410和控制操作系統(tǒng)405可通過由管理程序401建立的通信信道通信，例如，通過由管理程序401提供的多個共享存儲器頁面。一些實施例中，控制操作系統(tǒng)405包括用于直接與由計算裝置100提供的網(wǎng)絡(luò)硬件通信的網(wǎng)絡(luò)后端驅(qū)動器。在這些實施例的一個中，網(wǎng)絡(luò)后端驅(qū)動器處理來自至少一個客戶操作系統(tǒng)110的至少一個虛擬機請求。其他實施例中，控制操作系統(tǒng)405包括用于與計算裝置100上的存儲元件通信的塊后端驅(qū)動器。在這些實施例的一個中，塊后端驅(qū)動器基于從客戶操作系統(tǒng)410接收的至少一個請求從存儲元件讀寫數(shù)據(jù)。一個實施例，控制操作系統(tǒng)405包括工具堆棧404。其他實施例中，工具堆棧404提供如下功能:和管理程序401交互、和其他控制操作系統(tǒng)405(例如位于第二計算裝置IOOb上)通信，或者管理計算裝置100上的虛擬機406b、406c。又一個實施例中，工具堆棧404包括自定義應(yīng)用，其用于向虛擬機群的管理員提供改進的管理功能。一些實施例中，工具堆棧404和控制操作系統(tǒng)405中的至少一個包括管理API，其提供用于遠程配置并控制計算裝置100上運行的虛擬機406的接口。其他實施例中，控制操作系統(tǒng)405通過工具堆棧404和管理程序401通信。一個實施例中，管理程序401在由管理程序401創(chuàng)建的虛擬機406內(nèi)執(zhí)行客戶操作系統(tǒng)410。又一個實施例中，客戶操作系統(tǒng)410為計算裝置100的用戶提供對計算環(huán)境中的資源的訪問。又一個實施例中，資源包括程序、應(yīng)用、文檔、文件、多個應(yīng)用、多個文件、可執(zhí)行程序文件、桌面環(huán)境、計算環(huán)境或?qū)τ嬎阊b置100的用戶可用的其他資源。又一個實施例中，可通過多個訪問方法將資源傳送給計算裝置100，這些方法包括但不限于:常規(guī)的直接在計算裝置100上安裝、通過應(yīng)用流的方法傳送給計算裝置100、將由在第二計算裝置100’上執(zhí)行資源產(chǎn)生的并通過表示層協(xié)議傳送給計算裝置100的輸出數(shù)據(jù)傳送給計算裝置100、將通過在第二計算裝置100’上執(zhí)行的虛擬機執(zhí)行資源所產(chǎn)生的輸出數(shù)據(jù)傳送給計算裝置100、或者從連接到計算裝置100的移動存儲裝置(例如USB設(shè)備)執(zhí)行或者通過在計算裝置100上執(zhí)行的虛擬機執(zhí)行并且產(chǎn)生輸出數(shù)據(jù)。一些實施例中，計算裝置100將執(zhí)行資源所產(chǎn)生的輸出數(shù)據(jù)傳輸給另一個計算裝置100’?！獋€實施例中，客戶操作系統(tǒng)410和該客戶操作系統(tǒng)410在其上執(zhí)行的虛擬機結(jié)合形成完全虛擬化虛擬機，該完全虛擬化虛擬機并不知道自己是虛擬機，這樣的機器可稱為“DomainUHVM(硬件虛擬機)虛擬機”。又一個實施例中，完全虛擬化機包括模擬基本輸入/輸出系統(tǒng)(BIOS)的軟件以便在完全虛擬化機中執(zhí)行操作系統(tǒng)。在又一個實施例中，完全虛擬化機可包括驅(qū)動器，其通過和管理程序401通信提供功能。這樣的實施例中，驅(qū)動器可意識到自己在虛擬化環(huán)境中執(zhí)行。又一個實施例中，客戶操作系統(tǒng)410和該客戶操作系統(tǒng)410在其上執(zhí)行的虛擬機結(jié)合形成超虛擬化(paravirtualized)虛擬機,該超虛擬化虛擬機意識到自己是虛擬機，這樣的機器可稱為“DomainUPV虛擬機”。又一個實施例中，超虛擬化機包括完全虛擬化機不包括的額外驅(qū)動器。又一個實施例中，超虛擬化機包括如上所述的被包含在控制操作系統(tǒng)405中的網(wǎng)絡(luò)后端驅(qū)動器和塊后端驅(qū)動器?，F(xiàn)參考圖4B，框圖描述了系統(tǒng)中的多個聯(lián)網(wǎng)計算裝置的一個實施例，其中，至少一個物理主機執(zhí)行虛擬機。總體而言，系統(tǒng)包括管理組件404和管理程序401。系統(tǒng)包括多個計算裝置100、多個虛擬機406、多個管理程序401、多個管理組件(又稱為工具堆棧404或者管理組件404)以及物理資源421、428。多個物理機器100的每一個可被提供為如上結(jié)合圖1E-1H和圖4A描述的計算裝置100。具體而言，物理盤428由計算裝置100提供，存儲至少一部分虛擬盤442。一些實施例中，虛擬盤442和多個物理盤428相關(guān)聯(lián)。在這些實施例的一個中，一個或多個計算裝置100可以與一個或多個其他計算裝置100交換有關(guān)處理器或資源池中可用的其他物理資源的數(shù)據(jù)，允許管理程序管理分布在多個物理計算裝置上的資源池。一些實施例中，將虛擬機406在其上執(zhí)行的計算裝置100稱為物理主機100或主機100。管理程序在計算裝置100上的處理器上執(zhí)行。管理程序?qū)ξ锢肀P的訪問量分配給虛擬盤。一個實施例中，管理程序401分配物理盤上的空間量。又一個實施例中，管理程序401分配物理盤上的多個頁面。一些實施例中，管理程序提供虛擬盤442作為初始化和執(zhí)行虛擬機450進程的一部分。一個實施例中，將管理組件404a稱為池管理組件404a。又一個實施例中，可以稱為控制管理系統(tǒng)405a的管理操作系統(tǒng)405a包括管理組件。一些實施例中，將管理組件稱為工具堆棧。在這些實施例的一個中，管理組件是上文結(jié)合圖4A描述的工具堆棧404。其他實施例中，管理組件404提供用戶接口，用于從如管理員的用戶接收要供應(yīng)和/或執(zhí)行的虛擬機406的標識。仍在其他實施例中，管理組件404提供用戶接口，用于從如管理員的用戶接收將虛擬機406b從一個物理機器100遷移到另一物理機器的請求。在進一步的實施例中，管理組件404a識別在其上執(zhí)行所請求的虛擬機406d的計算裝置IOOb并指示所識別的計算裝置IOOb上的管理程序401b執(zhí)行所識別的虛擬機，這樣，可將管理組件稱為池管理組件?，F(xiàn)參考圖4C，描述了虛擬應(yīng)用傳送控制器或虛擬設(shè)備450的實施例?？傮w而言，上文結(jié)合圖2A和2B描述的設(shè)備200的任何功能和/或?qū)嵤├?例如應(yīng)用傳送控制器)可以部署在上文結(jié)合圖4A和4B描述的虛擬化環(huán)境的任何實施例中。應(yīng)用傳送控制器的功能不是以設(shè)備200的形式部署，而是將該功能部署在諸如客戶機102、服務(wù)器106或設(shè)備200的任何計算裝置100上的虛擬化環(huán)境400中?，F(xiàn)在參考圖4C，描述了在服務(wù)器106的管理程序401上操作的虛擬設(shè)備450的實施例的框圖。如圖2A和2B的設(shè)備200—樣，虛擬機450可以提供可用性、性能、卸載和安全的功能。對于可用性，虛擬設(shè)備可以執(zhí)行網(wǎng)絡(luò)第4層和第7層之間的負載平衡并執(zhí)行智能服務(wù)健康監(jiān)控。對于通過網(wǎng)絡(luò)流量加速實現(xiàn)的性能增加，虛擬設(shè)備可以執(zhí)行緩存和壓縮。對于任何服務(wù)器的卸載處理，虛擬設(shè)備可以執(zhí)行連接復用和連接池和/或SSL處理。對于安全，虛擬設(shè)備可以執(zhí)行設(shè)備200的任何應(yīng)用防火墻功能和SSLVPN功能。結(jié)合附圖2A描述的設(shè)備200的任何模塊可以虛擬化設(shè)備傳送控制器450的形式被打包、組合、設(shè)計或構(gòu)造，虛擬化設(shè)備傳送控制器450可部署成在諸如流行的服務(wù)器這樣的任何服務(wù)器上的虛擬化環(huán)境300或非虛擬化環(huán)境中執(zhí)行的軟件模塊或組件。例如，可以安裝在計算裝置上的安裝包的形式提供虛擬設(shè)備。參考圖2A，可以將高速緩存管理器232、策略引擎236、壓縮238、加密引擎234、分組引擎240、⑶I210、CLI212、殼服務(wù)214中的任一個設(shè)計和構(gòu)成在計算裝置和/或虛擬化環(huán)境300的任何操作系統(tǒng)上運行的組件或模塊。虛擬化設(shè)備400不使用設(shè)備200的加密處理器260、處理器262、存儲器264和網(wǎng)絡(luò)堆棧267，而是可使用虛擬化環(huán)境400提供的任何這些資源或者服務(wù)器106上以其他方式可用的這些資源。仍參考圖4C，簡言之，任何一個或多個vServer275A-275N可以操作或執(zhí)行在任意類型的計算裝置100(如服務(wù)器106)的虛擬化環(huán)境400中。結(jié)合附圖2B描述的設(shè)備200的任何模塊和功能可以設(shè)計和構(gòu)造成在服務(wù)器的虛擬化或非虛擬化環(huán)境中操作?？梢詫Server275、SSLVPN280、內(nèi)網(wǎng)UP282、交換裝置284、DNS286、加速裝置288、APPFW280和監(jiān)控代理中的任一個打包、組合、設(shè)計或構(gòu)造成應(yīng)用傳送控制器450的形式，應(yīng)用傳送控制器450可部署成在裝置和/或虛擬化環(huán)境400中執(zhí)行的一個或多個軟件模塊或組件。一些實施例中，服務(wù)器可以在虛擬化環(huán)境中執(zhí)行多個虛擬機406a_406b，每個虛擬機運行虛擬應(yīng)用傳送控制器450的相同或不同實施例。一些實施例中，服務(wù)器可以在多核處理系統(tǒng)的一個核上執(zhí)行一個或多個虛擬機上的一個或多個虛擬設(shè)備450。一些實施例中，服務(wù)器可以在多處理器裝置的每個處理器上執(zhí)行一個或多個虛擬機上的一個或多個虛擬設(shè)備450。E.提供多核架構(gòu)的系統(tǒng)和方法根據(jù)摩爾定律，每兩年集成電路上可安裝的晶體管的數(shù)量會基本翻倍。然而，CPU速度增加會達到一個穩(wěn)定的水平(plateaus)，例如，2005年以來，CPU速度在約3.5_4GHz的范圍內(nèi)。一些情況下，CPU制造商可能不依靠CPU速度增加來獲得額外的性能。一些CPU制造商會給處理器增加附加核以提供額外的性能。依靠CPU獲得性能改善的如軟件和網(wǎng)絡(luò)供應(yīng)商的產(chǎn)品可以通過利用這些多核CPU來改進他們的性能?？梢灾匦略O(shè)計和/或編寫為單CPU設(shè)計和構(gòu)造的軟件以利用多線程、并行架構(gòu)或多核架構(gòu)。一些實施例中，稱為nCore或多核技術(shù)的設(shè)備200的多核架構(gòu)允許設(shè)備打破單核性能障礙并利用多核CPU的能力。前文結(jié)合圖2A描述的架構(gòu)中，運行單個網(wǎng)絡(luò)或分組引擎。nCore技術(shù)和架構(gòu)的多核允許同時和/或并行地運行多個分組引擎。通過在每個核上運行分組引擎，設(shè)備架構(gòu)利用附加核的處理能力。一些實施例中，這提供了高達七倍的性能改善和擴展性。圖5A示出根據(jù)一類并行機制或并行計算方案(如功能并行機制、數(shù)據(jù)并行機制或基于流的數(shù)據(jù)并行機制)在一個或多個處理器核上分布的工作、任務(wù)、負載或網(wǎng)絡(luò)流量的一些實施例?？傮w而言，圖5A示出如具有η個核的設(shè)備200’的多核系統(tǒng)的實施例，η個核編號為I到N。