專利名稱:用于直接訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)位置確定的制作方法
用于直接訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)位置確定背景計算機(jī)網(wǎng)絡(luò)被公司廣泛地使用�,因為它們通過實現(xiàn)許多位置的信息共享來流線化業(yè)務(wù)過程����。在許多實例中����,公司向其員工和其他獲授權(quán)方提供網(wǎng)絡(luò)訪問權(quán),即使在這些獲授權(quán)方在遠(yuǎn)離公司房屋的位置時�����。企業(yè)網(wǎng)絡(luò)可被配置成通過使用一個或多個域控制器(有時稱為活動目錄服務(wù)器) 來將對網(wǎng)絡(luò)資源的訪問權(quán)只限于獲授權(quán)方�。域控制器可以認(rèn)證用戶來標(biāo)識應(yīng)該被授予網(wǎng)絡(luò)訪問權(quán)的那些人。在某些實例中����,可能存在多個域控制器。為了將連接到網(wǎng)絡(luò)的設(shè)備映射到附近的域控制器���,每一域控制器可以具有標(biāo)識源網(wǎng)絡(luò)地址范圍的表。當(dāng)域控制器從設(shè)備接收請求時�,它可以通過為該設(shè)備標(biāo)識在該設(shè)備附近的域控制器來作出響應(yīng)���?�?梢酝ㄟ^虛擬專用網(wǎng)絡(luò)(VPN)來提供對企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程訪問。有了 VPN�,獲授權(quán)的用戶所操作的計算機(jī)通過遠(yuǎn)程計算機(jī)可以連接到的公共網(wǎng)絡(luò)來通過VPN網(wǎng)關(guān)服務(wù)器建立到企業(yè)網(wǎng)絡(luò)的隧道。因為通過VPN隧道連接的計算機(jī)包括企業(yè)網(wǎng)絡(luò)的一部分�,所以計算機(jī)隨后可以使用企業(yè)網(wǎng)絡(luò)上的資源。在允許對其企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程訪問的許多公司中,將便攜式計算機(jī)用于網(wǎng)絡(luò)訪問。 可以在公司房屋內(nèi)使用便攜式計算機(jī)���,在那里它們可以物理地連接到企業(yè)網(wǎng)絡(luò)�����。在其他時候����,可將便攜式計算機(jī)帶到遠(yuǎn)程位置,在那里它們通過VPN邏輯地連接到網(wǎng)絡(luò)。為了提供使用的便利性,這些計算機(jī)可被配置成具有兩個不同的設(shè)置組一個適于在專用公司網(wǎng)絡(luò)上使用而另一個適于在計算機(jī)通過其上可以建立VPN隧道的公共網(wǎng)絡(luò)時使用���。這些設(shè)置可以影響便攜式計算機(jī)的操作���,諸如默認(rèn)打印機(jī)、主頁���、時鐘的時區(qū)設(shè)置或安全功能�����。例如����,在便攜式計算機(jī)直接連接到網(wǎng)絡(luò)時所使用的安全設(shè)置可以依賴防火墻或企業(yè)網(wǎng)絡(luò)的其他保護(hù)組件并因此是較不受限的�����。當(dāng)便攜式計算機(jī)經(jīng)由VPN連接到企業(yè)網(wǎng)絡(luò)時,可以應(yīng)用較受限的安全配置���。為了確定合適的設(shè)置組��,便攜式計算機(jī)可以包括可指示計算機(jī)具有的到網(wǎng)絡(luò)的連接類型的網(wǎng)絡(luò)位置知曉組件��。常規(guī)上���,網(wǎng)絡(luò)位置通過試圖對照網(wǎng)絡(luò)上的域控制器來認(rèn)證而被查明���。如果便攜式計算機(jī)可以與域控制器進(jìn)行認(rèn)證,則計算機(jī)可用適于直接連接到企業(yè)網(wǎng)絡(luò)的設(shè)備的設(shè)置來配置。如果認(rèn)證是不可能的,則可以使用不同的設(shè)置��。在另一上下文中,某些計算機(jī)顯示該計算機(jī)是否具有到因特網(wǎng)的連接的指示�����。計算機(jī)可以通過試圖聯(lián)系因特網(wǎng)上的已知服務(wù)器來確定其連接狀態(tài)����。如果計算機(jī)從服務(wù)器接收到響應(yīng)���,則計算機(jī)推斷其具有到因特網(wǎng)的連接并相應(yīng)地顯示指示����。概述發(fā)明人已認(rèn)識到并且理解�,遠(yuǎn)程計算機(jī)對專用網(wǎng)絡(luò)的直接訪問可能很快就會被廣泛使用���。當(dāng)不使用VPN的遠(yuǎn)程訪問成為可能時����,遠(yuǎn)程設(shè)備將能夠?qū)φ諏S镁W(wǎng)絡(luò)上的域控制器來進(jìn)行認(rèn)證����。發(fā)明人還認(rèn)識到并理解����,直接訪問將更改依賴于具有或不具有作為網(wǎng)絡(luò)位置的安全指示對照域控制器來進(jìn)行認(rèn)證的能力的網(wǎng)絡(luò)位置知曉組件的操作����。當(dāng)網(wǎng)絡(luò)位置的指示僅僅根據(jù)與域控制器進(jìn)行認(rèn)證的能力來確定時�����,將不可區(qū)分遠(yuǎn)程設(shè)備在不使用VPN的情況下連接到網(wǎng)絡(luò)的情況與客戶機(jī)物理地連接到網(wǎng)絡(luò)或經(jīng)由VPN連接來連接到網(wǎng)絡(luò)的情況。但是,用戶或計算機(jī)管理員可能不期望或不想要遠(yuǎn)程計算機(jī)在這些不同的場景中具有相同的設(shè)置����。為了維護(hù)合適的設(shè)置�,專用網(wǎng)絡(luò)可配置有一個或多個設(shè)備���,該一個或多個設(shè)備取決于客戶機(jī)設(shè)備的網(wǎng)絡(luò)地址的一部分對來自客戶機(jī)設(shè)備的請求作出不同響應(yīng)�����。當(dāng)請求從帶有指示客戶機(jī)設(shè)備物理地連接到網(wǎng)絡(luò)防火墻內(nèi)的網(wǎng)絡(luò)的網(wǎng)絡(luò)地址的該客戶機(jī)設(shè)備接收時�, 可以作出第一響應(yīng)。當(dāng)請求從帶有指示客戶機(jī)設(shè)備是未連接到網(wǎng)絡(luò)防火墻內(nèi)的網(wǎng)絡(luò)的遠(yuǎn)程設(shè)備的網(wǎng)絡(luò)地址的該客戶機(jī)設(shè)備接收時�,可以作出第二不同的響應(yīng)����。并且��,當(dāng)請求從通過使用VPN在網(wǎng)絡(luò)防火墻內(nèi)連接的遠(yuǎn)程客戶機(jī)設(shè)備接收時��,可以作出可能的第三響應(yīng)��。雖然在該第三場景中����,根據(jù)某些實施例�����,網(wǎng)絡(luò)另選地可被配置成生成第一響應(yīng)。然而在其他實施例中,在第三場景中�,網(wǎng)絡(luò)另選地可被配置成生成第二響應(yīng)。無論具體配置如何����,基于客戶機(jī)設(shè)備接收到的響應(yīng)的本質(zhì),客戶機(jī)設(shè)備可以選擇合適的配置���。以上概述是對由所附權(quán)利要求定義的本發(fā)明的非限定性的概述�。附圖簡述附圖不旨在按比例繪制。在附圖中�,各個附圖中示出的每一完全相同或近乎完全相同的組件由同樣的標(biāo)號來表示�����。出于簡明的目的�,不是每一個組件在每張附圖中均被標(biāo)號��。在附圖中
圖1是常規(guī)計算設(shè)備的圖示��,其示出其中可以執(zhí)行網(wǎng)絡(luò)位置確定的環(huán)境�;圖2是其中可以向?qū)S镁W(wǎng)絡(luò)提供直接訪問的常規(guī)網(wǎng)絡(luò)環(huán)境的草圖�;圖3是被配置成提供對網(wǎng)絡(luò)位置確定有用的響應(yīng)的專用網(wǎng)絡(luò)的草圖;圖4是被配置成提供對網(wǎng)絡(luò)位置確定有用的信息的專用網(wǎng)絡(luò)的替換實施例的草圖����;圖5是被配置成提供對網(wǎng)絡(luò)位置確定有用的信息的專用網(wǎng)絡(luò)的替換實施例的草圖��;圖6是被配置成提供對網(wǎng)絡(luò)位置確定有用的信息的專用網(wǎng)絡(luò)的替換實施例的草圖��;以及圖7是被配置成執(zhí)行網(wǎng)絡(luò)位置確定的網(wǎng)絡(luò)客戶機(jī)和網(wǎng)絡(luò)設(shè)備的操作方法的流程圖���。詳細(xì)描述對于被配置成訪問企業(yè)、公司或其他專用網(wǎng)絡(luò)的計算機(jī),可以通過將計算機(jī)配置成試圖與網(wǎng)絡(luò)上的設(shè)備通信來提供改進(jìn)的網(wǎng)絡(luò)位置知曉����。通過將該設(shè)備配置成取決于到網(wǎng)絡(luò)的連接的本質(zhì)來對設(shè)備作出不同的響應(yīng),計算機(jī)可以基于響應(yīng)來獲得關(guān)于其自己的位置的有用信息。例如,通過物理連接或VPN連接到專用網(wǎng)絡(luò)的計算機(jī)可以體驗與在專用網(wǎng)絡(luò)外部但通過涉及諸如因特網(wǎng)之類的公共網(wǎng)絡(luò)的遠(yuǎn)程訪問機(jī)制連接到專用網(wǎng)絡(luò)的設(shè)備不同的響應(yīng)。