一個實施例中，工作、負載或網(wǎng)絡(luò)流量可以分布在第一核505Α、第二核505Β、第三核505C、第四核50、第五核505Ε、第六核505F、第七核505G等上，這樣，分布位于所有η個核505Ν(此后統(tǒng)稱為核505)或η個核中的兩個或多個上?？梢杂卸鄠€VIP275，每個運行在多個核中的相應(yīng)的核上?？梢杂卸鄠€分組引擎240，每個運行在多個核的相應(yīng)的核。所使用任何方法可產(chǎn)生多個核中任一核上的不同的、變化的或類似的工作負載或性能級別515。對于功能并行方法，每個核運行由分組引擎、VIP275或設(shè)備200提供的多個功能的不同功能。在數(shù)據(jù)并行方法中，數(shù)據(jù)可基于接收數(shù)據(jù)的網(wǎng)絡(luò)接口卡(NIC)或VIP275并行或分布在核上。又一個數(shù)據(jù)并行方法中，可通過將數(shù)據(jù)流分布在每個核上而將處理分布在核上。圖5A的進一步的細節(jié)中，一些實施例中，可以根據(jù)功能并行機制500將負載、工作或網(wǎng)絡(luò)流量在多個核505間分布。功能并行機制可基于執(zhí)行一個或多個相應(yīng)功能的每個核。一些實施例中，第一核可執(zhí)行第一功能，同時第二核執(zhí)行第二功能。功能并行方法中，根據(jù)功能性將多核系統(tǒng)要執(zhí)行的功能劃分并分布到每個核。一些實施例中，可將功能并行機制稱為任務(wù)并行機制，并且可在每個處理器或核對同一數(shù)據(jù)或不同數(shù)據(jù)執(zhí)行不同進程或功能時實現(xiàn)。核或處理器可執(zhí)行相同或不同的代碼。一些情況下，不同的執(zhí)行線程或代碼可在工作時相互通信。可以進行通信以將數(shù)據(jù)作為工作流的一部分從一個線程傳遞給下一線程。一些實施例中，根據(jù)功能并行機制500將工作分布在核505上，可以包括根據(jù)特定功能分布網(wǎng)絡(luò)流量，所述特定功能例如為網(wǎng)絡(luò)輸入/輸出管理(NWI/O)510A、安全套接層(SSL)加密和解密510B和傳輸控制協(xié)議(TCP)功能510C。這會產(chǎn)生基于所使用的功能量或功能級別的工作、性能或者計算負載515。一些實施例中，根據(jù)數(shù)據(jù)并行機制540將工作分布在核505上可包括基于與特定的硬件或軟件組件相關(guān)聯(lián)的分布數(shù)據(jù)來分布工作量515。一些實施例中，根據(jù)基于流的數(shù)據(jù)并行機制520將工作分布在核505上可包括基于上下文或流來分布數(shù)據(jù)，從而使得每個核上的工作量515A-N可以類似、基本相等或者相對平均分布。在功能并行方法的情況下，可以配置每個核來運行由設(shè)備的分組引擎或VIP提供的多個功能中的一個或多個功能。例如，核I可執(zhí)行設(shè)備200’的網(wǎng)絡(luò)I/O處理，同時核2執(zhí)行設(shè)備的TCP連接管理。類似地，核3可執(zhí)行SSL卸載，同時核4可執(zhí)行第7層或應(yīng)用層處理和流量管理。每個核可執(zhí)行相同或不同的功能。每個核可執(zhí)行不只一個功能。任一核可運行結(jié)合附圖2A和2B識別和/或描述的功能或其一部分。該方法中，核上的工作可以粗粒度或細粒度方式按功能劃分。一些情況下，如圖5A所示，按功能劃分會使得不同核運行在不同的性能或負載級別515。在功能并行方法的情況下，可以配置每個核來運行由設(shè)備的分組引擎提供的多個功能中的一個或多個功能。例如，核I可執(zhí)行設(shè)備200’的網(wǎng)絡(luò)I/O處理，同時核2執(zhí)行設(shè)備的TCP連接管理。類似地，核3可執(zhí)行SSL卸載，同時核4可執(zhí)行第7層或應(yīng)用層處理和流量管理。每個核可執(zhí)行相同或不同的功能。每個核可執(zhí)行不只一個功能。任何核可運行結(jié)合附圖2A和2B識別和/或描述的功能或其一部分。該方法中，核上的工作可以粗粒度或細粒度方式按功能劃分。一些情況下，如圖5A所示，按功能劃分會使得不同核運行在不同的性能或負載級別?？梢杂萌魏谓Y(jié)構(gòu)或方案來分布功能或任務(wù)。例如，圖5B示出用于處理與網(wǎng)絡(luò)I/O功能510A相關(guān)聯(lián)的應(yīng)用和進程的第一核Corel505A。一些實施例中，與網(wǎng)絡(luò)I/O相關(guān)聯(lián)的網(wǎng)絡(luò)流量可以和特定的端口號相關(guān)聯(lián)。因而，將具有與NWI/0510A相關(guān)聯(lián)的端口目的地的發(fā)出和到來的分組導引給Corel505A，該Corel505A專用于處理與NWI/O端口相關(guān)聯(lián)的所有網(wǎng)絡(luò)流量。類似的，Core2505B專用于處理與SSL處理相關(guān)聯(lián)的功能，Core450ro可專用于處理所有TCP級處理和功能。雖然圖5A示出如網(wǎng)絡(luò)I/0、SSL和TCP的功能，也可將其他功能分配給核。這些其他功能可包括此處描述的任一或多個功能或操作。例如，結(jié)合圖2A和2B描述的任何功能可基于功能基礎(chǔ)分布在核上。一些情況下，第一VIP275A可運行在第一核上，同時，具有不同配置的第二VIP275B可運行在第二核上。一些實施例中，每個核505可處理特定功能，這樣每個核505可處理與該特定功能相關(guān)聯(lián)的處理。例如，Core2505B可處理SSL卸載，同時Core4505D可處理應(yīng)用層處理和流量管理。其他實施例中，可根據(jù)任何類型或形式的數(shù)據(jù)并行機制540將工作、負載或網(wǎng)絡(luò)流量分布在核505上。一些實施例中,可由每個核對分布式數(shù)據(jù)的不同片執(zhí)行相同任務(wù)或功能來實現(xiàn)多核系統(tǒng)中的數(shù)據(jù)并行機制。一些實施例中，單個執(zhí)行線程或代碼控制對所有數(shù)據(jù)片的操作。其他實施例中，不同線程或指令控制操作，但是可執(zhí)行相同代碼。一些實施例中，從分組引擎、vServer(VIP)275A-C、網(wǎng)絡(luò)接口卡(NIC)542D-E和/或設(shè)備200上包括的或者與設(shè)備200相關(guān)聯(lián)的任何其他網(wǎng)絡(luò)硬件或軟件的角度實現(xiàn)數(shù)據(jù)并行機制。例如，每個核可運行同樣的分組引擎或VIP代碼或配置但是在不同的分布式數(shù)據(jù)集上進行操作。每個網(wǎng)絡(luò)硬件或軟件結(jié)構(gòu)可接收不同的、變化的或者基本相同量的數(shù)據(jù)，因而可以具有變化的、不同的或相對相同量的負載515。在數(shù)據(jù)并行方法的情況下，可以基于VIP、NIC和/或VIP或NIC的數(shù)據(jù)流來劃分和分布工作。在這些的方法的一個中，可通過使每個VIP在分布的數(shù)據(jù)集上工作來將多核系統(tǒng)的工作劃分或者分布在VIP中。例如，可配置每個核運行一個或多個VIP。網(wǎng)絡(luò)流量可分布在處理流量的每個VIP的核上。在這些方法的又一個中，可基于哪個NIC接收網(wǎng)絡(luò)流量來將設(shè)備的工作劃分或分布在核上。例如，第一Nic的網(wǎng)絡(luò)流量可被分布到第一核，同時第二NIC的網(wǎng)絡(luò)流量可被分布給第二核。一些情況下，核可處理來自多個NIC的數(shù)據(jù)。雖然圖5A示出了與單個核505相關(guān)聯(lián)的單個vServer，正如VIP1275A、VIP2275B和VIP3275C的情況。但是，一些實施例中，單個vServer可以與一個或者多個核505相關(guān)聯(lián)。相反，一個或多個vServer可以與單個核505相關(guān)聯(lián)。將vServer與核505關(guān)聯(lián)可包括該核505處理與該特定vServer關(guān)聯(lián)的所有功能。一些實施例中，每個核執(zhí)行具有相同代碼和配置的VIP。其他實施例中，每個核執(zhí)行具有相同代碼但配置不同的VIP。一些實施例中，每個核執(zhí)行具有不同代碼和相同或不同配置的VIP。和vServer類似，NIC也可以和特定的核505關(guān)聯(lián)。許多實施例中，NIC可以連接到一個或多個核505，這樣，當NIC接收或傳輸數(shù)據(jù)分組時，特定的核505處理涉及接收和傳輸數(shù)據(jù)分組的處理。一個實施例中，單個NIC可以與單個核505相關(guān)聯(lián)，正如NIC1542D和NIC2542E的情況。其他實施例中，一個或多個NIC可以與單個核505相關(guān)聯(lián)。但其他實施例中，單個NIC可以與一個或者多個核505相關(guān)聯(lián)。這些實施例中，負載可以分布在一個或多個核505上，使得每個核505基本上處理類似的負載量。與NIC關(guān)聯(lián)的核505可以處理與該特定NIC關(guān)聯(lián)的所有功能和/或數(shù)據(jù)。雖然根據(jù)VIP或NIC的數(shù)據(jù)將工作分布在核上具有某種程度的獨立性，但是，一些實施例中，這會造成如圖5A的變化負載515所示的核的不平衡的使用。一些實施例中，可根據(jù)任何類型或形式的數(shù)據(jù)流將負載、工作或網(wǎng)絡(luò)流量分布在核505上。在這些方法的又一個中,可基于數(shù)據(jù)流將工作劃分或分布在多個核上。例如,客戶機或服務(wù)器之間的經(jīng)過設(shè)備的網(wǎng)絡(luò)流量可以被分布到多個核中的一個核并且由其處理。一些情況下，最初建立會話或連接的核可以是該會話或連接的網(wǎng)絡(luò)流量所分布的核。一些實施例中，數(shù)據(jù)流基于網(wǎng)絡(luò)流量的任何單元或部分，如事務(wù)、請求/響應(yīng)通信或來自客戶機上的應(yīng)用的流量。這樣，一些實施例中，客戶機和服務(wù)器之間的經(jīng)過設(shè)備200’的數(shù)據(jù)流可以比其他方式分布的更均衡。在基于流的數(shù)據(jù)并行機制520中，數(shù)據(jù)分布和任何類型的數(shù)據(jù)流相關(guān)，例如請求/響應(yīng)對、事務(wù)、會話、連接或應(yīng)用通信。例如，客戶機或服務(wù)器之間的經(jīng)過設(shè)備的網(wǎng)絡(luò)流量可以被分布到多個核中的一個核并且由其處理。一些情況下，最初建立會話或連接的核可以是該會話或連接的網(wǎng)絡(luò)流量所分布的核。數(shù)據(jù)流的分布可以使得每個核505運行基本相等或相對均勻分布的負載量、數(shù)據(jù)量或網(wǎng)絡(luò)流量。一些實施例中，數(shù)據(jù)流基于網(wǎng)絡(luò)流量的任何單元或部分，如事務(wù)、請求/響應(yīng)通信或源自客戶機上的應(yīng)用的流量。這樣，一些實施例中，客戶機和服務(wù)器之間的經(jīng)過設(shè)備200’的數(shù)據(jù)流可以比其他方式分布的更均衡。一個實施例中，可以基于事務(wù)或一系列事務(wù)分布數(shù)據(jù)量。一些實施例中，該事務(wù)可以是客戶機和服務(wù)器之間的，其特征可以是IP地址或其他分組標識符。例如，核1505A可專用于特定客戶機和特定服務(wù)器之間的事務(wù)，因此，核1505A上的負載515A可包括與特定客戶機和服務(wù)器之間的事務(wù)相關(guān)聯(lián)的網(wǎng)絡(luò)流量?？赏ㄟ^將源自特定客戶機或服務(wù)器的所有數(shù)據(jù)分組路由到核1505A來將網(wǎng)絡(luò)流量分配給核1505A。雖然可部分地基于事務(wù)將工作或負載分布到核，但是，其他實施例中，可基于每個分組的基礎(chǔ)分配負載或工作。這些實施例中，設(shè)備200可攔截數(shù)據(jù)分組并將數(shù)據(jù)分組分配給負載量最小的核505。例如，由于核I上的負載515A小于其他核505B-N上的負載515B-N，所以設(shè)備200可將第一到來的數(shù)據(jù)分組分配給核1505A。將第一數(shù)據(jù)分組分配給核1505A后，核1505A上的負載量515A與處理第一數(shù)據(jù)分組所需的處理資源量成比例增加。設(shè)備200攔截到第二數(shù)據(jù)分組時，設(shè)備200會將負載分配給核4505D，這是由于核450具有第二少的負載量。一些實施例中，將數(shù)據(jù)分組分配給負載量最小的核可確保分布到每個核505的負載515A-N保持基本相等。其他實施例中，將一部分網(wǎng)絡(luò)流量分配給特定核505的情況下，可以每單元為基礎(chǔ)分配負載。上述示例說明以每分組為基礎(chǔ)進行負載平衡。其他實施例中，可以基于分組數(shù)目分配負載，例如，將每10個、100個或1000個分組分配給流量最少的核505。分配給核505的分組數(shù)量可以是由應(yīng)用、用戶或管理員確定的數(shù)目，而且可以為大于零的任何數(shù)。仍在其他實施例中，基于時間指標分配負載，使得在預定時間段將分組分布到特定核505。這些實施例中，可以在5毫秒內(nèi)或者由用戶、程序、系統(tǒng)、管理器或其他方式確定的任何時間段將分組分布到特定核505。預定時間段過去后，在預定時間段內(nèi)將時間分組傳輸給不同的核505。用于將工作、負載或網(wǎng)絡(luò)流量分布在一個或多個核505上的基于流的數(shù)據(jù)并行方法可包括上述實施例的任意組合。這些方法可以由設(shè)備200的任何部分執(zhí)行，由在核505上執(zhí)行的應(yīng)用或者一組可執(zhí)行指令執(zhí)行，例如分組引擎，或者由在與設(shè)備200通信的計算裝置上執(zhí)行的任何應(yīng)用、程序或代理執(zhí)行。圖5A所示的功能和數(shù)據(jù)并行機制計算方案可以任何方式組合，以產(chǎn)生混合并行機制或分布式處理方案，其包括功能并行機制500、數(shù)據(jù)并行機制540、基于流的數(shù)據(jù)并行機制520或者其任何部分。一些情況下，多核系統(tǒng)可使用任何類型或形式的負載平衡方案來將負載分布在一個或多個核505上。負載平衡方案可以和任何功能和數(shù)據(jù)平行方案或其組合結(jié)合使用。圖5B示出多核系統(tǒng)545的實施例，該系統(tǒng)可以是任何類型或形式的一個或多個系統(tǒng)、設(shè)備、裝置或組件。一些實施例中，該系統(tǒng)545可被包括在具有一個或多個處理核505A-N的設(shè)備200內(nèi)。系統(tǒng)545還可包括與存儲器總線556通信的一個或多個分組引擎(PE)或分組處理引擎(PPE)548A-N。存儲器總線可用于與一個或多個處理核505A-N通信。系統(tǒng)545還可包括一個或多個網(wǎng)絡(luò)接口卡(NIC)552和流分布器550，流分布器還可與一個或多個處理核505A-N通信。流分布器550可包括接收側(cè)調(diào)整器(ReceiverSideScaler-RSS)或接收側(cè)調(diào)整(ReceiverSideScaling-RSS)模塊560。進一步參考圖5B，具體而言，一個實施例中，分組引擎548A-N可包括此處所述的設(shè)備200的任何部分，例如圖2A和2B所述設(shè)備的任何部分。一些實施例中，分組引擎548A-N可包括任何下列的元件:分組引擎240、網(wǎng)絡(luò)堆棧267、高速緩存管理器232、策略引擎236、壓縮引擎238、加密引擎234、⑶I210、CLI212、殼服務(wù)214、監(jiān)控程序216以及能夠從數(shù)據(jù)總線556或一個或多個核505A-N中的任一個接收數(shù)據(jù)分組的其他任何軟件和硬件元件。一些實施例中，分組引擎548A-N可包括一個或多個vServer275A-N或其任何部分。其他實施例中，分組引擎548A-N可提供以下功能的任意組合:SSLVPN280、內(nèi)部網(wǎng)IP282、交換284、DNS286、分組加速288、APPFW280、如由監(jiān)控代理197提供的監(jiān)控、和作為TCP堆棧關(guān)聯(lián)的功能、負載平衡、SSL卸載和處理、內(nèi)容交換、策略評估、高速緩存、壓縮、編碼、解壓縮、解碼、應(yīng)用防火墻功能、XML處理和加速以及SSLVPN連接。一些實施例中，分組引擎548A-N可以與特定服務(wù)器、用戶、客戶或網(wǎng)絡(luò)關(guān)聯(lián)。分組引擎548與特定實體關(guān)聯(lián)時，分組引擎548可處理與該實體關(guān)聯(lián)的數(shù)據(jù)分組。例如，如果分組引擎548與第一用戶關(guān)聯(lián)，那么該分組引擎548將對由第一用戶產(chǎn)生的分組或者目的地址與第一用戶關(guān)聯(lián)的分組進行處理和操作。類似地，分組引擎548可選擇不與特定實體關(guān)聯(lián)，使得分組引擎548可對不是由該實體產(chǎn)生的或目的是該實體的任何數(shù)據(jù)分組進行處理和以其他方式進行操作。一些實例中，可將分組引擎548A-N配置為執(zhí)行圖5A所示的任何功能和/或數(shù)據(jù)并行方案。這些實例中，分組引擎548A-N可將功能或數(shù)據(jù)分布在多個核505A-N上，從而使得分布是根據(jù)并行機制或分布方案的。一些實施例中，單個分組引擎548A-N執(zhí)行負載平衡方案，其他實施例中，一個或多個分組弓I擎548A-N執(zhí)行負載平衡方案。一個實施例中，每個核505A-N可以與特定分組引擎548關(guān)聯(lián)，使得可以由分組引擎執(zhí)行負載平衡。在該實施例中，負載平衡可要求與核505關(guān)聯(lián)的每個分組引擎548A-N和與核關(guān)聯(lián)的其他分組引擎通信，使得分組引擎548A-N可共同決定將負載分布在何處。該過程的一個實施例可包括從每個分組引擎接收對于負載的投票的仲裁器。仲裁器可部分地基于引擎投票的持續(xù)時間將負載分配給每個分組引擎548A-N，一些情況下，還可基于與在引擎關(guān)聯(lián)的核505上的當前負載量相關(guān)聯(lián)的優(yōu)先級值來將負載分配給每個分組引擎548A-N。核上運行的任何分組引擎可以運行于用戶模式、內(nèi)核模式或其任意組合。一些實施例中，分組引擎作為在用戶空間或應(yīng)用空間中運行的應(yīng)用或程序來操作。這些實施例中，分組引擎可使用任何類型或形式的接口來訪問內(nèi)核提供的任何功能。一些實施例中，分組引擎操作于內(nèi)核模式中或作為內(nèi)核的一部分來操作。一些實施例中，分組引擎的第一部分操作于用戶模式中，分組引擎的第二部分操作于內(nèi)核模式中。一些實施例中，第一核上的第一分組引擎執(zhí)行于內(nèi)核模式中，同時，第二核上的第二分組引擎執(zhí)行于用戶模式中。一些實施例中，分組引擎或其任何部分對NIC或其任何驅(qū)動器進行操作或者與其聯(lián)合操作。一些實施例中，存儲器總線556可以是任何類型或形式的存儲器或計算機總線。雖然在圖5B中描述了單個存儲器總線556，但是系統(tǒng)545可包括任意數(shù)量的存儲器總線556。一個實施例中，每個分組引擎548可以和一個或者多個單獨的存儲器總線556相關(guān)聯(lián)。一些實施例中，NIC552可以是此處所述的任何網(wǎng)絡(luò)接口卡或機制。NIC552可具有任意數(shù)量的端口。NIC可設(shè)計并構(gòu)造成連接到任何類型和形式的網(wǎng)絡(luò)104。雖然示出單個NIC552，但是，系統(tǒng)545可包括任意數(shù)量的NIC552。一些實施例中，每個核505A-N可以與一個或多個單個NIC552關(guān)聯(lián)。因而，每個核505可以與專用于特定核505的單個NIC552關(guān)聯(lián)。核505A-N可包括此處所述的任何處理器。此外，可根據(jù)此處所述的任何核505配置來配置核505A-N。另外，核505A-N可具有此處所述的任何核505功能。雖然圖5B示出七個核505A-G,但是系統(tǒng)545可包括任意數(shù)量的核505。具體而言,系統(tǒng)545可包括N個核，其中N是大于零的整數(shù)。核可具有或使用被分配或指派用于該核的存儲器?？蓪⒋鎯ζ饕暈樵摵说膶Ｓ谢虮镜卮鎯ζ鞑⑶覂H有該核可訪問該存儲器。核可具有或使用共享的或指派給多個核的存儲器。該存儲器可被視為由不只一個核可訪問的公共或共享存儲器。核可使用專有或公共存儲器的任何組合。通過每個核的單獨的地址空間，消除了使用同一地址空間的情況下的一些協(xié)調(diào)級別。利用單獨的地址空間，核可以對核自己的地址空間中的信息和數(shù)據(jù)進行工作，而不用擔心與其他核沖突。每個分組引擎可以具有用于TCP和/或SSL連接的單獨存儲器池。仍參考圖5B，上文結(jié)合圖5A描述的核505的任何功能和/或?qū)嵤├梢圆渴鹪谏衔慕Y(jié)合圖4A和4B描述的虛擬化環(huán)境的任何實施例中。不是以物理處理器505的形式部署核505的功能，而是將這些功能部署在諸如客戶機102、服務(wù)器106或設(shè)備200的任何計算裝置100的虛擬化環(huán)境400內(nèi)。其他實施例中，不是以設(shè)備或一個裝置的形式部署核505的功能，而是將該功能部署在任何布置的多個裝置上。例如，一個裝置可包括兩個或多個核，另一個裝置可包括兩個或多個核。例如，多核系統(tǒng)可包括計算裝置的集群、服務(wù)器群或計算裝置的網(wǎng)絡(luò)。一些實施例中，不是以核的形式部署核505的功能，而是將該功能部署在多個處理器上，例如部署多個單核處理器上。一個實施例中，核505可以為任何形式或類型的處理器。一些實施例中，核的功能可以基本類似此處所述的任何處理器或中央處理單元。一些實施例中，核505可包括此處所述的任何處理器的任何部分。雖然圖5A示出7個核，但是，設(shè)備200內(nèi)可以有任意N個核，其中N是大于I的整數(shù)。一些實施例中，核505可以安裝在公用設(shè)備200內(nèi)，其他實施例中，核505可以安裝在彼此通信連接的一個或多個設(shè)備200內(nèi)。一些實施例中，核505包括圖形處理軟件，而其他實施例中，核505提供通用處理能力。核505可彼此物理靠近地安裝和/或可彼此通信連接?？梢杂靡晕锢矸绞胶?或通信方式耦合到核的任何類型和形式的總線或子系統(tǒng)連接核，用于向核、從核和/或在核之間傳輸數(shù)據(jù)。盡管每個核505可包括用于與其他核通信的軟件,一些實施例中，核管理器(未不出)可有助于每個核505之間的通信。一些實施例中，內(nèi)核可提供核管理。核可以使用各種接口機制彼此接口或通信。