該信息將是準(zhǔn)確的���,即使直接網(wǎng)絡(luò)訪問是可用的并且允許計算機(jī)按照將使得某些常規(guī)網(wǎng)絡(luò)地址確定方法不正確地指示該計算機(jī)直接連接到專用網(wǎng)絡(luò)上的方式來對照專用網(wǎng)絡(luò)上的域控制器來進(jìn)行認(rèn)證���。當(dāng)使用這一位置信息來選擇合適的安全配置時,可以向計算機(jī)提供更好的安全性��。例如�,計算機(jī)可被配置成在不同的安全狀態(tài)下操作�,其中的一個安全狀態(tài)適于當(dāng)計算機(jī)物理地連接到公司房屋的專用網(wǎng)絡(luò)上并因此在防火墻之后時使用���。另一安全狀態(tài)可以適用于其中計算機(jī)通過安全VPN隧道虛擬地連接到專用網(wǎng)絡(luò)的場景�����。又一場景可能適用�,其中計算機(jī)未直接在專用網(wǎng)絡(luò)上而是或物理地或虛擬地經(jīng)由VPN隧道���,并因此不受專用網(wǎng)絡(luò)的防火墻保護(hù)。這些安全狀態(tài)可以按任何合適的方式實現(xiàn)。在某些實例中���,安全狀態(tài)由支持不同配置的計算機(jī)上的防火墻來實現(xiàn)�。在未直接連接到網(wǎng)絡(luò)時,防火墻可能具有較受限的配置。相反����,當(dāng)計算機(jī)直接連接到網(wǎng)絡(luò)時���,可以提供較不受限的防火墻配置。類似地,當(dāng)基于計算機(jī)位置選擇其他設(shè)置時�����,更準(zhǔn)確的確定位置可以導(dǎo)致對這些設(shè)置的自動化選擇來提供更合乎需要的用戶體驗。多種方法中的任一種適用于配置一個或多個設(shè)備來基于發(fā)出提示響應(yīng)的請求的計算機(jī)的位置來生成不同響應(yīng)�。在某些實施例中,可以使用網(wǎng)絡(luò)分組的特定抵達(dá)接口來標(biāo)識計算機(jī)的位置�����。在其他實施例中,可以使用網(wǎng)絡(luò)分組頭部中的信息來標(biāo)識計算機(jī)的位置�。 例如��,包含請求或響應(yīng)的分組頭部中的網(wǎng)絡(luò)地址可允許網(wǎng)絡(luò)設(shè)備在該設(shè)備具有某種方式來了解網(wǎng)絡(luò)地址不是被哄騙的情況下確定發(fā)出請求的計算機(jī)是否物理地位于網(wǎng)絡(luò)上�。作為具體示例�,一旦計算機(jī)通過能夠成功地建立TCP連接示出了它可以接收目的地為該地址的分組時����,該地址的網(wǎng)絡(luò)前綴部分就可以指示計算機(jī)的位置。處理這些分組的任何合適的一個或多個設(shè)備可被配置成基于這些分組是否具有指示它們是從網(wǎng)絡(luò)防火墻之后的設(shè)備或網(wǎng)絡(luò)防火墻外部的設(shè)備接收的或者目的地為網(wǎng)絡(luò)防火墻之后的設(shè)備或網(wǎng)絡(luò)防火墻外部的設(shè)備的網(wǎng)絡(luò)前綴來作出不同的響應(yīng)�����。在某些實施例中���,請求可被定向到網(wǎng)絡(luò)上的服務(wù)器��??梢詫Ψ?wù)器編程來取決于發(fā)出請求的計算機(jī)的位置來作出不同的響應(yīng)�,諸如現(xiàn)在帶有域控制器的情況�����。在其他實施例中��,將處理前往或來自回復(fù)請求的服務(wù)器的分組的一個或多個中間設(shè)備可以取決于發(fā)出請求的計算機(jī)的位置而表現(xiàn)得不同��。例如�,諸如防火墻之類的中間設(shè)備可以基于與發(fā)出這些分組頭部中的請求的計算機(jī)相關(guān)聯(lián)的網(wǎng)絡(luò)前綴來選擇性地阻塞含有請求或回復(fù)的分組�����。從某些實施例的上述概覽��,本領(lǐng)域技術(shù)人員可以理解,各實施例可以基于一個或多個計算機(jī)設(shè)備的編程來構(gòu)造�。在提供示例性實施例的結(jié)構(gòu)和操作的更詳細(xì)的描述之前���, 提供可存在于計算設(shè)備中的各組件的概覽�����。圖1示出可在實現(xiàn)本發(fā)明的某些實施例中使用的合適的計算系統(tǒng)環(huán)境100的示例�。計算系統(tǒng)環(huán)境100只是合適計算環(huán)境的一個示例�,而非意在暗示對本發(fā)明使用范圍或功能有任何限制。也不應(yīng)該將計算環(huán)境100解釋為對示例性操作環(huán)境100中示出的任一組件或其組合有任何依賴性或要求�。參考圖1��,用于實現(xiàn)本發(fā)明的一個示例性系統(tǒng)包括計算機(jī)110形式的通用計算設(shè)備��。計算機(jī)Iio的組件可以包括��,但不限于�����,處理單元120�����、系統(tǒng)存儲器130和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦合至處理單元120的系統(tǒng)總線121���。系統(tǒng)總線121可以是若干類型的總線結(jié)構(gòu)中的任何一種�,包括使用各種總線體系結(jié)構(gòu)中的任何一種的存儲器總線或存儲器控制器��、外圍總線,以及局部總線。作為示例而非限制,這樣的體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線��、微通道體系結(jié)構(gòu)(MCA)總線��、增強(qiáng)型ISA(EISA)總線�����、視頻電子標(biāo)準(zhǔn)協(xié)會(VESA)局部總線,以及也稱為夾層(Mezzanine)總線的外圍組件互連(PCI)總線�����。計算機(jī)110通常包括各種計算機(jī)可讀介質(zhì)��。計算機(jī)可讀介質(zhì)可以是能由計算機(jī) 110訪問的任何可用介質(zhì)�����,而且包含易失性和非易失性介質(zhì)���、可移動和不可移動介質(zhì)����。作為示例而非限制�����,計算機(jī)可讀介質(zhì)可以包括計算機(jī)存儲介質(zhì)和通信介質(zhì)���。計算機(jī)存儲介質(zhì)包括以用于存儲諸如計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)�、程序模塊或其它數(shù)據(jù)等信息的任何方法或技術(shù)實現(xiàn)的易失性和非易失性、可移動和不可移動介質(zhì)。計算機(jī)存儲介質(zhì)包括,但不限于����, RAM���、ROM���、EEPR0M�����、閃存或其它存儲器技術(shù)、CD-ROM�、數(shù)字多功能盤(DVD)或其它光盤存儲����、 磁帶盒����、磁帶、磁盤存儲或其它磁存儲設(shè)備����、或能用于存儲所需信息且可以由計算機(jī)110訪問的任何其它介質(zhì)���。通信介質(zhì)通常以諸如載波或其他傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號來體現(xiàn)計算機(jī)可讀指令�、數(shù)據(jù)結(jié)構(gòu)����、程序模塊或其他數(shù)據(jù)���,并包括任意信息傳送介質(zhì)���。術(shù)語“已調(diào)制數(shù)據(jù)信號”指的是其一個或多個特征以在信號中編碼信息的方式被設(shè)定或更改的信號���。作為示例而非限制�����,通信介質(zhì)包括有線介質(zhì)���,如有線網(wǎng)絡(luò)或直接線連接,以及諸如聲學(xué)��、RF�、紅外及其它無線介質(zhì)之類的無線介質(zhì)。上述中任一組合也應(yīng)包括在計算機(jī)可讀介質(zhì)的范圍之內(nèi)���。系統(tǒng)存儲器130包括易失性和/或非易失性存儲器形式的計算機(jī)存儲介質(zhì)���,如只讀存儲器(ROM) 131和隨機(jī)存取存儲器(RAM) 132?����;据斎?輸出系統(tǒng)133 ¢10 包括如在啟動時幫助在計算機(jī)110內(nèi)的元件之間傳輸信息的基本例程��,它通常儲存在ROM 131中�。 RAM 132通常包含處理單元120可以立即訪問和/或目前正在操作的數(shù)據(jù)和/或程序模塊���。 作為示例而非限制���,圖1示出了操作系統(tǒng)134����、應(yīng)用程序135、其它程序模塊136和程序數(shù)據(jù) 137。計算機(jī)110還可以包括其他可移動/不可移動�����、易失性/非易失性計算機(jī)存儲介質(zhì)�����。僅作為示例�,圖1示出了從不可移動、非易失性磁介質(zhì)中讀取或向其寫入的硬盤驅(qū)動器 140���,從可移動、非易失性磁盤152中讀取或向其寫入的磁盤驅(qū)動器151,以及從諸如⑶ROM 或其它光學(xué)介質(zhì)等可移動��、非易失性光盤156中讀取或向其寫入的光盤驅(qū)動器155。可以在示例性操作環(huán)境中使用的其他可移動/不可移動、易失性/非易失性計算機(jī)存儲介質(zhì)包括但不限于���,磁帶盒�、閃存卡���、數(shù)字多功能盤、數(shù)字錄像帶�����、固態(tài)RAM、固態(tài)ROM等等。