一些實施例中，可以使用核到核的消息傳送來在核之間通信，比如，第一核通過連接到核的總線或子系統(tǒng)向第二核發(fā)送消息或數(shù)據(jù)。一些實施例中，核可通過任何種類或形式的共享存儲器接口通信。一個實施例中，可以存在在所有核中共享的一個或多個存儲器單元。一些實施例中，每個核可以具有和每個其他核共享的單獨存儲器單元。例如，第一核可具有與第二核的第一共享存儲器，以及與第三核的第二共享存儲器。一些實施例中，核可通過任何類型的編程或API(如通過內(nèi)核的函數(shù)調(diào)用)來通信。一些實施例中，操作系統(tǒng)可識別并支持多核裝置，并提供用于核間通信的接口和API。流分布器550可以是任何應(yīng)用、程序、庫、腳本、任務(wù)、服務(wù)、進程或在任何類型或形式的硬件上執(zhí)行的任何類型和形式的可執(zhí)行指令。一些實施例中，流分布器550可以是用于執(zhí)行此處所述任何操作和功能的任何電路設(shè)計或結(jié)構(gòu)。一些實施例中，流分布器分布、轉(zhuǎn)發(fā)、路由、控制和/或管理多個核505上的數(shù)據(jù)和/或在核上運行的分組引擎或VIP的分布。一些實施例中，可將流分布器550稱為接口主裝置(interfacemaster)。一個實施例中，流分布器550包括在設(shè)備200的核或處理器上執(zhí)行的一組可執(zhí)行指令。又一個實施例中，流分布器550包括在與設(shè)備200通信的計算機器上執(zhí)行的一組可執(zhí)行指令。一些實施例中，流分布器550包括在如固件的NIC上執(zhí)行的一組可執(zhí)行指令。其他實施例,流分布器550包括用于將數(shù)據(jù)分組分布在核或處理器上的軟件和硬件的任何組合。一個實施例中，流分布器550在至少一個核505A-N上執(zhí)行,而在其他實施例中，分配給每個核505A-N的單獨的流分布器550在相關(guān)聯(lián)的核505A-N上執(zhí)行。流分布器可使用任何類型和形式的統(tǒng)計或概率算法或決策來平衡多個核上的流。可以將如NIC的設(shè)備硬件或內(nèi)核設(shè)計或構(gòu)造成支持NIC和/或核上的順序操作。系統(tǒng)545包括一個或多個流分布器550的實施例中，每個流分布器550可以與處理器505或分組引擎548關(guān)聯(lián)。流分布器550可包括允許每個流分布器550和在系統(tǒng)545內(nèi)執(zhí)行的其他流分布器550通信的接口機制。一個實例中，一個或多個流分布器550可通過彼此通信確定如何平衡負載。該過程的操作可以基本與上述過程類似，即將投票提交給仲裁器，然后仲裁器確定哪個流分布器550應(yīng)該接收負載。其他實施例中，第一流分布器550’可識別所關(guān)聯(lián)的核上的負載并基于任何下列標準確定是否將第一數(shù)據(jù)分組轉(zhuǎn)發(fā)到所關(guān)聯(lián)的核:所關(guān)聯(lián)的核上的負載大于預定閾值；所關(guān)聯(lián)的核上的負載小于預定閾值；所關(guān)聯(lián)的核上的負載小于其他核上的負載；或者可以用于部分基于處理器上的負載量來確定將數(shù)據(jù)分組轉(zhuǎn)發(fā)到何處的任何其他指標。流分布器550可以根據(jù)如此處所述的分布、計算或負載平衡方法而將網(wǎng)絡(luò)流量分布在核505上。一個實施例中，流分布器可基于功能并行機制分布方案550、數(shù)據(jù)并行機制負載分布方案540、基于流的數(shù)據(jù)并行機制分布方案520或這些分布方案的任意組合或用于將負載分布在多個處理器上的任何負載平衡方案來分布網(wǎng)絡(luò)流量。因而，流分布器550可通過接收數(shù)據(jù)分組并根據(jù)操作的負載平衡或分布方案將數(shù)據(jù)分組分布在處理器上而充當負載分布器。一個實施例中，流分布器550可包括用于確定如何相應(yīng)地分布分組、工作或負載的一個或多個操作、函數(shù)或邏輯。又一個實施例中，流分布器550可包括可識別與數(shù)據(jù)分組關(guān)聯(lián)的源地址和目的地址并相應(yīng)地分布分組的一個或多個子操作、函數(shù)或邏輯。一些實施例中，流分布器550可包括接收側(cè)調(diào)整(RSS)網(wǎng)絡(luò)驅(qū)動器模塊560或?qū)?shù)據(jù)分組分布在一個或多個核505上的任何類型和形式的可執(zhí)行指令。RSS模塊560可以包括硬件和軟件的任意組合。一些實施例中，RSS模塊560和流分布器550協(xié)同工作以將數(shù)據(jù)分組分布在核505A-N或多處理器網(wǎng)絡(luò)中的多個處理器上。一些實施例中，RSS模塊560可在NIC552中執(zhí)行，其他實施例中，可在核505的任何一個上執(zhí)行。一些實施例中，RSS模塊560使用微軟接收側(cè)調(diào)整(RSS)方法。一個實施例中，RSS是微軟可擴展網(wǎng)絡(luò)主動技術(shù)(MicrosoftScalableNetworkinginitativetechnology),其使得系統(tǒng)中的多個處理器上的接收處理是平衡的，同時保持數(shù)據(jù)的順序傳送。RSS可使用任何類型或形式的哈希方案來確定用于處理網(wǎng)絡(luò)分組的核或處理器。RSS模塊560可應(yīng)用任何類型或形式的哈希函數(shù)，如Toeplitz哈希函數(shù)。哈希函數(shù)可應(yīng)用到哈希類型值或者任何值序列。哈希函數(shù)可以是任意安全級別的安全哈?；蛘呤且云渌绞郊用堋９：瘮?shù)可使用哈希關(guān)鍵字(hashkey)ο關(guān)鍵字的大小取決于哈希函數(shù)。對于Toeplitz哈希,用于IPv6的哈希關(guān)鍵字大小為40字節(jié),用于IPv4的哈希關(guān)鍵字大小為16字節(jié)?？梢曰谌魏我粋€或多個標準或設(shè)計目標設(shè)計或構(gòu)造哈希函數(shù)。一些實施例中，可使用為不同的哈希輸入和不同哈希類型提供均勻分布的哈希結(jié)果的哈希函數(shù)，所述不同哈希輸入和不同哈希類型包括TCP/IPv4、TCP/IPv6、IPv4和IPv6頭部。一些實施例中，可使用存在少量桶時(例如2個或4個)提供均勻分布的哈希結(jié)果的哈希函數(shù)。一些實施例中，可使用存在大量桶時(例如64個桶)提供隨機分布的哈希結(jié)果的哈希函數(shù)。在一些實施例中，基于計算或資源使用水平來確定哈希函數(shù)。在一些實施例中，基于在硬件中實現(xiàn)哈希的難易度來確定哈希函數(shù)。在一些實施例中，基于用惡意的遠程主機發(fā)送將全部哈希到同一桶中的分組的難易度來確定哈希函數(shù)。RSS可從任意類型和形式的輸入來產(chǎn)生哈希，例如值序列。該值序列可包括網(wǎng)絡(luò)分組的任何部分，如網(wǎng)絡(luò)分組的任何頭部、域或載荷或其一部分。一些實施例中，可將哈希輸入稱為哈希類型，哈希輸入可包括與網(wǎng)絡(luò)分組或數(shù)據(jù)流關(guān)聯(lián)的任何信息元組，例如下面的類型:包括至少兩個IP地址和兩個端口的四元組、包括任意四組值的四元組、六元組、二元組和/或任何其他數(shù)字或值序列。以下是可由RSS使用的哈希類型示例:-源TCP端口、源IP版本4(IPv4)地址、目的TCP端口和目的IPv4地址的四元組。-源TCP端口、源IP版本6(IPv6)地址、目的TCP端口和目的IPv6地址的四元組。-源IPv4地址和目的IPv4地址的二元組。-源IPv6地址和目的IPv6地址的二元組。-源IPv6地址和目的IPv6地址的二元組，包括對解析IPv6擴展頭部的支持。哈希結(jié)果或其任何部分可用于識別用于分布網(wǎng)絡(luò)分組的核或?qū)嶓w，如分組引擎或Vipo一些實施例中，可向哈希結(jié)果應(yīng)用一個或者多個哈希位或掩碼。哈希位或掩碼可以是任何位數(shù)或字節(jié)數(shù)。NIC可支持任意位，例如7位。網(wǎng)絡(luò)堆棧可在初始化時設(shè)定要使用的實際位數(shù)。位數(shù)介于I和7之間，包括端值?？赏ㄟ^任意類型和形式的表用哈希結(jié)果來識別核或?qū)嶓w,例如通過桶表(buckettable)或間接表(indrectiontable)。一些實施例中，用哈希結(jié)果的位數(shù)來索引表。哈希掩碼的范圍可有效地限定間接表的大小。哈希結(jié)果的任何部分或哈希結(jié)果自身可用于索引間接表。表中的值可標識任何核或處理器，例如通過核或處理器標識符來標識。一些實施例中，表中標識多核系統(tǒng)的所有核。其他實施例中，表中標識多核系統(tǒng)的一部分核。間接表可包括任意多個桶，例如2到128個桶，可以用哈希掩碼索引這些桶。每個桶可包括標識核或處理器的索引值范圍。一些實施例中，流控制器和/或RSS模塊可通過改變間接表來重新平衡網(wǎng)絡(luò)負載。一些實施例中，多核系統(tǒng)575不包括RSS驅(qū)動器或RSS模塊560。在這些實施例的一些中，軟件操控模塊(未不出)或系統(tǒng)內(nèi)RSS模塊的軟件實施例可以和流分布器550共同操作或者作為流分布器550的一部分操作，以將分組引導到多核系統(tǒng)575中的核505。一些實施例中，流分布器550在設(shè)備200上的任何模塊或程序中執(zhí)行，或者在多核系統(tǒng)575中包括的任何一個核505和任一裝置或組件上執(zhí)行。一些實施例中，流分布器550’可在第一核505A上執(zhí)行，而在其他實施例中，流分布器550”可在NIC552上執(zhí)行。其他實施例中，流分布器550’的實例可在多核系統(tǒng)575中包括的每個核505上執(zhí)行。該實施例中，流分布器550’的每個實例可和流分布器550’的其他實例通信以在核505之間來回轉(zhuǎn)發(fā)分組。存在這樣的狀況，其中，對請求分組的響應(yīng)不是由同一核處理的，即第一核處理請求，而第二核處理響應(yīng)。這些情況下，流分布器550’的實例可以攔截分組并將分組轉(zhuǎn)發(fā)到期望的或正確的核505，即流分布器550’可將響應(yīng)轉(zhuǎn)發(fā)到第一核。流分布器550’的多個實例可以在任意數(shù)量的核505或核505的任何組合上執(zhí)行。流分布器可以響應(yīng)于任一個或多個規(guī)則或策略而操作。規(guī)則可識別接收網(wǎng)絡(luò)分組、數(shù)據(jù)或數(shù)據(jù)流的核或分組處理引擎。規(guī)則可識別和網(wǎng)絡(luò)分組有關(guān)的任何類型和形式的元組信息，例如源和目的IP地址以及源和目的端口的四元組?；谒邮盏钠ヅ湟?guī)則所指定的元組的分組，流分布器可將分組轉(zhuǎn)發(fā)到核或分組引擎。一些實施例中，通過共享存儲器和/或核到核的消息傳輸將分組轉(zhuǎn)發(fā)到核。雖然圖5B示出了在多核系統(tǒng)575中執(zhí)行的流分布器550，但是，一些實施例中，流分布器550可執(zhí)行在位于遠離多核系統(tǒng)575的計算裝置或設(shè)備上。這樣的實施例中，流分布器550可以和多核系統(tǒng)575通信以接收數(shù)據(jù)分組并將分組分布在一個或多個核505上。一個實施例中，流分布器550接收以設(shè)備200為目的地的數(shù)據(jù)分組，向所接收的數(shù)據(jù)分組應(yīng)用分布方案并將數(shù)據(jù)分組分布到多核系統(tǒng)575的一個或多個核505。一個實施例中,流分布器550可以被包括在路由器或其他設(shè)備中，這樣路由器可以通過改變與每個分組關(guān)聯(lián)的元數(shù)據(jù)而以特定核505為目的地，從而每個分組以多核系統(tǒng)575的子節(jié)點為目的地。這樣的實施例中，可用CISCO的vn-tag機制來改變或標記具有適當元數(shù)據(jù)的每個分組。圖5C示出包括一個或多個處理核505A-N的多核系統(tǒng)575的實施例。簡言之，核505中的一個可被指定為控制核505A并可用作其他核505的控制平面570。其他核可以是次級核，其工作于數(shù)據(jù)平面，而控制核提供控制平面。核505A-N共享全局高速緩存580?？刂坪颂峁┛刂破矫?，多核系統(tǒng)中的其他核形成或提供數(shù)據(jù)平面。這些核對網(wǎng)絡(luò)流量執(zhí)行數(shù)據(jù)處理功能，而控制核提供對多核系統(tǒng)的初始化、配置和控制。仍參考圖5C，具體而言，核505A-N以及控制核505A可以是此處所述的任何處理器。此外，核505A-N和控制核505A可以是能在圖5C所述系統(tǒng)中工作的任何處理器。另外，核505A-N可以是此處所述的任何核或核組。控制核可以是與其他核不同類型的核或處理器。一些實施例中，控制核可操作不同的分組引擎或者具有與其他核的分組引擎配置不同的分組引擎。每個核的存儲器的任何部分可以被分配給或者用作核共享的全局高速緩存。簡而言之，每個核的每個存儲器的預定百分比或預定量可用作全局高速緩存。例如，每個核的每個存儲器的50%可用作或分配給共享全局高速緩存。也就是說，所示實施例中，除了控制平面核或核I以外的每個核的2GB可用于形成28GB的共享全局高速緩存。例如通過配置服務(wù)而配置控制平面可確定用于共享全局高速緩存的存儲量(theamountofmemory)。一些實施例中，每個核可提供不同的存儲量供全局高速緩存使用。其他實施例中，任一核可以不提供任何存儲器或不使用全局高速緩存。一些實施例中，任何核也可具有未分配給全局共享存儲器的存儲器中的本地高速緩存。每個核可將網(wǎng)絡(luò)流量的任意部分存儲在全局共享高速緩存中。每個核可檢查高速緩存來查找要在請求或響應(yīng)中使用的任何內(nèi)容。任何核可從全局共享高速緩存獲得內(nèi)容以在數(shù)據(jù)流、請求或響應(yīng)中使用。全局高速緩存580可以是任意類型或形式的存儲器或存儲元件，例如此處所述的任何存儲器或存儲元件。一些實施例中，核505可訪問預定的存儲量(即32GB或者與系統(tǒng)575相當?shù)娜魏纹渌鎯α?。全局高速緩存580可以從預定的存儲量分配而來，同時，其余的可用存儲器可在核505之間分配。其他實施例中，每個核505可具有預定的存儲量。全局高速緩存580可包括分配給每個核505的存儲量。該存儲量可以字節(jié)為單位來測量，或者可用分配給每個核505的存儲器百分比來測量。因而，全局高速緩存580可包括來自與每個核505關(guān)聯(lián)的存儲器的IGB存儲器，或者可包括和每個核505關(guān)聯(lián)的存儲器的20%或一半。一些實施例，只有一部分核505提供存儲器給全局高速緩存580，而在其他實施例，全局高速緩存580可包括未分配給核505的存儲器。每個核505可使用全局高速緩存580來存儲網(wǎng)絡(luò)流量或緩存數(shù)據(jù)。一些實施例中，核的分組引擎使用全局高速緩存來緩存并使用由多個分組引擎所存儲的數(shù)據(jù)。例如，圖2A的高速緩存管理器和圖2B的高速緩存功能可使用全局高速緩存來共享數(shù)據(jù)以用于加速。例如，每個分組引擎可在全局高速緩存中存儲例如HTML數(shù)據(jù)的響應(yīng)。操作于核上的任何高速緩存管理器可訪問全局高速緩存來將高速緩存響應(yīng)提供給客戶請求。一些實施例中，核505可使用全局高速緩存580來存儲端口分配表，其可用于部分基于端口確定數(shù)據(jù)流。其他實施例中，核505可使用全局高速緩存580來存儲地址查詢表或任何其他表或列表，流分布器可使用這些表來確定將到來的數(shù)據(jù)分組和發(fā)出的數(shù)據(jù)分組導向何處。一些實施例中，核505可以讀寫高速緩存580，而其他實施例中，核505僅從高速緩存讀或者僅向高速緩存寫。核可使用全局高速緩存來執(zhí)行核到核通信?？梢詫⑷指咚倬彺?80劃分成各個存儲器部分，其中每個部分可專用于特定核505。一個實施例中，控制核505A可接收大量的可用高速緩存，而其他核505可接收對全局高速緩存580的變化的訪問量。一些實施例中，系統(tǒng)575可包括控制核505A。雖然圖5C將核1505A示為控制核，但是，控制核可以是設(shè)備200或多核系統(tǒng)中的任何一個核。此外，雖然僅描述了單個控制核，但是，系統(tǒng)575可包括一個或多個控制核，每個控制核對系統(tǒng)有某種程度的控制。一些實施例中，一個或多個控制核可以各自控制系統(tǒng)575的特定方面。例如，一個核可控制決定使用哪種分布方案，而另一個核可確定全局高速緩存580的大小。多核系統(tǒng)的控制平面可以是將一個核指定并配置成專用的管理核或者作為主核。控制平面核可對多核系統(tǒng)中的多個核的操作和功能提供控制、管理和協(xié)調(diào)?？刂破矫婧丝蓪Χ嗪讼到y(tǒng)中的多個核上存儲器系統(tǒng)的分配和使用提供控制、管理和協(xié)調(diào)，這包括初始化和配置存儲器系統(tǒng)。一些實施例中，控制平面包括流分布器，用于基于數(shù)據(jù)流控制數(shù)據(jù)流到核的分配以及網(wǎng)絡(luò)分組到核的分配。一些實施例中，控制平面核運行分組引擎，其他實施例中，控制平面核專用于系統(tǒng)的其他核的控制和管理?？刂坪?05A可對其他核505進行某種級別的控制，例如，確定將多少存儲器分配給每個核505，或者確定應(yīng)該指派哪個核來處理特定功能或硬件/軟件實體。一些實施例中，控制核505A可以對控制平面570中的這些核505進行控制。因而，控制平面570之外可存在不受控制核505A控制的處理器。確定控制平面570的邊界可包括由控制核505A或系統(tǒng)575中執(zhí)行的代理維護由控制核505A控制的核的列表?？刂坪?05A可控制以下的任一個:核初始化、確定核何時不可用、一個核出故障時將負載重新分配給其他核505、決定實現(xiàn)哪個分布方案、決定哪個核應(yīng)該接收網(wǎng)絡(luò)流量、決定應(yīng)該給每個核分配多少高速緩存、確定是否將特定功能或元件分布到特定核、確定是否允許核彼此通信、確定全局高速緩存580的大小以及對系統(tǒng)575內(nèi)的核的功能、配置或操作的任何其他確定。F.用于提供策略組的系統(tǒng)和方法通信和數(shù)據(jù)網(wǎng)絡(luò)向用戶提供對網(wǎng)絡(luò)資源的訪問，該網(wǎng)絡(luò)資源例如是文件、應(yīng)用以及服務(wù)。為了有效地管理和保護網(wǎng)絡(luò)資源，需要系統(tǒng)和方法來控制對受保護的和/或有限資源的訪問。隨著資源類型、網(wǎng)絡(luò)、活動、通信協(xié)議和用戶類別的增加，訪問控制方案已變得越來越復雜。例如，訪問控制方案可包括下列的任一個或者多個:認證、授權(quán)、證書驗證、訪問控制列表(ACL)、訪問規(guī)則和/或策略、防火墻、負載和/或功率平衡、有限資源的分配、建立安全連接(例如SSLVPN)、會話重用、用戶和/或用戶組權(quán)限，以及密鑰加密。由于各種訪問控制方案可能需要相互協(xié)調(diào)運行來管理資源，因而出于訪問控制的目的，將多種訪問配置聚合到一個策略組中十分有利。諸如訪問網(wǎng)關(guān)、防火墻以及認證、授權(quán)和審計(AAA)服務(wù)器的網(wǎng)絡(luò)組件可以響應(yīng)于對資源的請求來訪問和/或應(yīng)用這樣的策略組。在一些實施例中，可以將訪問配置的智能配置稱作策略組。也可以將策略組稱作訪問配置組或智能組。策略組可以被設(shè)計為、建立為和/或配置為智能地和邏輯地聚合多個訪問配置。出于訪問控制的目的，策略組可聚合訪問配置的補充集合和/或復合集合。策略組能夠根據(jù)訪問配置類型邏輯地組織、安排或關(guān)聯(lián)多個訪問配置。策略組可基于邏輯安排或者關(guān)聯(lián)系統(tǒng)性地應(yīng)用和/或評估多個訪問配置。例如，在一些實施例中，應(yīng)用不同類型的訪問配置獲得的結(jié)果可以邏輯地“與”(AND)在一起。策略組可包括一個或多個級別的訪問配置。策略組可基于功能、優(yōu)先極等將多個訪問配置安排為不同級別。在一些實施例中，在最高級別策略組包括兩個或更多組件，如標準和資源。例如，標準組件可包括登錄點(loginpoint)、裝置描述文件和組訪問配置。在一些實施例中，策略組可具有一種或多種訪問配置類型和/或省略或者漏掉的級別。策略組可包括默認動作和/或任何訪問配置類型的性質(zhì)和/或省略或者漏掉的級別。策略組可提供訪問配置之間的沖突解決方案。在各個實施例中，可將策略組用作單個模塊，該單個模塊包括來自多個訪問配置的策略、參數(shù)、性質(zhì)和設(shè)置。在一些實施例中，可基于為用戶識別和/或評估的一個或多個訪問配置來為該用戶確定(identify)—個或多個策略組。一旦確定，可以應(yīng)用和/或評估來自這些策略組中每一個的另外的關(guān)聯(lián)訪問配置。例如，可基于初始訪問控制活動和結(jié)果動態(tài)地確定策略組。可基于由策略組要求的對訪問配置的評估來聚集或達成最終的訪問控制決策。在一些實施例中，策略組可生成更加全面、優(yōu)化或合適的訪問控制決策。策略組可基于對策略組中各種級別和類型的訪問配置進行互操作來生成這種訪問控制決策。策略組可基于策略組中訪問配置的廣度、綜合性以及協(xié)作交互來生成這種訪問控制決策。現(xiàn)參考圖6A，示出了提供策略組677用于控制對網(wǎng)絡(luò)資源的訪問的系統(tǒng)600的一個實施例。簡要概括，該系統(tǒng)包括一網(wǎng)絡(luò)裝置，該網(wǎng)絡(luò)裝置包括策略管理器667。策略管理器667包括、提供和/或應(yīng)用一個或多個策略組。策略組677可包括一個或多個訪問配置。例如，可以為登錄點、資源標識和可用權(quán)限、裝置描述文件676和/或組名688定義訪問配置。每個登錄點可與至少一種認證方法和授權(quán)方法相關(guān)聯(lián)。在圖6A的進一步細節(jié)中，網(wǎng)絡(luò)裝置200可以是、或者包括與網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點關(guān)聯(lián)的任何類型或形式的組件。舉例來說，在一個實施例中，該網(wǎng)絡(luò)裝置可包括來自在上文中結(jié)合圖1A-1D、2A、2B、4A、4C和5A描述的網(wǎng)絡(luò)設(shè)備或中間裝置200的任何實施例的特征。在各個實施例中，網(wǎng)絡(luò)裝置200可以是獨立的裝置、網(wǎng)絡(luò)組件的附件，或者網(wǎng)絡(luò)組件的模塊。網(wǎng)絡(luò)裝置200可被設(shè)計為、建立為和/或配置為提供或控制對網(wǎng)絡(luò)資源的訪問?？蓪⒕W(wǎng)絡(luò)裝置200設(shè)計為、建立為和/或配置為允許用戶配置或者重新配置訪問配置或策略組677用以控制對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)裝置200可以為用戶或應(yīng)用提供任何類型或形式的接口來請求訪問資源。