硬盤驅(qū)動器141通常由不可移動存儲器接口,諸如接口 140連接至系統(tǒng)總線121,磁盤驅(qū)動器151和光盤驅(qū)動器155通常由可移動存儲器接口,諸如接口 150連接至系統(tǒng)總線121���。上文討論并在圖1中示出的驅(qū)動器及其相關(guān)聯(lián)的計算機(jī)存儲介質(zhì)為計算機(jī)110提供了對計算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊和其它數(shù)據(jù)的存儲���。例如�����,在圖1中�����,硬盤驅(qū)動器141被示為存儲操作系統(tǒng)144���、應(yīng)用程序145���、其它程序模塊146和程序數(shù)據(jù)147�����。注意�, 這些組件可以與操作系統(tǒng)134����、應(yīng)用程序135����、其他程序模塊136和程序數(shù)據(jù)137相同,也可以與它們不同����。給操作系統(tǒng)144�����、應(yīng)用程序145�����、其他程序模塊146、以及程序數(shù)據(jù)147提供了不同的編號,以說明至少它們是不同的副本。用戶可以通過輸入設(shè)備�,諸如鍵盤162和定點設(shè)備161——通常被稱為鼠標(biāo)���、跟蹤球或觸摸墊——向計算機(jī)110輸入命令和信息。其他輸入設(shè)備(未示出)可以包括話筒�����、操縱桿����、游戲手柄�����、圓盤式衛(wèi)星天線����、掃描儀等等。這些和其他輸入設(shè)備通常由耦合至系統(tǒng)總線的用戶輸入接口 160連接至處理單元120,但也可以由其他接口和總線結(jié)構(gòu)����,諸如并行端口�����、游戲端口或通用串行總線(USB)連接。監(jiān)視器 191或其他類型的顯示設(shè)備也經(jīng)由接口���,諸如視頻接口 190,連接至系統(tǒng)總線121��。除監(jiān)視器以外�����,計算機(jī)還可以包括其他外圍輸出設(shè)備,諸如揚(yáng)聲器197和打印機(jī)196���,它們可以通過輸出外圍接口 195連接。計算機(jī)110可使用至一個或多個遠(yuǎn)程計算機(jī)��,諸如遠(yuǎn)程計算機(jī)180的邏輯連接在網(wǎng)絡(luò)化環(huán)境中操作��。遠(yuǎn)程計算機(jī)180可以是個人計算機(jī)�����、服務(wù)器�、路由器����、網(wǎng)絡(luò)PC�、對等設(shè)備或其它常見網(wǎng)絡(luò)節(jié)點����,且通常包括上文相對于計算機(jī)110描述的許多或所有元件�,但在圖1中只示出存儲器存儲設(shè)備181。圖1中所示的邏輯連接包括局域網(wǎng)(LAN) 171和廣域網(wǎng) (WAN) 173���,但也可以包括其它網(wǎng)絡(luò)。這樣的聯(lián)網(wǎng)環(huán)境在辦公室�����、企業(yè)范圍計算機(jī)網(wǎng)絡(luò)�����、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的。當(dāng)在LAN聯(lián)網(wǎng)環(huán)境中使用時���,計算機(jī)110通過網(wǎng)絡(luò)接口或適配器170連接至LAN 171�����。當(dāng)在WAN聯(lián)網(wǎng)環(huán)境中使用時,計算機(jī)110通常包括調(diào)制解調(diào)器172或用于通過諸如因特網(wǎng)等WAN 173建立通信的其他裝置���。調(diào)制解調(diào)器172可以是內(nèi)置或外置的�,它可以經(jīng)由用戶輸入接口 160或其他適當(dāng)?shù)臋C(jī)制連接至系統(tǒng)總線121�。在網(wǎng)絡(luò)化環(huán)境中,相對于計算機(jī) 110所描述的程序模塊或其部分可被存儲在遠(yuǎn)程存儲器存儲設(shè)備中�����。作為示例而非限制���, 圖1示出了遠(yuǎn)程應(yīng)用程序185駐留在存儲器設(shè)備181上�?��?梢岳斫?,所示的網(wǎng)絡(luò)連接是示例性的�����,且可以使用在計算機(jī)之間建立通信鏈路的其他手段。圖2示出其中可以實施本發(fā)明的聯(lián)網(wǎng)計算環(huán)境����。聯(lián)網(wǎng)計算環(huán)境包括網(wǎng)絡(luò),其可以是安全網(wǎng)絡(luò)200,諸如企業(yè)內(nèi)聯(lián)網(wǎng)�。安全網(wǎng)絡(luò)200可以包括物理地連接到安全網(wǎng)絡(luò)200的聯(lián)網(wǎng)計算設(shè)備。聯(lián)網(wǎng)計算設(shè)備到安全網(wǎng)絡(luò)200的物理連接可以在任何合適的計算機(jī)通信介質(zhì) (例如,有線或無線通信)上���,因為本發(fā)明并不限于此����。一個這樣的聯(lián)網(wǎng)計算設(shè)備是可用作域控制器210的計算機(jī)�����。域控制器是公知的,并且域控制器210可使用本領(lǐng)域公知的技術(shù)來實現(xiàn)。然而,可使用任何合適的技術(shù)來構(gòu)造域控制器210�����。域控制器210的一個示例是諸如在Windows 2003 krver操作系統(tǒng)上運(yùn)行Active Directory (活動目錄)的計算系統(tǒng) 100之類的計算機(jī)。另一聯(lián)網(wǎng)計算設(shè)備可以是用作名稱服務(wù)器212的計算機(jī),諸如運(yùn)行DNS服務(wù)的設(shè)備的任意組合。名稱服務(wù)器在本領(lǐng)域也是公知的�,并且名稱服務(wù)器212可以使用已知技術(shù)來實現(xiàn)。然而����,可使用任何合適的技術(shù)來實現(xiàn)名稱服務(wù)器212����。作為替換技術(shù)的一個示例���, 名稱服務(wù)器可以在與域控制器210相同的計算機(jī)上實現(xiàn)是可能的。安全網(wǎng)絡(luò)還可包括物理地連接到安全網(wǎng)絡(luò)200的用戶客戶機(jī)計算機(jī)214�,其可以訪問安全網(wǎng)絡(luò)200中的計算資源,諸如域控制器210和名稱服務(wù)器212����。客戶機(jī)計算機(jī)214 可以在提供安全網(wǎng)絡(luò)200的企業(yè)房屋內(nèi)。在該場景中���,物理連接可以通過將客戶機(jī)214通過有線或無線連接來連接到公司房屋的網(wǎng)絡(luò)接入點來實現(xiàn)��。然而,可以采用用于實現(xiàn)到安全網(wǎng)絡(luò)200的物理連接的任何合適的機(jī)制。在圖2所示的場景中�,客戶機(jī)214已經(jīng)與域控制器210進(jìn)行了認(rèn)證�����。由此����,客戶機(jī) 214可具有對安全網(wǎng)絡(luò)200上的資源的訪問權(quán)。用戶客戶機(jī)214對計算資源的訪問由雙向網(wǎng)絡(luò)鏈路來示出,諸如客戶機(jī)214和域控制器210之間的鏈路220以及客戶機(jī)214和名稱服務(wù)器212之間的鏈路222����。圖2的聯(lián)網(wǎng)計算環(huán)境還可以包括連接到安全網(wǎng)絡(luò)200的其他網(wǎng)絡(luò)���。圖2示出因特網(wǎng)230作為一個示例��。諸如用戶客戶機(jī)計算機(jī)234之類的遠(yuǎn)程計算設(shè)備可以連接到因特網(wǎng) 230���。此處,客戶機(jī)計算機(jī)234可以是膝上型計算設(shè)備或其他移動計算設(shè)備�����。由此�,雖然客戶機(jī)234和214被示為單獨的設(shè)備,但遠(yuǎn)程客戶機(jī)234可以是與客戶機(jī)214相同的設(shè)備�����,但在不同時間不同位置操作����。例如�,客戶機(jī)214可以表示在工作日期間在辦公室內(nèi)操作安全網(wǎng)絡(luò)200的公司員工所使用的移動計算機(jī)。遠(yuǎn)程客戶機(jī)234可以是該員工移動到其家里以便在白天工作之后使用的同一個移動計算機(jī)�。無論用于實現(xiàn)客戶機(jī)214和234的具體硬件如何,圖2所示的環(huán)境可以支持多個設(shè)備,其中的任一個可以連接到網(wǎng)絡(luò)防火墻內(nèi)部或外部的安全網(wǎng)絡(luò)200�����。客戶機(jī)可以在防火墻內(nèi)部經(jīng)由接入點、路由器、交換機(jī)、集線器、安全隧道或到安全網(wǎng)絡(luò)200上的其他設(shè)備的其他網(wǎng)絡(luò)元件通過直接連接(無論是有線連接����、無線連接或通過任何其他合適介質(zhì)的連接)來連接���?�?蛻魴C(jī)可以在防火墻外部使用依賴于通過因特網(wǎng)230或其他外部網(wǎng)絡(luò)的通信的遠(yuǎn)程訪問機(jī)制來遠(yuǎn)程地連接到安全網(wǎng)絡(luò)200。聯(lián)網(wǎng)計算環(huán)境還包括用于安全網(wǎng)絡(luò)200的非軍事化區(qū)(DMZ) MO���,從而允許安全網(wǎng)絡(luò)200和因特網(wǎng)230之間的有限網(wǎng)絡(luò)通信���。DMZ 240可以包括阻塞未獲授權(quán)通信量的組件, 諸如防火墻��,以及允許某些通信量通過的其他組件�。DMZ 240可以包括聯(lián)網(wǎng)計算設(shè)備��,諸如用作直接訪問服務(wù)器250的計算系統(tǒng)。在所示實施例中,直接訪問服務(wù)器250可被實現(xiàn)為路由器����。諸如客戶機(jī)計算機(jī)234等未物理地連接到安全網(wǎng)絡(luò)200的客戶機(jī)可以通過直接訪問服務(wù)器250來連接以在不使用VPN的情況下與安全網(wǎng)絡(luò)內(nèi)部的計算資源���,諸如域控制器 210和名稱服務(wù)器212進(jìn)行通信。用戶客戶機(jī)234對安全網(wǎng)絡(luò)中的計算資源的訪問由通過直接訪問服務(wù)器的雙向網(wǎng)絡(luò)鏈路來示出,諸如客戶機(jī)234和域控制器210之間的鏈路260 以及客戶機(jī)234和名稱服務(wù)器212之間的鏈路沈2��。如圖所示����,諸如客戶機(jī)234之類的遠(yuǎn)程客戶機(jī)可以與物理地連接到安全網(wǎng)絡(luò)200的計算機(jī),諸如客戶機(jī)214—樣��,訪問安全網(wǎng)絡(luò) 200上的相同網(wǎng)絡(luò)資源�����。結(jié)果�,客戶機(jī)234���,與客戶機(jī)214 —樣,可以與域控制器210進(jìn)行認(rèn)證。如果客戶機(jī)234基于與域控制器210進(jìn)行認(rèn)證的能力來建立其安全狀態(tài),則客戶機(jī)234可以具有與可能用相同方式來配置其安全狀態(tài)的客戶機(jī)214不同的安全風(fēng)險?���?蛻魴C(jī)214被DMZ 240 與因特網(wǎng)230上的可能被惡意第三方使用的其他設(shè)備分開,但客戶機(jī)234沒有����。因此����,客戶機(jī)214可以適當(dāng)?shù)厥褂幂^不受限的安全設(shè)置,因為安全網(wǎng)絡(luò)200上的所有其他設(shè)備都被認(rèn)為是可信的,而如果客戶機(jī)234使用相同的較不受限的設(shè)置,則它將暴露于來自連接到因特網(wǎng)230的設(shè)備的風(fēng)險�����。因此在某些實施例中�����,即使客戶機(jī)230與域控制器210進(jìn)行認(rèn)證���, 客戶機(jī)234的安全狀態(tài)也可以基于其網(wǎng)絡(luò)位置的確定來建立����,它的網(wǎng)絡(luò)位置無關(guān)于它與域控制器210進(jìn)行認(rèn)證的能力�����。雖然建立與客戶機(jī)安全有關(guān)的動作的設(shè)置被用作可以基于網(wǎng)絡(luò)位置來選擇的設(shè)置的示例�����,但還可以類似地選擇其他類型的設(shè)置�。例如��,如果客戶機(jī)234基于網(wǎng)絡(luò)位置來建立任何其他類型的設(shè)置,則在沒有準(zhǔn)確的網(wǎng)絡(luò)位置確定時它可能不正確地運(yùn)作或與用戶所期待的相反����。由此,可將此處描述的技術(shù)應(yīng)用于改進(jìn)基于網(wǎng)絡(luò)位置的任何設(shè)置的選擇��。圖3示出與圖2的環(huán)境類似的聯(lián)網(wǎng)計算環(huán)境��。圖3中的DMZ 240還結(jié)合了 VPN網(wǎng)關(guān)服務(wù)器358�。VPN網(wǎng)關(guān)服務(wù)器358是提供本領(lǐng)域公知的VPN網(wǎng)關(guān)功能的計算設(shè)備。還繪制了物理地連接到因特網(wǎng)230的VPN客戶機(jī)344����。類似于客戶機(jī)計算機(jī)234����,VPN客戶機(jī)344 可以是膝上型計算設(shè)備或其他移動計算設(shè)備����。VPN網(wǎng)關(guān)服務(wù)器358允許未物理地連接到安全網(wǎng)絡(luò)200的計算機(jī)��,諸如VPN客戶機(jī)344通過在VPN網(wǎng)關(guān)服務(wù)器358和VPN客戶機(jī)344 之間建立安全隧道360來建立到安全網(wǎng)絡(luò)的虛擬連接�。一旦通過VPN網(wǎng)關(guān)服務(wù)器358建立了安全隧道360����,VPN客戶機(jī)344虛擬地連接到防火墻之內(nèi)的安全網(wǎng)絡(luò)200�,包括安全網(wǎng)絡(luò) 200的邏輯部分。
圖3還結(jié)合了允許諸如用戶客戶機(jī)214��、用戶客戶機(jī)234和VPN客戶機(jī)344之類的計算設(shè)備安全地確定它們是否直接連接到安全網(wǎng)絡(luò)200的機(jī)制�����。聯(lián)網(wǎng)計算環(huán)境還包括運(yùn)行在連接到安全網(wǎng)絡(luò)200的計算設(shè)備上的用于網(wǎng)絡(luò)位置知曉的網(wǎng)絡(luò)服務(wù)���,諸如HTTPS服務(wù) 352。HTTPS服務(wù)352的實現(xiàn)的示例是ApacheHTTP服務(wù)器和微軟因特網(wǎng)信息服務(wù)。在該實施例中��,HTTPS服務(wù)352在直接訪問服務(wù)器250上運(yùn)行,但它可以在連接到安全網(wǎng)絡(luò)200的任何計算設(shè)備上運(yùn)行���。雖然HTTPS被用作安全協(xié)議的示例��,但應(yīng)該理解��,在實施例中可以使用帶有安全協(xié)議的任何服務(wù)�����,HTTPS只是一個示例�����。直接訪問服務(wù)器250提供兩個網(wǎng)絡(luò)接口 專用接口 3M和公共接口 356�����。專用接口 3M提供直接訪問服務(wù)器250與直接連接到安全網(wǎng)絡(luò)的聯(lián)網(wǎng)計算設(shè)備,諸如用戶客戶機(jī)214 和VPN客戶機(jī)244之間的連接。公共接口 356提供直接訪問服務(wù)器和在安全網(wǎng)絡(luò)200外部的聯(lián)網(wǎng)計算設(shè)備���,諸如用戶客戶機(jī)234之間的連接。在所示實施例中��,公共接口 356和專用接口 3M被配置成使得對于特定請求,網(wǎng)絡(luò)客戶機(jī)將取決于其位置來感知不同的響應(yīng)。例如�����,物理地連接到安全網(wǎng)絡(luò)200的客戶機(jī)214�,由于公共接口 356和專用接口 3M的動作�����, 將感知對特定請求的與客戶機(jī)234不同的響應(yīng)��。接口 3M和356被配置成使得通過專用接口 3M通信的客戶機(jī)可以與HTTPS服務(wù)352進(jìn)行通信���,但通過公共接口 356通信的客戶機(jī)無法與HTTPS服務(wù)352進(jìn)行通信。允許客戶機(jī)234和連接到安全網(wǎng)絡(luò)200的其他聯(lián)網(wǎng)計算設(shè)備之間的其他網(wǎng)絡(luò)通信通過公共接口 356�。因此在該實施例中���,客戶機(jī)214和VPN客戶機(jī)344將接收對發(fā)送給HTTPS服務(wù)352的請求的回復(fù)����。相反�,客戶機(jī)234將接收不到對發(fā)送給HTTPS服務(wù)352的請求的回復(fù)���。以此方式�,客戶機(jī)可以取決于是否接收到回復(fù)來感知不同的響應(yīng)����。在圖3中,聯(lián)網(wǎng)計算設(shè)備具有或不具有彼此通信的能力由單向或雙向網(wǎng)絡(luò)鏈路來示出�����。通過公共接口 356和直接訪問服務(wù)器250的雙向鏈路示出與安全網(wǎng)絡(luò)200中的聯(lián)網(wǎng)計算資源進(jìn)行通信的能力,諸如客戶機(jī)234和域控制器210之間的鏈路260以及客戶機(jī)234 和名稱服務(wù)器212之間的鏈路沈2�。類似地�,通過專用接口 3M和直接訪問服務(wù)器250的雙向鏈路364示出用戶客戶機(jī)214和HTTPS服務(wù)352之間的連接。用相似的方式,通過安全隧道360、VPN網(wǎng)關(guān)服務(wù)器358����、直接訪問服務(wù)器250和專用接口 3M的雙向鏈路376示出在VPN客戶機(jī)344和HTTPS服務(wù)352之間進(jìn)行通信的能力�。另一方面��,用戶客戶機(jī)234和 HTTPS服務(wù)352之間的單向鏈路374不通過公共接口 356����,從而示出不具有通過公共接口與 HTTPS服務(wù)352進(jìn)行通信的能力����。直接連接到網(wǎng)絡(luò)防火墻之內(nèi)的安全網(wǎng)絡(luò)200的客戶機(jī)�,諸如客戶機(jī)214或VPN客戶機(jī)344能夠通過專用接口 3M與HTTPS服務(wù)器352進(jìn)行通信����,并且因此能夠?qū)TTPS服務(wù)器352提出請求和接收回復(fù)?�;趤碜訦TTPS服務(wù)器352的回復(fù)���,客戶機(jī)214或VPN客戶機(jī)344能夠確定它是否直接連接到安全網(wǎng)絡(luò)并相應(yīng)地設(shè)置其安全策略�����。