網(wǎng)絡(luò)裝置200可以為用戶或應(yīng)用提供任何類型或形式的接口來配置或重新配置訪問配置或策略組677。所提供的接口可包括在上文中結(jié)合了圖1E、1F和2A描述的接口126、127、130、210、212、214的任何實施例的一個或多個特征。網(wǎng)絡(luò)裝置200可包括一個或多個策略管理器。每個策略管理器可以作為該網(wǎng)絡(luò)裝置上的虛擬服務(wù)器來實現(xiàn)，如在上文中結(jié)合圖2B和4A-4C描述的虛擬服務(wù)器275和406。每個策略管理器667可以在如上文結(jié)合圖5A-5C描述的多核系統(tǒng)的一個處理器上執(zhí)行。在一些實施例中，策略管理器667包括在上文中結(jié)合圖1D和2A描述的策略引擎195和236的任何實施例的一個或多個特征。在某些實施例中，策略管理器667提供替換或補充策略引擎的功能。策略管理器667可包括硬件或者軟件和硬件的任意組合。策略管理器667可包括應(yīng)用、程序、庫、腳本、進程、任務(wù)、線程或在硬件上執(zhí)行的任何類型和形式的指令，該硬件例如網(wǎng)絡(luò)裝置的處理器。策略管理器667可包括一個或多個存儲裝置或與一個或多個存儲裝置通信，該存儲裝置用于存儲和/或檢索策略組和/或訪問配置。每個存儲裝置可包括來自在上文中結(jié)合圖1D、1E、2A、4A、5B和5C描述的存儲裝置128、122、140、232、264、442、556、580的任何實施例的特征。在一些實施例中，可將該一個或多個存儲裝置聯(lián)網(wǎng)，例如，作為存儲區(qū)域網(wǎng)絡(luò)(SAN)來實現(xiàn)?？蓪⒉呗怨芾砥?67設(shè)計和構(gòu)造為存儲、提供、服務(wù)、執(zhí)行、管理、生成和/或配置策略組677和/或訪問配置。舉例說明，在一個實施例中，管理員經(jīng)由策略管理器667的接口來配置策略組677。在一些實施例中，策略管理器667可包括用于組織和檢索可用的策略組677的數(shù)據(jù)庫管理和/或檢索系統(tǒng)。策略管理器667可響應(yīng)于對資源的請求來生成、識另O、檢索和/或應(yīng)用一個或多個可應(yīng)用的策略組。例如，在一個實施例中，策略管理器667可響應(yīng)于訪問網(wǎng)絡(luò)文件的用戶請求來識別和應(yīng)用策略組677。在另一個實施例中，對于接收訪問請求的訪問網(wǎng)關(guān)或另一裝置的申請，策略管理器667可向該訪問網(wǎng)關(guān)或另一裝置識別和提供策略組677。在某些實施例中，策略管理器667根據(jù)策略組677來協(xié)調(diào)和/或管理由各種網(wǎng)絡(luò)模塊或服務(wù)(例如，下列中的一個或多個的任意組合=AAA服務(wù)器、訪問服務(wù)器、登錄頁面web服務(wù)器、資源和/或策略的存儲裝置，和/或用于收集關(guān)于客戶機裝置的計算環(huán)境的信息的收集代理)提供的功能。在一些實施例中，策略管理器667與這些網(wǎng)絡(luò)模塊或服務(wù)的一個或多個通信和/或收集來自這些網(wǎng)絡(luò)模塊或服務(wù)的一個或多個的信息，從而結(jié)合策略組677做出策略決策用于訪問控制?？捎靡粋€或多個策略組(例如，基礎(chǔ)或默認策略組)來預先配置或者預先構(gòu)建系統(tǒng)600和/或策略管理器667用于部署?？梢灾匦屡渲煤?或組合這些策略組用于部署。如上文所述，策略組677可包括一個或多個訪問配置。在一些實施例中，可將策略組677稱作智能組(SmartGroup)。訪問配置可包括、描述和/或指定一個或多個訪問控制方案的特征、需求、規(guī)則和/或策略，例如用于認證、授權(quán)、證書驗證、訪問控制表(ACL)操作、管理應(yīng)用需求、防火墻操作、負載和/或功率平衡、有限資源分配、建立安全連接(如SSLVPN)、管理用戶和/或用戶組權(quán)限、管理裝置需求、會話重用和密鑰加密。在一些實施例中，訪問配置可識別提供用于訪問控制的特征、需求、信息、規(guī)則和/或策略的網(wǎng)絡(luò)模塊或服務(wù)。每個訪問配置可能屬于多種訪問配置類型中的一種，例如登錄點類型、裝置描述文件類型、資源類型、IP地址池類型或者組名類型。策略組677可包括特定類型的一個或多個訪問配置。如果沒有用訪問配置或特定類型的訪問配置來配置策略組677，則策略管理器667可提供默認的動作、訪問配置和/或策略來代替缺少的訪問配置。在一些實施例中，可以將策略組677的訪問配置分配、劃分、分組或分類為策略組677的一個或多個組件。例如在一個實施例中，一個組件可包括與規(guī)則或標準相關(guān)的訪問配置，例如，登錄點678、裝置描述文件676和組688(或組名)。另一組件可包括與資源和這些資源的訪問權(quán)限(例如，允許、拒絕、不同的訪問級別)相關(guān)的一個或多個訪問配置。策略組677可以不包括與標準相關(guān)或與資源相關(guān)的訪問配置,或者包括與標準相關(guān)或與資源相關(guān)的訪問配置中的一個或多個。每個策略組677可以邏輯地組合、區(qū)分優(yōu)先級和/或管理例如相同類型或不同類型的一個或多個訪問配置。策略組677可以為相同類型(例如，裝置描述文件676)的訪問配置來定義或?qū)崿F(xiàn)“或”(OR)邏輯操作或者組合。舉例說明，在一個實施例中，將具有便攜式裝置描述文件676和移動裝置描述文件的策略組677應(yīng)用到是便攜式計算機的客戶機裝置可產(chǎn)生該客戶機裝置滿足這兩種描述文件的OS需求的確定。因此，策略組677可基于滿足這些描述文件中的任何一個來授予對所請求資源的訪問級別。在另一個實施例中，向是PDA電話的客戶機裝置應(yīng)用同一策略組677可產(chǎn)生該客戶機裝置僅滿足移動裝置描述文件的OS需求的確定。策略組677可根據(jù)滿足裝置描述文件676之一，例如移動裝置描述文件，來授予對所請求資源的相同訪問級別。策略組677可以為不同類型的訪問配置(例如，裝置描述文件訪問配置676和組名訪問配置688之間)來定義或?qū)崿F(xiàn)“與”(AND)邏輯操作或者組合。例如在一個實施例中，如果676訪問配置和組名訪問配置688兩者均滿足，策略組677可授予對資源的訪問權(quán)限。舉例說明，如果應(yīng)用了具有兩個登錄點678(lpl,1ρ2)和一個裝置描述文件676(dpi)的策略組677，則用于訪問控制決策的規(guī)則語句可以邏輯地表示為:IFdplORlp2)ANDdpITHEN—在另一個示例和實施例中，如果應(yīng)用了具有兩個登錄點678(lpl，lp2)和兩個裝置描述文件676(dpi,dp2)的策略組677，則用于訪問控制決策的規(guī)則語句可以邏輯地表示為:IFdplORlp2)AND(dplORdp2)THEN...在一些實施例中，策略組677包括一個或多個登錄點訪問配置(后文有時總稱為“登錄點”)。登錄點678可以表示系統(tǒng)600、會話和/或連接的入口點，例如用于訪問網(wǎng)絡(luò)資源。登錄點678可包括登錄頁或者任何類型或形式的接口(例如，包括在上文中結(jié)合圖1E、IF和2A描述的接口126、127、130、210、212、214的任何實施例的一個或多個特征)。用戶可經(jīng)由URL或者任何類型或形式的web鏈接、桌面小程序或者圖標來訪問登錄點678?？赏ㄟ^URL或任何類型或形式的web鏈接、桌面小程序或圖標來標識或表示登錄點678。例如在一個實施例中，可通過選擇或點擊URL來選擇登錄點678。可識別與所選登錄點678關(guān)聯(lián)的一個或多個策略組以用于評估。在一些實施例中，響應(yīng)于經(jīng)由登錄點應(yīng)用的一種或多種認證和/或授權(quán)方法690來選擇該一個或多個識別的策略組的子集以用于評估。在其他實施例中，響應(yīng)于經(jīng)由登錄點應(yīng)用的一個或多個認證和/或授權(quán)方法690來識別一個或多個策略組用于評估。在一些實施例中，策略組677可要求為該策略組677定義或配置至少一個登錄點678。在其他實施例中，可以為沒有定義或配置的登錄點的策略組677分配默認登錄點678。在又一個實施例中，可基于用戶訪問的任何登錄點678(例如基于所選登錄點的相關(guān)的認證和/或授權(quán)結(jié)果)來選擇沒有定義或配置的登錄點678的策略組677。為所選登錄點678定義的性質(zhì)可優(yōu)先于(override)全局性質(zhì)。例如在一個實施例中,所選登錄點678可要求雙重認證來代替由全局規(guī)則要求的單一類型的認證。策略組677的性質(zhì)可優(yōu)先于登錄點678和/或全局性質(zhì)。可以用一種或多種認證和/或授權(quán)方法690來配置登錄點678。舉例說明，在一些實施例中，登錄點678可具有與其關(guān)聯(lián)的兩種認證方法699，有時稱作雙重驗證。登錄點678(例如經(jīng)由認證和/或授權(quán))可請求用戶信息或者用戶響應(yīng)，例如用戶標識(用戶ID)、密碼、驗證問題的答案、RSA(Rivest,ShamirandAdleman)securID和/或生物信息?？苫谧R別如來自可信來源、現(xiàn)有安全會話和/或來自安全網(wǎng)絡(luò)內(nèi)部的訪問請求來刪減、繞過或跳過一個或多個認證方法699和/或授權(quán)方法690。在一些實施例中，可基于(例如由用戶)選擇的認證方法699來調(diào)用或選擇一個或多個授權(quán)方法690。表Fl示出了基于所選認證方法的授權(quán)方法選擇過程的一個實施例。例如，如果所選認證方法是RSA，則所選授權(quán)方法690可以包括RSA、輕量級目錄訪問協(xié)議(LDAP)和活動目錄(AD)中的一個或多個。如果所選認證方法是遠程認證撥號用戶服務(wù)(RADIUS)，所選授權(quán)方法690則可以包括RADIUS、LDAP、AD中的一個或多個。表Fl:授權(quán)方法選擇認證授權(quán)RSARSA,LDAP,ADRADIUSRADIUS,LDAP,ADADLDAP,AD在一些實施例中，可以(例如，由管理員或根據(jù)計劃表)禁用登錄點678。禁用登錄點678可改變與該登錄點關(guān)聯(lián)的策略組677的行為。例如在一個實施例中，如果禁用了策略組677中的唯一登錄點678，則該策略組677可能變?yōu)椴豢捎谩Ｈ绻{(diào)用或評估該策略組677，則可能返回空集。在一個實施例中，這種策略組677可喪失其授予訪問資源或拒絕訪問資源的能力。如果策略組677中存在至少另一未被禁用的登錄點678，則可基于該至少另一未被禁用的活動登錄點678來評估策略組677。在其他實施例中，如果禁用了策略組677中的所有登錄點678，則可以例如通過合并全局或默認登錄點678來啟用一登錄點678。在一些實施例中，登錄點678可能具有配置到或附屬于該登錄點的一個或多個可見性裝置描述文件。登錄點678可具有配置到或附屬于該一個或多個可見性裝置描述文件的評估屬性。該評估屬性可被配置為在兩個或更多可見性裝置描述文件之間應(yīng)用“與”或者“或”邏輯函數(shù)。例如在一個實施例中，如果評估屬性被設(shè)置為“與”，如果根據(jù)請求客戶機裝置成功地評估了所有可見性裝置描述文件或者所有可見性裝置描述文件成功匹配請求客戶機裝置，則可使登錄點678變?yōu)榭梢?例如,可用、啟動或有效)。