另一方面,未直接連接到安全網(wǎng)絡(luò)200的客戶機(jī)��,諸如客戶機(jī)234��,不能夠通過公共接口 356來與HTTPS服務(wù)器352進(jìn)行通信�����,并且因此不能夠向HTTPS服務(wù)器352提出請求或接收回復(fù)�?����;谌鄙賮碜訦TTPS服務(wù)器352的回復(fù)��,客戶機(jī)234能夠作出它未直接連接到安全網(wǎng)絡(luò)200的確定, 并且可以將它的安全策略配置得與它直接連接到安全網(wǎng)絡(luò)200的情形相比更受限制。在圖3的實施例中,諸如VPN客戶機(jī)344之類的通過虛擬連接直接連接到安全網(wǎng)絡(luò)200但未物理地連接到安全網(wǎng)絡(luò)200的計算設(shè)備��,可以通過專用接口 3M來連接以與HTTPS服務(wù)352進(jìn)行通信��。因此在該實施例中�,VPN客戶機(jī)344將接收對發(fā)送給HTTPS服務(wù) 352的請求的回復(fù)����。然而�����,其他實施例可以不同地對待虛擬地但未物理地連接到安全網(wǎng)絡(luò) 200的計算設(shè)備��。例如,在另一實施例中��,專用接口 3M可以不允許VPN客戶機(jī)344和HTTPS 服務(wù)352之間的通信。在這種情況下��,VPN客戶機(jī)344將接收不到對發(fā)送給HTTPS服務(wù)352 的請求的回復(fù)���,并且與客戶機(jī)234類似,可以確定將其安全策略配置得與它物理地連接到安全網(wǎng)絡(luò)200的情形相比更受限制���。在又一實施例中,專用接口 3M可以允許HTTPS服務(wù) 352和VPN客戶機(jī)344之間的通信����,但HTTPS服務(wù)352可被配置成向VPN客戶機(jī)344提供與它向用戶客戶機(jī)214提供的響應(yīng)不同的響應(yīng)。該其他類型的響應(yīng)將允許VPN客戶機(jī)344確定它應(yīng)該應(yīng)用第三類型的設(shè)置,諸如比客戶機(jī)214所應(yīng)用的更受限制、但比客戶機(jī)234所應(yīng)用的較不受限的安全設(shè)置。專用接口 3M可使用本領(lǐng)域已知的技術(shù)來實現(xiàn)����。公共接口 356可以類似地使用公知的接口技術(shù)來實現(xiàn)。然而���,可以修改公共接口 356來阻塞來自遠(yuǎn)程客戶機(jī)的通信��?��?梢允褂萌魏魏线m的阻塞機(jī)制�。例如���,公共接口 356可配置有過濾組件,該過濾組件基于分組頭部中包含的目的地地址來阻塞網(wǎng)絡(luò)分組。例如����,公共接口 356可以阻塞包括HTTPS服務(wù)352 的目的地地址的所有傳入分組���。然而���,其它實現(xiàn)是可能的��。例如,公共接口 356可以阻塞包含指示該分組是由HTTPS服務(wù)352生成的源地址的任何傳出分組。在圖3所示的實施例中��,公共接口 356阻塞在諸如客戶機(jī)234之類的遠(yuǎn)程客戶機(jī)和HTTPS服務(wù)352之間交換的所有分組。當(dāng)HTTPS服務(wù)352未執(zhí)行遠(yuǎn)程客戶機(jī)期望訪問的任何功能時�,這種實現(xiàn)可能是合適的��。在期望遠(yuǎn)程客戶機(jī)和HTTPS服務(wù)352之間的某些交互的實施例中��,公共接口 356的過濾組件還可被配置成基于分組中的信息的本質(zhì)來過濾分組。例如����,HTTPS服務(wù)352可被配置成提供對特別旨在使得遠(yuǎn)程客戶機(jī)能夠確定其網(wǎng)絡(luò)位置的請求的響應(yīng)����。公共接口 356的過濾組件可被配置成檢查分組的各部分��,從而標(biāo)識分組中包含的信息的本質(zhì)?;谠摍z查����,過濾組件可以阻塞僅包含旨在確定網(wǎng)絡(luò)位置時使用的請求或回復(fù)的分組的傳輸。用于位置知曉的網(wǎng)絡(luò)服務(wù)�����,諸如HTTPS服務(wù)352是安全的���,以便允許網(wǎng)絡(luò)服務(wù)的客戶機(jī),諸如客戶機(jī)214�、客戶機(jī)234或VPN客戶機(jī)344驗證服務(wù)的身份或安全憑證�����,并作出客戶機(jī)是否應(yīng)該信任從該服務(wù)接收的回復(fù)的確定�。例如���,在某些實施例中,HTTPS服務(wù)352的回復(fù)可以包括包含HTTPS服務(wù)的身份的SSL證書���,諸如客戶機(jī)214之類的服務(wù)的客戶機(jī)可以驗證該證書來確定是否信任來自HTTPS服務(wù)352的回復(fù)����。如果客戶機(jī)214確定要信任來自HTTPS服務(wù)352的回復(fù)����,則它可以假定該HTTPS服務(wù)352物理地連接到安全網(wǎng)絡(luò)200并相應(yīng)地將其安全設(shè)置實現(xiàn)為較不受限的狀態(tài)。另一方面����,如果客戶機(jī)214不能夠驗證HTTPS 服務(wù)352所返回的SSL證書��,則客戶機(jī)214可以認(rèn)為它未收到來自服務(wù)352的回復(fù)并假定該服務(wù)未直接連接到安全網(wǎng)絡(luò)200,并實現(xiàn)較受限制的安全設(shè)置。圖4示出與圖2的環(huán)境類似的聯(lián)網(wǎng)計算環(huán)境����,其根據(jù)某些其他實施例配置成支持網(wǎng)絡(luò)位置確定���。在圖4的實施例中���,DMZ 240還結(jié)合了可用作防火墻442的網(wǎng)絡(luò)設(shè)備。防火墻442分析從安全網(wǎng)絡(luò)200外部設(shè)備到DMZ 240中或安全網(wǎng)絡(luò)200中的計算設(shè)備的聯(lián)網(wǎng)通信,并可以允許或不允許某些這樣的通信�����。具體地,防火墻442可以不允許從安全網(wǎng)絡(luò)外部的設(shè)備��,諸如客戶機(jī)234到HTTPS服務(wù)352的通信,但可以允許從安全網(wǎng)絡(luò)外部的設(shè)備, 諸如客戶機(jī)234到安全網(wǎng)絡(luò)內(nèi)部的其他聯(lián)網(wǎng)計算資源�����,諸如域控制器210和名稱服務(wù)器212的通信。如雙向鏈路260和260所可以見到的�,防火墻442分別允許客戶機(jī)234和域控制器210之間的通信以及客戶機(jī)234和名稱服務(wù)器212之間的通信��。另一方面���,從客戶機(jī)234 到HTTPS服務(wù)352的單向鏈路374被防火墻442阻塞���,并且說明不具有連接到HTTPS服務(wù) 352的能力����。如以上結(jié)合圖3所討論的���,防火墻442可以阻塞從遠(yuǎn)程設(shè)備到HTTPS服務(wù)352 的所有通信�����。然而,在使用對HTTPS服務(wù)352的特定類型請求的響應(yīng)來確定網(wǎng)絡(luò)位置的實施例中�,防火墻442可被配置成只阻塞包含這種請求的分組���。圖5示出與圖4所示的實施例類似的本發(fā)明的替換實施例。在圖5的實施例中��, DMZ 240結(jié)合了可用作防火墻M2的聯(lián)網(wǎng)設(shè)備。與防火墻442類似�����,防火墻542分析從安全網(wǎng)絡(luò)200外部的設(shè)備到DMZ 240中或安全網(wǎng)絡(luò)200中的計算設(shè)備的聯(lián)網(wǎng)通信���,并可以允許或不允許某些這樣的通信����。然而,防火墻542可用與防火墻442不同的安全設(shè)置來配置��。 具體地�����,防火墻542可允許從安全網(wǎng)絡(luò)外部的設(shè)備�,諸如客戶機(jī)234到HTTPS服務(wù)352的傳入通信���,但可以不允許或阻塞從HTTPS服務(wù)352到客戶機(jī)234的傳出通信。如同防火墻442 一樣�����,防火墻542可允許安全網(wǎng)絡(luò)200外部的設(shè)備�����,諸如客戶機(jī)234和安全網(wǎng)絡(luò)內(nèi)部的其他聯(lián)網(wǎng)計算資源�,諸如域控制器210和名稱服務(wù)器212之間的雙向通信�。如雙向鏈路沈0和 260所可以見到的���,防火墻542分別允許客戶機(jī)234和域控制器210之間的通信以及客戶機(jī)234和名稱服務(wù)器212之間的通信�����。來自客戶機(jī)234的單向鏈路374通過防火墻542到達(dá)HTTPS服務(wù)352�����。然而�,從HTTPS服務(wù)352到客戶機(jī)234的單向鏈路576被示為被防火墻542阻塞。如結(jié)合圖4所討論的,在使用對HTTPS服務(wù)352的特定類型的請求的響應(yīng)來確定網(wǎng)絡(luò)位置的實施例中,防火墻542可被配置成只阻塞包含這種請求的分組�����。客戶機(jī)234 可以使用該客戶機(jī)234缺少從HTTPS服務(wù)352接收的回復(fù)來確定它未直接連接到安全網(wǎng)絡(luò) 200��。圖6示出與圖2的環(huán)境類似的聯(lián)網(wǎng)計算環(huán)境�����,其根據(jù)某些其他替換實施例被配置成支持網(wǎng)絡(luò)位置確定���。HTTPS服務(wù)還結(jié)合了諸如網(wǎng)絡(luò)地址過濾器652之類的過濾器。與圖 3中結(jié)合公共接口 356的過濾組件所討論的類似,網(wǎng)絡(luò)地址過濾器可被配置成基于關(guān)于對 HTTPS服務(wù)352的請求的分組頭部中所包含的源網(wǎng)絡(luò)地址的信息來阻塞該請求。例如�,網(wǎng)絡(luò)地址過濾器652可以檢查對HTTPS服務(wù)352的請求中所包含的源網(wǎng)絡(luò)地址的一部分來確定該源網(wǎng)絡(luò)地址是否在安全網(wǎng)絡(luò)200的網(wǎng)絡(luò)地址范圍內(nèi)�。例如,如果源網(wǎng)絡(luò)地址是IPv6網(wǎng)絡(luò)地址�,則網(wǎng)絡(luò)地址過濾器可以檢查該網(wǎng)絡(luò)地址是否在安全網(wǎng)絡(luò)前綴范圍內(nèi)�����。雖然將網(wǎng)絡(luò)地址用作用來確定回復(fù)的本質(zhì)的準(zhǔn)則的一個示例���,但還可以使用其他準(zhǔn)則來確定響應(yīng)的本質(zhì)。例如����,回復(fù)可以是不同的,取決于該請求是通過公共接口還是專用接口來接收的����。此外�����,雖然發(fā)出回復(fù)和不發(fā)出回復(fù)被用作不同響應(yīng)的示例�����,但這些僅僅是不同響應(yīng)的示例�����。作為另一示例��,不同響應(yīng)可以通過在所有情況下都發(fā)出回復(fù)��、但取決于網(wǎng)絡(luò)位置而對回復(fù)使用不同格式來生成��。作為一個示例�,回復(fù)可以指示客戶機(jī)的網(wǎng)絡(luò)地址或網(wǎng)絡(luò)位置���。同樣,在上述實施例中�,同一設(shè)備生成對來自直接或間接連接到網(wǎng)絡(luò)的客戶機(jī)的請求的回復(fù)��。不要求這樣的體系結(jié)構(gòu)����。例如�,來自直接連接的客戶機(jī)的請求可被路由到發(fā)出一種類型回復(fù)的一個設(shè)備�����,而來自未直接連接的客戶機(jī)的請求可被路由到發(fā)出不同類型回復(fù)的另一設(shè)備�。在圖6所示的實施例中,客戶機(jī)214物理地連接到安全網(wǎng)絡(luò)200 ����;因而�����,如果安全網(wǎng)絡(luò)200使用IPv6尋址,則客戶機(jī)214的網(wǎng)絡(luò)地址在安全網(wǎng)絡(luò)前綴范圍內(nèi)����。因為客戶機(jī)234未物理地連接到網(wǎng)絡(luò)200����,所以客戶機(jī)234的網(wǎng)絡(luò)地址不在安全網(wǎng)絡(luò)前綴范圍內(nèi)����。網(wǎng)絡(luò)地址過濾器652隨后可以在檢查了它們的請求之后,阻塞從客戶機(jī)234到HTTPS服務(wù)352 的請求���、但允許從客戶機(jī)214到HTTPS服務(wù)352的請求��。如先前所說明的��,聯(lián)網(wǎng)計算設(shè)備具有或不具有彼此通信的能力由單向或雙向網(wǎng)絡(luò)鏈路來示出。通過直接訪問服務(wù)器250的雙向鏈路顯示與安全網(wǎng)絡(luò)200中的聯(lián)網(wǎng)計算資源進(jìn)行通信的能力���,諸如客戶機(jī)234和域控制器210之間的鏈路沈0以及客戶機(jī)234和名稱服務(wù)器212之間的鏈路沈2�。類似地,通過網(wǎng)絡(luò)地址過濾器652和直接訪問服務(wù)器250的雙向鏈路364示出用戶客戶機(jī)214和HTTPS服務(wù)352之間的連接�。另一方面,用戶客戶機(jī) 234和HTTPS服務(wù)352之間單向鏈路374不通過網(wǎng)絡(luò)地址過濾器652���,從而說明網(wǎng)絡(luò)地址過濾器652采取動作來阻塞從客戶機(jī)234到HTTPS服務(wù)352的請求。在該實施例中,如以上在先前實施例中所討論的���,缺少來自HTTPS服務(wù)352的回復(fù)可以允許請求者��,諸如客戶機(jī)234作出它未直接連接到安全網(wǎng)絡(luò)200的確定�����,并相應(yīng)地將其安全設(shè)置設(shè)為較受限制的狀態(tài)����。圖7示出網(wǎng)絡(luò)客戶機(jī)700(諸如客戶機(jī)214和234的先前實施例)以及被配置成執(zhí)行網(wǎng)絡(luò)位置確定的網(wǎng)絡(luò)設(shè)備,諸如運(yùn)行HTTPS服務(wù)702(諸如在先前討論的實施例中的 HTTPS服務(wù)35 的設(shè)備的操作方法的流程圖����。最初,客戶機(jī)700不知道它的網(wǎng)絡(luò)位置并且在框701可以應(yīng)用適用于未直接連接到安全網(wǎng)絡(luò)的客戶機(jī)的默認(rèn)設(shè)置。例如,有了安全策略��,客戶機(jī)應(yīng)用適于它可以操作的最不安全位置的設(shè)置��。在步驟704��,客戶機(jī)700本身可以與諸如域控制器210之類的域控制器進(jìn)行認(rèn)證���。 這可以通過經(jīng)由諸如直接訪問服務(wù)器250之類的直接訪問服務(wù)器�����,或者直接地(該客戶機(jī)是物理地連接還是諸如經(jīng)由VPN虛擬地)連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)來完成。在步驟706�,客戶機(jī)700檢索已獲提供給客戶機(jī)的HTTPS服務(wù)702的名稱。例如��, 當(dāng)客戶機(jī)700物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)時,可能已經(jīng)向客戶機(jī)700 提供了 HTTPS服務(wù)702的名稱�����。此時���,與步驟706中一樣,所提供的名稱可能已經(jīng)被本地地存儲在客戶機(jī)上的計算機(jī)存儲介質(zhì)上以供稍后檢索����。在步驟712�����,客戶機(jī)700向HTTPS服務(wù)702發(fā)出HTTPS請求�。在步驟714����,客戶機(jī) 700在一預(yù)定時間間隔內(nèi)等待來自HTTPS服務(wù)700的回復(fù)����。如果未經(jīng)由上述機(jī)制中的一個來阻塞來自客戶機(jī)700的請求而到達(dá)HTTPS服務(wù) 702���,則在步驟716HTTPS服務(wù)702接收該客戶機(jī)請求。在步驟718,諸如網(wǎng)絡(luò)地址過濾器652 之類的過濾器檢查客戶機(jī)的網(wǎng)絡(luò)地址的一部分來確定該客戶機(jī)的網(wǎng)絡(luò)地址是否在諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)的范圍內(nèi)。如果該網(wǎng)絡(luò)地址不在安全網(wǎng)絡(luò)范圍內(nèi)�����,則圖7的過程從步驟718分支到結(jié)束框730并且客戶機(jī)接收不到來自HTTPS服務(wù)702的回復(fù)����。另一方面��,如果客戶機(jī)700的網(wǎng)絡(luò)地址在安全網(wǎng)絡(luò)范圍內(nèi)�����,則在步驟720HTTPS服務(wù)702可以對客戶機(jī)700作出響應(yīng)����,其可以是包含SSL證書的安全響應(yīng)。在任一種情況中�,此時���,HTTPS服務(wù)702已經(jīng)完成了對客戶機(jī)700的請求的處理���,并繼續(xù)至結(jié)束框730��。但應(yīng)該理解���,在某些實施例中��,可能期望無論發(fā)出請求的客戶機(jī)的位置如何, HTTPS服務(wù)702都作出響應(yīng),但取決于客戶機(jī)的位置用不同類型的響應(yīng)來作出響應(yīng)��。在這些實施例中,如果不管客戶機(jī)的位置都生成響應(yīng)���,則可以減少步驟714處的等待時間���。圖7的過程取決于客戶機(jī)在預(yù)定時間間隔內(nèi)是否從HTTPS服務(wù)702接收到任何響應(yīng)在步驟722處分支�����。如果客戶機(jī)700未接收到回復(fù),可能是如果其請求或回復(fù)經(jīng)由圖3-6 所示的實施例中的一個被阻塞的情況,則客戶機(jī)700繼續(xù)至步驟728�����,在那里它作出它未物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)的確定,并且相應(yīng)地將其設(shè)置保持在默認(rèn)狀態(tài)�。例如�,安全策略保持被設(shè)置為較受限制的狀態(tài)。如果客戶機(jī)700從HTTPS服務(wù)702接收到響應(yīng)�����,則在步驟7 它驗證HTTPS服務(wù) 702的身份或安全憑證,諸如SSL證書���。如果客戶機(jī)700無法成功地驗證從HTTPS服務(wù)702 接收的SSL證書�����,則客戶機(jī)700繼續(xù)至步驟728��,并且如上所述地,作出它未物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)的確定���。客戶機(jī)相應(yīng)地設(shè)置其策略����,例如��,將其策略設(shè)置為較受限制的狀態(tài)。