例如在另一個實施例中，如果評估屬性被設(shè)置為“與”，如果根據(jù)請求客戶機裝置未成功評估任何一個或多個可見性裝置描述文件或者任何一個或多個可見性裝置描述文件未成功匹配請求客戶機裝置，則可使登錄點678變?yōu)椴豢梢?例如，不可用、禁用或無效)。系統(tǒng)600可以經(jīng)由策略管理器667或收集代理來執(zhí)行對客戶機裝置的掃描或端點分析從而收集信息(例如計算環(huán)境特征)。可根據(jù)一個或多個可見性裝置描述文件來評估裝置信息從而確定登錄點的可見性。裝置信息可包括、但不限于:裝置類型、OS類型和OS路徑信息、軟件應(yīng)用(例如Web瀏覽器)和路徑信息、防病毒軟件版本和更新、防火墻信息、處理器類型和處理能力、總線速度和帶寬、存儲器或存儲信息、客戶機裝置是否是可信裝置、客戶機裝置的機器ID、客戶機節(jié)點的MAC或其他地址、安裝的網(wǎng)卡和其他硬件、與客戶機裝置關(guān)聯(lián)的數(shù)字水印、活動目錄中的成員、網(wǎng)絡(luò)連接信息、客戶機裝置證書和授權(quán)證書。例如在一些實施例中，客戶機裝置的數(shù)字水印可包括數(shù)據(jù)嵌入。水印可包括插入到文件中的數(shù)據(jù)形式以便提供關(guān)于該文件的來源或版權(quán)信息。水印可包括數(shù)字哈希文件以便提供篡改檢測。在一些實施例中，網(wǎng)絡(luò)連接信息涉及帶寬能力。在其他實施例中，網(wǎng)絡(luò)連接信息涉及或者包括互聯(lián)網(wǎng)協(xié)議(IP)地址。在某些實施例中，如果中斷、取消或提前終止裝置掃描(或者端點分析)，則可將對應(yīng)的裝置描述文件評估確定為不成功的或不完全的。在一些實施例中可發(fā)出錯誤并且可發(fā)起重新掃描。在一些實施例中，可將為了可見性的目的而配置的裝置描述文件676用于與策略組677關(guān)聯(lián)的掃描后的評估。可見性裝置描述文件可指定和/或請求一個或多個客戶機裝置屬性。這些客戶機屬性可能覆蓋由裝置掃描所收集的裝置信息的任何方面，例如在上文中描述的那些?？苫谌魏卧L問控制事件來發(fā)起裝置掃描，例如當系統(tǒng)接收訪問請求時、當選擇登錄點678時，或者當識別了策略組677時。網(wǎng)絡(luò)裝置可將收集代理傳輸?shù)娇蛻魴C節(jié)點以收集客戶機信息。網(wǎng)絡(luò)裝置可與客戶機裝置通信以收集關(guān)于該客戶機裝置的信息。在一些實施例中，比起評估可見性裝置描述文件所需的信息，裝置掃描可收集更多的信息。裝置掃描可根據(jù)要收集的指定或標準數(shù)據(jù)列表來收集信息。裝置掃描可基于一個或多個策略的應(yīng)用來收集信息。在一些實施例中，策略組677包括一個或多個裝置描述文件訪問配置。在這些實施例的一些中，可將這些訪問配置稱作裝置描述文件676用于掃描后的評估。這些訪問配置可以與在上文中描述的可見性裝置描述文件相同或改編自在上文中描述的可見性裝置描述文件。在一些實施例中，掃描后裝置描述文件676可能與可見性裝置描述文件有區(qū)別。可根據(jù)正從裝置掃描收集的信息和/或根據(jù)已經(jīng)從裝置掃描收集的信息來評估掃描后裝置描述文件676。裝置描述文件676可指定和/或請求一個或多個客戶機裝置屬性。這種客戶機屬性可覆蓋由裝置掃描收集的裝置信息的任何方面。裝置描述文件676可(例如經(jīng)由策略)指定和/或要求客戶機節(jié)點中的某些操作能力和/或安全特征?？梢詫呙韬笱b置描述文件676用作策略組677的一部分以確定客戶機裝置的訪問權(quán)限。在一些實施例中，策略組677可能不與任何裝置描述文件訪問配置相關(guān)聯(lián)。在某些實施例中，如果沒有為所選擇的策略組677配置任何裝置描述文件676，則可以簡單地將裝置描述文件676從對應(yīng)的訪問控制決策中排除。在其他實施例，可將默認和/或全局裝置描述文件與沒有配置任何裝置描述文件676的所選擇的策略組677—起應(yīng)用。可基于所應(yīng)用的認證和/或授權(quán)方法690將用戶用一個或多個組來識別。基于該識別，可以將與該一個或多個組關(guān)聯(lián)的一個或多個策略組677用于做出該用戶的訪問控制策略確定。在一些實施例中，策略組677可與一個或多個組相關(guān)聯(lián)。該一個或多個組688中每個可由一個組名來識別。組名可包括任何字母數(shù)字和/或特殊字符。在一些實施例中，組名可以是不分大小寫的。在某些實施例中，系統(tǒng)可從策略組677的名稱中提取一個或多個組名688。在其他實施例中，系統(tǒng)不應(yīng)使用策略組677的名稱來推斷或提取與該策略組677關(guān)聯(lián)的組名688。組688可包括或者識別一個或多個用戶。組688可識別用戶的一個或多個屬性。具有一個或多個識別的屬性的用戶可與該組關(guān)聯(lián)或被分配到該組。如果請求訪問資源的用戶被關(guān)聯(lián)到在策略組677中識別的組688，則可以應(yīng)用該策略組677來確定該用戶的訪問控制。如果組688與多個策略組相關(guān)聯(lián)，則可應(yīng)用這些策略組的全部或一些以確定該用戶的訪問控制。例如在一個實施例中，如果多個策略組配置有與用戶關(guān)聯(lián)的組688，并且配置有與由該用戶操作的客戶機裝置匹配的裝置描述文件676，則系統(tǒng)可應(yīng)用所有這些策略組來確定該用戶的訪問控制。在一些實施例中，策略組677與至少一個組或組名688相關(guān)聯(lián)。在某些實施例中，如果沒有為策略組677定義或配置組688(或組名)，則策略組677可能例如由于沒有激活與組相關(guān)的策略而無意中允許訪問。在這些實施例的一些中，系統(tǒng)可禁用策略組677,或者重新配置策略組677以返回一個空集(例如，而不是做出潛在地無效訪問控制決策)。這樣可以防止意外的安全漏洞(securitybreach)。因而,例如,如果為策略組677配置管理組名并且管理員意外地將該管理組名從策略組677移除，則系統(tǒng)可以禁用策略組677從避免使用戶自動獲得關(guān)于這個策略組677的權(quán)限。在一些實施例中，如果沒有為策略組677配置至少一個組688，可將默認組附屬到該策略組677，例如直到為該策略組677配置組688。策略組677可在資源訪問配置655中指定一個或多個可應(yīng)用資源或資源類型。每個資源或資源類型可具有與其相關(guān)的多個訪問級別或者訪問權(quán)限。在一些實施例中，系統(tǒng)可支持包括至少“允許”或“拒絕”的訪問權(quán)限。在其他實施例中，如果訪問被允許，則可基于策略組評估來授予多個訪問級別中的一個。系統(tǒng)可審計或記錄資源或資源類型的可用性。系統(tǒng)可根據(jù)該資源或資源類型的可用性來修改資源訪問配置655?？芍付P(guān)于資源或資源類型的默認或全局訪問權(quán)限。具有資源訪問配置655的策略組677可以忽略該默認或全局訪問權(quán)限。資源訪問配置655可支持類型為“任何”的資源，該“任何”可表示用于任意資源的通配符。例如，在一些實施例中，管理員可使用該資源訪問配置655來建立適用于任何資源的基礎(chǔ)策略組。在一些實施例中，在策略組677中缺少任一配置的資源訪問配置655的情況下，應(yīng)用于該策略組677的隱式默認或全局性質(zhì)可以拒絕所有資源請求。這種隱式默認或全局性質(zhì)可被稱作“拒絕所有”性質(zhì)或策略。在策略組677的評估期間，例如可以相對于定義的的資源訪問配置655為“拒絕所有”性質(zhì)或策略分配較低的優(yōu)先級。在一些實施例中，如果策略組677未配置任何識別的資源或資源類型，則策略組677隱式地拒絕對所有請求資源或一些請求資源的訪問。在其他實施例中，如果策略組677未配置任何識別的資源或資源類型，則策略組677可基于全局、默認或者登錄點678級別策略或參數(shù)設(shè)置而允許對一些資源或資源類型的訪問?，F(xiàn)參考圖6B，描述了策略組677的數(shù)據(jù)模型的一個實施例。策略組677可包括由網(wǎng)絡(luò)裝置配置和存儲的一個或多個數(shù)據(jù)結(jié)構(gòu)。該一個或多個數(shù)據(jù)結(jié)構(gòu)可以由管理員和/或由應(yīng)用動態(tài)地進行重新配置。在一些實施例中，其中一個數(shù)據(jù)結(jié)構(gòu)經(jīng)由任何類型或形式的存儲器或數(shù)據(jù)庫鏈接和/或指針與一個或多個其他數(shù)據(jù)結(jié)構(gòu)相關(guān)聯(lián)。例如在一個實施例中，策略組677可具有與資源631、組638、裝置描述文件635、登錄點633和/或IP地址池640的訪問配置數(shù)據(jù)結(jié)構(gòu)關(guān)聯(lián)的智能組數(shù)據(jù)結(jié)構(gòu)630。IP地址池可以是任何類型或形式的IP地址的集合，例如分配給用戶和/或由用戶操作的裝置的內(nèi)聯(lián)網(wǎng)或虛擬IP地址(IIP)。例如，可在用戶會話或訪問資源的會話期間將IP地址池中的IP地址分配給用戶和/或裝置。這些IP地址可以例如在會話終止時重用。在一些實施例中，登錄點可與一個或多個裝置描述文件676關(guān)聯(lián)。例如，這可以如同在圖6B中由登錄點678的數(shù)據(jù)結(jié)構(gòu)633和裝置描述文件的數(shù)據(jù)結(jié)構(gòu)635的關(guān)聯(lián)所描述的那樣。在一個實施例中，可基于一種或多種裝置類型或裝置描述文件676(例如，可見性裝置描述文件)使得特定的登錄點676(例如web界面)可用。在另一個實施例中，例如，登錄點678可以為了使認證和/或授權(quán)成功而請求特定的裝置類型或裝置描述文件676。在又一個實施例中，在認證用戶時，如果該用戶正在使用具有或滿足識別的裝置描述文件的裝置，則登錄點678可以授權(quán)給該用戶。在某些實施例中，認證時可以根據(jù)用戶識別一個或多個組。例如，這可以是在圖6B中由認證方法的數(shù)據(jù)結(jié)構(gòu)639和組數(shù)據(jù)結(jié)構(gòu)638的關(guān)聯(lián)所描述的那樣。舉例來說，且不以限制為目的，處于客戶機裝置的用戶可能嘗試登錄到系統(tǒng)400和/或會話以訪問資源。用戶可經(jīng)由統(tǒng)一資源定位符(URL)來選擇和/或訪問登錄接口。URL可與登錄點相關(guān)聯(lián)。登錄點可與一個或多個策略組相關(guān)聯(lián)。一個或多個認證和/或授權(quán)方法690可與所選擇的登錄點相關(guān)聯(lián)或附屬于所選擇的登錄點?？苫谒x登錄點的一個或多個認證方法699來認證用戶?？捎伤x登錄點的一個或多個授權(quán)方法690來評估和/或確定用戶的授權(quán)權(quán)利?；谡J證和/或授權(quán)，用戶可被識別為屬于一個或多個組或者與一個或多個組相關(guān)聯(lián)。可為每個組分配組名。基于所識別的組、組名、所請求的資源和/或登錄點，系統(tǒng)可識別一個或多個策略組用于控制對所請求資源的用戶訪問?？筛鶕?jù)由每個識別的策略組描述或識別的一個或多個裝置描述文件676來評估用戶操作的客戶機裝置。策略組677可基于認證、授權(quán)、識別的組、裝置描述文件評估和/或所請求的資源授予用戶對該資源的訪問權(quán)限。在一些實施例中，可使用策略組更有效地管理訪問控制。與單獨策略和/或決策樹中的策略節(jié)點相比，使用策略組可以更有效地管理訪問控制。每個訪問配置可包括如上文描述的一個或多個相關(guān)的策略和/或訪問控制方案的元素?？