如果客戶機(jī)700成功地驗證從HTTPS服務(wù)702接收的SSL證書����,則它繼續(xù)至步驟 726��。此時,客戶機(jī)可以確定它物理地連接到諸如安全網(wǎng)絡(luò)200之類的安全網(wǎng)絡(luò)?���?蛻魴C(jī)相應(yīng)地設(shè)置其策略,例如�,將其策略設(shè)置為較不受限的狀態(tài)�����。至此描述了本發(fā)明的至少一個實施例的若干方面,可以理解���,本領(lǐng)域的技術(shù)人員可容易地想到各種更改、修改和改進(jìn)�。這樣的更改�����、修改和改進(jìn)旨在是本發(fā)明的一部分���,且旨在處于本發(fā)明的精神和范圍內(nèi)�。因此���,上述描述和附圖僅用作示例�����?��?梢杂枚喾N方式中的任一種來實現(xiàn)本發(fā)明的上述實施例�。例如�����,可使用硬件�、軟件或其組合來實現(xiàn)各實施例�。當(dāng)使用軟件實現(xiàn)時,該軟件代碼可在無論是在單個計算機(jī)中提供的還是在多個計算機(jī)之間分布的任何合適的處理器或處理器集合上執(zhí)行�����。此外���,應(yīng)當(dāng)理解���,計算機(jī)可以用多種形式中的任一種來具體化,如機(jī)架式計算機(jī)�、 臺式計算機(jī)���、膝上型計算機(jī)��、或平板計算機(jī)��。另外��,計算機(jī)可以具體化在通常不被認(rèn)為是計算機(jī)但具有合適的處理能力的設(shè)備中����,包括個人數(shù)字助理(PDA)、智能電話�����、或任何其他合適的便攜式或固定電子設(shè)備。同樣�,計算機(jī)可以具有一個或多個輸入和輸出設(shè)備����。這些設(shè)備主要可被用來呈現(xiàn)用戶界面�����?���?杀挥脕硖峁┯脩艚缑娴妮敵鲈O(shè)備的示例包括用于可視地呈現(xiàn)輸出的打印機(jī)或顯示屏和用于可聽地呈現(xiàn)輸出的揚(yáng)聲器或其他聲音生成設(shè)備?�?杀挥糜谟脩艚缑娴妮斎朐O(shè)備的示例包括鍵盤和諸如鼠標(biāo)��、觸摸板和數(shù)字化輸入板等定點設(shè)備。作為另一示例����,計算機(jī)可以通過語音識別或以其他可聽格式來接收輸入信息��。這些計算機(jī)可以通過任何合適形式的一個或多個網(wǎng)絡(luò)來互連,包括作為局域網(wǎng)或廣域網(wǎng)���,如企業(yè)網(wǎng)絡(luò)或因特網(wǎng)���。這些網(wǎng)絡(luò)可以基于任何合適的技術(shù)并可以根據(jù)任何合適的協(xié)議來操作�,并且可以包括無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)或光纖網(wǎng)絡(luò)。而且��,此處略述的各種方法或過程可被編碼為可在采用各種操作系統(tǒng)或平臺中任何一種的一個或多個處理器上執(zhí)行的軟件�����。此外�,這樣的軟件可使用多種合適的程序設(shè)計語言和/或程序設(shè)計或腳本工具中的任何一種來編寫��,而且它們還可被編譯為可執(zhí)行機(jī)器語言代碼或在框架或虛擬機(jī)上執(zhí)行的中間代碼。就此����,本發(fā)明可被具體化為用一個或多個程序編碼的一個或多個計算機(jī)可讀介質(zhì) (例如,計算機(jī)存儲器、一個或多個軟盤�、緊致盤����、光盤、磁帶�����、閃存��、現(xiàn)場可編程門陣列或其他半導(dǎo)體器件中的電路配置、或其他有形計算機(jī)存儲介質(zhì)),當(dāng)這些程序在一個或多個計算機(jī)或其他處理器上執(zhí)行時��,它們執(zhí)行實現(xiàn)本發(fā)明的上述各個實施例的方法�����。這一個或多個計算機(jī)可讀介質(zhì)可以是便攜的����,使得其上存儲的一個或多個程序可被加載到一個或多個不同的計算機(jī)或其他處理器上以便實現(xiàn)本發(fā)明上述的各個方面。此處以一般的意義使用術(shù)語“程序”或“軟件”來指可被用來對計算機(jī)或其他處理器編程以實現(xiàn)本發(fā)明上述的各個方面的任何類型的計算機(jī)代碼或計算機(jī)可執(zhí)行指令集����。另外,應(yīng)當(dāng)理解,根據(jù)本實施例的一個方面,當(dāng)被執(zhí)行時實現(xiàn)本發(fā)明的方法的一個或多個計算機(jī)程序不必駐留在單個計算機(jī)或處理器上��,而是可以按模塊化的方式分布在多個不同的計算機(jī)或處理器之間以實現(xiàn)本發(fā)明的各方面�����。計算機(jī)可執(zhí)行指令可以具有可由一個或多個計算機(jī)或其他設(shè)備執(zhí)行的各種形式, 諸如程序模塊�。一般而言,程序模塊包括執(zhí)行特定的任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型的例程����、程序��、對象��、組件���、數(shù)據(jù)結(jié)構(gòu)等�����。通常�����,在各實施例中,程序模塊的功能可以視需要組合或分散�����。而且�����,數(shù)據(jù)結(jié)構(gòu)能以任何合適的形式存儲在計算機(jī)可讀介質(zhì)上。為簡化說明�,數(shù)據(jù)結(jié)構(gòu)可被示為具有通過該數(shù)據(jù)結(jié)構(gòu)中的位置而相關(guān)的字段�。這些關(guān)系同樣可以通過對各字段的存儲分配傳達(dá)各字段之間的關(guān)系的計算機(jī)可讀介質(zhì)中的位置來得到。然而��,可以使用任何合適的機(jī)制來在數(shù)據(jù)結(jié)構(gòu)的各字段中的信息之間建立關(guān)系�����,包括通過使用指針�����、標(biāo)簽、 或在數(shù)據(jù)元素之間建立關(guān)系的其他機(jī)制��。本發(fā)明的各個方面可單獨�、組合或以未在前述實施例中具體討論的各種安排來使用,從而并不將其應(yīng)用限于前述描述中所述或附圖中所示的組件的細(xì)節(jié)和安排���。例如��,可使用任何方式將一個實施例中描述的各方面與其他實施例中描述的各方面組合�����。同樣���,本發(fā)明可被具體化為方法�,其示例已經(jīng)提供���。作為該方法的一部分所執(zhí)行的動作可以按任何合適的方式來排序���。因此���,可以構(gòu)建各個實施例���,其中各動作以與所示的次序所不同的次序執(zhí)行,不同的次序可包括同時執(zhí)行某些動作����,即使這些動作在各說明性實施例中被示為順序動作�。在權(quán)利要求書中使用諸如“第一”��、“第二”��、“第三”等序數(shù)詞來修飾權(quán)利要求元素本身并不意味著一個權(quán)利要求元素較之另一個權(quán)利要求元素的優(yōu)先級�、先后次序或順序��、 或者方法的各動作執(zhí)行的時間順序,而僅用作將具有某一名字的一個權(quán)利要求元素與(若不是使用序數(shù)詞則)具有同一名字的另一元素區(qū)分開的標(biāo)簽以區(qū)分各權(quán)利要求元素��。同樣����,此處所使用的短語和術(shù)語是出于描述的目的而不應(yīng)被認(rèn)為是限制����。此處對 “包括”�、“包含”��、或“具有”�、“含有”�、“涉及”及其變型的使用旨在包括其后所列的項目及其等效物以及其他項目。
權(quán)利要求
1.一種當(dāng)客戶機(jī)設(shè)備(214、234)連接到包括限定網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)防火墻的網(wǎng)絡(luò)(200) 時操作所述客戶機(jī)設(shè)備(214����、234)的方法���,所述客戶機(jī)設(shè)備(214��、234)支持至少第一(726) 和第二(728)行為,所述方法包括將請求定向(71 到網(wǎng)絡(luò)設(shè)備(352)�,所述網(wǎng)絡(luò)設(shè)備(35 連接到所述網(wǎng)絡(luò)(200)并且被適配成提供對所述請求的至少第一響應(yīng)(720)或與所述第一響應(yīng)(720)不同的第二響應(yīng) (730)��,當(dāng)所述請求從連接到所述網(wǎng)絡(luò)(200)的網(wǎng)絡(luò)防火墻內(nèi)的客戶機(jī)設(shè)備(214)接收時提供所述第一響應(yīng)�����,并且當(dāng)所述請求從連接到所述網(wǎng)絡(luò)防火墻外部的網(wǎng)絡(luò)O00)的客戶機(jī)設(shè)備(234)接收時提供所述第二響應(yīng)(730);在檢測到所述第一響應(yīng)時����,將所述客戶機(jī)設(shè)備(214)配置成根據(jù)所述第一行為(726) 來操作;以及在檢測到所述第二響應(yīng)時�����,將所述客戶機(jī)設(shè)備(214)配置成根據(jù)所述第二行為(728) 來操作�����。
2.如權(quán)利要求1所述的方法�����,其特征在于當(dāng)所述客戶機(jī)設(shè)備(214)接收到認(rèn)證所述網(wǎng)絡(luò)設(shè)備(352)的信息時檢測所述第一響應(yīng)��;以及當(dāng)所述客戶機(jī)設(shè)備(234)在間隔期間未接收到認(rèn)證所述網(wǎng)絡(luò)設(shè)備(35 的信息時檢測所述第二響應(yīng)����。