梢阅K化構(gòu)造和管理每個訪問配置。每個訪問配置可與多個策略組關(guān)聯(lián)或包括在多個策略組中?？墒褂靡粋€或多個訪問配置來組合或配置一個或多個策略組。還可以經(jīng)由一個或多個共享的訪問配置來重新配置或更新多個策略組。在一些實施例中，在認證和/或授權(quán)用戶時，可為每個用戶識別一個或多個可應(yīng)用的策略組。管理員可為策略組677定義一個或多個性質(zhì)。這些性質(zhì)可包括動作(例如，基于策略組677的評估來拒絕、授予完全訪問權(quán)限,或者授予訪問級別)、相對于其他策略組的優(yōu)先級、對于其中激活策略組677的時間段的識別等。所定義的策略組677的性質(zhì)可優(yōu)先于在全局和/或登錄點級別所定義的性質(zhì)。在缺少可應(yīng)用的或合適的策略組677的情況下，可應(yīng)用默認全局訪問配置、登錄點策略或策略組中的一個或多個。此外，可以通過邏輯地組合策略組677中的各種訪問配置來應(yīng)用精細(fine-grained)訪問配置。對于每個資源，每個策略組677可以基于訪問配置的聚合集合為用戶授予多種訪問級別中的一種。策略組677的每個訪問配置可提供相對于策略組677的其他訪問配置的不同訪問控制特征和/或補充訪問控制特征。例如，在一些實施例中，可在兩個或更多訪問配置中實現(xiàn)多個認證方法699。此外，一個策略組677可具有比另一策略組677更高的優(yōu)先權(quán)。在這些實施例的一些中，可基于更高的優(yōu)先權(quán)或更高級別的策略組677向與多個策略組關(guān)聯(lián)的用戶授予訪問權(quán)限。因此，在配置、管理和應(yīng)用策略組的過程中，有各種益處和靈活性。在一些實施例中，為策略組677建立初始配置包括(例如通過管理員經(jīng)由策略組677接口)向登錄點678(例如默認登錄點)附加或關(guān)聯(lián)認證方法。管理員可創(chuàng)建新的策略組677(例如，經(jīng)由策略管理器667的智能組數(shù)據(jù)機構(gòu))。管理員可以向策略組677添加登錄點678作為訪問配置。在配置資源訪問配置655的過程中，管理員可定義類型為“任何”的資源。管理員可為該資源將訪問權(quán)限設(shè)置為“允許”和/或指定對這些資源可用的多個訪問級別。管理員可例如經(jīng)由策略管理器667保存策略組677的這個初始配置。在一些實施例中，并且舉例說明，管理員可能想要配置策略組677用于控制對網(wǎng)段(例如，網(wǎng)段10.20.30.0/24)的訪問。管理員可要求認證對該網(wǎng)段的訪問。管理員可向默認登錄點添加或關(guān)聯(lián)一個或多個認證方法。管理員可基于例如OS類型、瀏覽器類型等來創(chuàng)建或配置新的裝置描述文件676。管理員可為指向網(wǎng)段10.20.30.0/24的網(wǎng)段資源創(chuàng)建或配置訪問配置。管理員可創(chuàng)建新的策略組677(例如，經(jīng)由策略管理器667的智能組數(shù)據(jù)結(jié)構(gòu))。管理員可向策略組677添加登錄點678作為另一訪問配置。管理員可向策略組677添加裝置描述文件676作為又一訪問配置。管理員可向策略組677添加網(wǎng)段資源的訪問配置。管理員可將這些配置保存在新的策略組677的數(shù)據(jù)結(jié)構(gòu)中。如上文所述，系統(tǒng)可支持一個或多個全局配置。每個全局配置可與提供或管理對網(wǎng)絡(luò)資源的訪問的網(wǎng)絡(luò)裝置群關(guān)聯(lián)。在一些實施例中，每個全局配置可與網(wǎng)關(guān)、設(shè)備或者經(jīng)由一個或多個策略組677管理對資源的訪問的任何其他網(wǎng)絡(luò)節(jié)點的群關(guān)聯(lián)。每個全局配置可包括一個或多個與訪問相關(guān)的性質(zhì)、參數(shù)或?qū)傩?后文中總的稱作“參數(shù)”)。這些參數(shù)或?qū)傩钥僧斪隼缭谌鄙儆刹呗越M677和/或登錄點678提供的訪問配置的情況下的默認配置。表F2示出了在全局、策略組677和/或登錄點級別可用的參數(shù)的一個實施例。在一些實施例中，如果策略組級別的參數(shù)可用或者被支持，則該參數(shù)優(yōu)先于在全局和/或登錄點級別的相應(yīng)的參數(shù)。如果在登錄點級別的參數(shù)可用或被支持，則該參數(shù)可優(yōu)先于在全局級別的相應(yīng)的參數(shù)。表F3示出了在全局和策略組級別可用的參數(shù)的另一個實施例。系統(tǒng)可預先確定在多個可用策略組和全局參數(shù)之間的優(yōu)先級。在一些實施例中(其中可應(yīng)用多于一個策略組)，最高優(yōu)先級的策略組677可優(yōu)先于其他策略組677的相應(yīng)的參數(shù)值。在某些實施例中，系統(tǒng)可預先確定與策略組關(guān)聯(lián)的多個(用戶)組之間的優(yōu)先級。當可以應(yīng)用多于一個策略組時，具有最高優(yōu)先級組的策略組677可優(yōu)先于其他策略組的相應(yīng)的參數(shù)值。表F2:支持的參數(shù)(與訪問相關(guān))的一個實施例權(quán)利要求1.一種用于建立策略組以集合訪問配置從而控制用戶對所識別資源的訪問的方法，所述方法包括:a)經(jīng)由在多個客戶機和一個或多個服務(wù)器中間的裝置上執(zhí)行的策略管理器來建立策略組，所述策略組表示一個或多個訪問配置的集合，用于用戶經(jīng)由所述裝置訪問所述一個或多個服務(wù)器的一個或多個所識別資源，所述策略組包含用于表示訪問所述一個或多個所識別資源的入口點的登錄點組件；b)經(jīng)由所述策略管理器配置所述登錄點組件，以為所述入口點指定統(tǒng)一資源定位符；c)經(jīng)由所述策略管理器為所述登錄點組件選擇一個或多個認證方法；以及d)經(jīng)由所述策略管理器，基于所述一個或多個認證方法為所述登錄點組件識別一個或多個授權(quán)方法。2.根據(jù)權(quán)利要求1所述的方法，其中步驟(a)還包括建立所述策略組以使其具有裝置描述文件組件與所述登錄點組件，所述裝置描述文件組件識別要執(zhí)行的端點分析，用于經(jīng)由所述登錄點組件的入口點進行訪問。3.根據(jù)權(quán)利要求1所述的方法，其中步驟(b)還包括為所述策略組建立第二登錄點組件并且將第二統(tǒng)一資源定位符配置為入口點。4.根據(jù)權(quán)利要求1所述的方法，其中步驟(c)還包括為所述登錄點組件指定兩個認證方法用于雙重認證。5.根據(jù)權(quán)利要求1所述的方法，其中步驟(d)還包括由所述策略管理器基于所述一個或多個認證方法的選擇來限制所述授權(quán)方法的選擇。6.根據(jù)權(quán)利要求1所述的方法，還包括當禁用所述登錄點組件時，所述策略組變?yōu)椴豢捎谩?.根據(jù)權(quán)利要求1所述的方法，還包括為所述策略組指定一個或多個裝置描述文件，所述一個或多個裝置描述文件的每一個識別一種或多種類型的端點分析以在用戶的裝置上執(zhí)行。8.根據(jù)權(quán)利要求1所述的方法，還包括為所述策略組指定所述一個或多個所識別資源中的允許訪問的一種資源。9.根據(jù)權(quán)利要求1所述的方法，還包括為所述策略組指定所述一個或多個所識別資源中的拒絕訪問的一種資源。10.根據(jù)權(quán)利要求1所述的方法，還包括為所述登錄點組件指定一個或多個參數(shù)，所述一個或多個參數(shù)優(yōu)先于所述裝置的相應(yīng)參數(shù)。11.一種用于應(yīng)用策略組以控制用戶對所識別資源的訪問的方法，所述方法包括:a)由在多個客戶機和一個或多個服務(wù)器中間的裝置來識別策略組，所述策略組表示一個或多個訪問配置的集合，用于用戶經(jīng)由所述裝置訪問所述一個或多個服務(wù)器的一個或多個所識別資源，所述策略組包含用于表示訪問所述一個或多個所識別資源的入口點的登錄點組件；b)由所述裝置接收所述用戶訪問統(tǒng)一資源定位符的請求，所述統(tǒng)一資源定位符對應(yīng)于由所述登錄點組件指定的入口點；c)由所述裝置發(fā)起由所述登錄點組件指定的與所述用戶的一個或多個認證方法；以及d)由所述裝置基于所述一個或多個認證方法應(yīng)用由所述登錄點組件指定的一個或多個授權(quán)方法來訪問所述一個或多個所識別資源。12.根據(jù)權(quán)利要求11所述的方法，其中步驟(a)還包括識別所述策略組的裝置描述文件組件，所述裝置描述文件組件指定一個或多個裝置描述文件，用于經(jīng)由所述登錄點組件的入口點進行訪問。13.根據(jù)權(quán)利要求11所述的方法，其中步驟(b)還包括由所述裝置接收統(tǒng)一資源定位符，所述統(tǒng)一資源定位符被識別為所述策略組的第二登錄組件的入口點。14.根據(jù)權(quán)利要求11所述的方法，其中步驟(c)還包括由所述裝置發(fā)起由所述登錄點組件指定的兩個認證方法用于雙重認證。15.根據(jù)權(quán)利要求11所述的方法，其中所述授權(quán)方法的選擇受限于所述一個或多個認證方法的指定。16.根據(jù)權(quán)利要求11所述的方法，還包括由在所述用戶的第二裝置上的裝置來執(zhí)行由裝置描述文件組件的一個或多個裝置描述文件指定的一種或多種類型的端點分析。17.根據(jù)權(quán)利要求11所述的方法，還包括由所述裝置準許對所述一個或多個所識別資源的一種資源的訪問。18.根據(jù)權(quán)利要求11所述的方法，還包括由所述裝置拒絕對所述一個或多個所識別資源的一種資源的訪問。19.根據(jù)權(quán)利要求11所述的方法，還包括:如由所述策略組指定的，由所述裝置忽略所述裝置的一個或多個參數(shù)。20.一種用于提供策略組以集合訪問配置從而控制特定用戶對特定資源的訪問的系統(tǒng)，所述系統(tǒng)包括:在多個客戶機和一個或多個服務(wù)器中間的裝置；所述裝置的策略管理器，其建立策略組，所述策略組表示一個或多個訪問配置的集合，用于用戶經(jīng)由所述裝置訪問所述一個或多個服務(wù)器的一個或多個所識別資源；所述策略組的登錄點組件，其表示訪問所述一個或多個所識別資源的入口點，所述登錄點組件為所述入口點指定統(tǒng)一資源定位符；以及其中，經(jīng)由所述策略管理器為所述登錄點組件指定一個或多個認證方法；并且基于所述一個或多個認證方法為所述登錄點組件識別一個或多個授權(quán)方法。全文摘要本公開針對用于建立和應(yīng)用策略組(677)以控制用戶對所識別資源的訪問的系統(tǒng)和方法。可經(jīng)由策略管理器建立策略組，該策略組表示一個或多個訪問配置的集合，用于用戶訪問一個或多個所識別資源。所述策略組可包括用于表示訪問所識別資源的入口點的登錄點組件(678)?？山?jīng)由策略管理器將登錄點配置用于為入口點(666)指定統(tǒng)一資源定位符?？蔀榈卿淈c組件選擇一個或多個認證和授權(quán)方法(699)，(690)。裝置可接收訪問統(tǒng)一資源定位符的請求。裝置可初始化策略組用于評估。裝置可發(fā)起由登錄點組件指定的與用戶的一個或多個認證和授權(quán)方法。文檔編號H04L12/24GK103119907SQ201180045267公開日2013年5月22日申請日期2011年7月19日優(yōu)先權(quán)日2010年7月21日發(fā)明者M·穆爾吉亞,P·拉菲克,J·卡妮娜,L·湯姆林,I·波爾申請人:思杰系統(tǒng)有限公司