3.如權(quán)利要求2所述的方法����,其特征在于,還包括在所述網(wǎng)絡(luò)設(shè)備(352)上從所述客戶機(jī)設(shè)備(214)接收(716)請求���,所述請求包括所述客戶機(jī)設(shè)備(214)的地址;當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識物理地位于所述網(wǎng)絡(luò)O00)上的位置或通過VPN 連接到所述網(wǎng)絡(luò)的位置時,用所述第一響應(yīng)來作出響應(yīng)����;以及當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識不在所述網(wǎng)絡(luò)防火墻之內(nèi)的位置時�,用所述第二響應(yīng)來作出響應(yīng)����。
4.如權(quán)利要求2所述的方法,其特征在于�����,還包括在所述網(wǎng)絡(luò)設(shè)備(352)上從所述客戶機(jī)設(shè)備(214)接收(716)請求�,所述請求包括所述客戶機(jī)設(shè)備014)的地址��;當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識物理地位于所述網(wǎng)絡(luò)(200)上的位置時,用所述第一響應(yīng)來作出響應(yīng)��;以及當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識未物理地位于所述網(wǎng)絡(luò)(200)上的位置或通過 VPN連接到所述網(wǎng)絡(luò)的位置時�,用所述第二響應(yīng)來作出響應(yīng)��。
5.如權(quán)利要求2所述的方法�����,其特征在于�����,所述網(wǎng)絡(luò)設(shè)備(35 包括第一網(wǎng)絡(luò)設(shè)備 (352)并且所述網(wǎng)絡(luò)(200)包括第二網(wǎng)絡(luò)設(shè)備042���、652)���,所述方法還包括在所述第二網(wǎng)絡(luò)設(shè)備上從所述客戶機(jī)設(shè)備(214)接收請求�����,所述請求包括所述客戶機(jī)設(shè)備014)的地址; 當(dāng)所述客戶機(jī)設(shè)備的地址標(biāo)識物理地或虛擬地位于所述網(wǎng)絡(luò)(200)上的位置時���,將所述請求提供給所述第一網(wǎng)絡(luò)設(shè)備(352)�����;以及當(dāng)所述客戶機(jī)設(shè)備(234)的地址標(biāo)識未在所述網(wǎng)絡(luò)防火墻之內(nèi)的位置時�����,阻塞所述請求到達(dá)所述第一網(wǎng)絡(luò)設(shè)備(352)���。
6.如權(quán)利要求3所述的方法�����,其特征在于,所述網(wǎng)絡(luò)設(shè)備(352)包括第一網(wǎng)絡(luò)設(shè)備 (352)并且所述網(wǎng)絡(luò)(200)包括第二網(wǎng)絡(luò)設(shè)備(542)����,所述方法還包括在所述第二網(wǎng)絡(luò)設(shè)備( 上從所述第一網(wǎng)絡(luò)設(shè)備(35 接收對所述請求的響應(yīng)����,所述響應(yīng)包括所述客戶機(jī)設(shè)備 (214)的地址��;當(dāng)所述客戶機(jī)設(shè)備(214)的地址標(biāo)識物理地位于所述網(wǎng)絡(luò)(200)上的位置時,將所述響應(yīng)提供給所述客戶機(jī)設(shè)備014);以及當(dāng)所述客戶機(jī)設(shè)備014)的地址標(biāo)識未物理地位于所述網(wǎng)絡(luò)(200)上的位置時���,阻塞所述響應(yīng)到達(dá)所述客戶機(jī)設(shè)備014)�。
7.如權(quán)利要求1所述的方法,其特征在于���,所述網(wǎng)絡(luò)(200)包括具有企業(yè)地址前綴的企業(yè)網(wǎng)絡(luò)(200)����,并且所述方法還包括當(dāng)所述請求由包括所述企業(yè)地址前綴的源地址來標(biāo)識時��,作出所述第一響應(yīng);以及當(dāng)所述請求由不具有所述企業(yè)地址前綴的源地址來標(biāo)識時�����,作出所述第二響應(yīng)���。
8.如權(quán)利要求7所述的方法,其特征在于���,配置所述客戶機(jī)設(shè)備(214�����、234)根據(jù)所述第一行為(726)來操作包括用與所述客戶機(jī)設(shè)備(214、234)被配置成根據(jù)所述第二行為 (728)來操作的情況相比較不受限的策略來配置防火墻�����。
9.一種適配成連接到網(wǎng)絡(luò)O00)的客戶機(jī)設(shè)備214���,所述客戶機(jī)設(shè)備(214)包括 計算機(jī)存儲介質(zhì),包括影響所述客戶機(jī)設(shè)備(214)上的操作的組件���,所述組件可以在至少第一狀態(tài)和第二狀態(tài)中操作;計算機(jī)可執(zhí)行指令,當(dāng)所述指令被執(zhí)行時執(zhí)行一種方法��,所述方法包括 將請求定向(71 到網(wǎng)絡(luò)設(shè)備(352)�,所述請求包括含有源地址部分的源地址����,所述網(wǎng)絡(luò)設(shè)備(35 被適配成提供至少第一響應(yīng)和第二響應(yīng)(730)�����,當(dāng)所述源地址部分匹配標(biāo)識所述網(wǎng)絡(luò)的網(wǎng)絡(luò)地址部分時提供對所述請求的第一響應(yīng)(720)����,并且當(dāng)所述源地址部分不匹配所述網(wǎng)絡(luò)地址部分時提供對所述請求的第二響應(yīng)(730)���;在檢測到所述第一響應(yīng)時,將所述組件配置成在所述第一狀態(tài)(7 )中操作;以及在檢測到所述第二響應(yīng)時,將所述組件配置成在所述第二狀態(tài)(7 )中操作��。
10.如權(quán)利要求9所述的客戶機(jī)設(shè)備014)���,其特征在于��,所述組件包括防火墻。
11.如權(quán)利要求9所述的客戶機(jī)設(shè)備014)�����,其特征在于,所述計算機(jī)存儲介質(zhì)還包括被適配成存儲所述網(wǎng)絡(luò)設(shè)備(352)的標(biāo)識的域。
12.如權(quán)利要求11所述的客戶機(jī)設(shè)備014)��,其特征在于所述計算機(jī)存儲介質(zhì)還包括被適配成存儲所述網(wǎng)絡(luò)設(shè)備(352)的認(rèn)證信息的至少一個域;以及由所述計算機(jī)可執(zhí)行指令執(zhí)行的所述方法還包括通過使用所述認(rèn)證信息來試圖認(rèn)證響應(yīng)由所述網(wǎng)絡(luò)設(shè)備(352)生成而查明(724)所述響應(yīng)是否是所述第一響應(yīng)。
13.如權(quán)利要求9所述的客戶機(jī)設(shè)備014�����、234)��,其特征在于����,所述網(wǎng)絡(luò)設(shè)備(352)包括服務(wù)器(250)并且所述第一響應(yīng)包括HTTPS頁面�。
14.如權(quán)利要求9所述的客戶機(jī)設(shè)備014、234)�����,其特征在于 還包括被適配成在發(fā)送所述請求之后指示時間的計時組件���;以及其中由所述計算機(jī)可執(zhí)行指令執(zhí)行的所述方法還包括當(dāng)發(fā)送所述請求之后的所述時間內(nèi)未接收到所述第一響應(yīng)(720)時檢測(72 所述第二響應(yīng)(730)。
15.如權(quán)利要求9所述的客戶機(jī)設(shè)備014�����、234)��,其特征在于�,還包括用于當(dāng)所述客戶機(jī)設(shè)備直接連接到所述網(wǎng)絡(luò)并且當(dāng)所述客戶機(jī)設(shè)備間接連接到所述網(wǎng)絡(luò)時訪問企業(yè)網(wǎng)絡(luò) 200的組件����。
全文摘要
一種在連接到網(wǎng)絡(luò)防火墻之后的專用網(wǎng)絡(luò)時支持和在網(wǎng)絡(luò)防火墻外部時不同的行為的客戶機(jī)計算機(jī)���?��?蛻魴C(jī)計算機(jī)試圖與網(wǎng)絡(luò)上的設(shè)備進(jìn)行通信?;谠擁憫?yīng),客戶機(jī)計算機(jī)可以確定它在網(wǎng)絡(luò)防火墻之后,并用較不受限的安全或適用于當(dāng)客戶機(jī)直接連接到網(wǎng)絡(luò)時的其他參數(shù)的設(shè)置來操作�����?;蛘?����,客戶機(jī)計算機(jī)可以確定它通過外部網(wǎng)絡(luò)間接地連接到網(wǎng)絡(luò),并因此應(yīng)該用較受限制的安全或更適用于在該網(wǎng)絡(luò)位置使用的其他參數(shù)的設(shè)置來操作�。即使遠(yuǎn)程客戶機(jī)計算機(jī)具有到允許其與域控制器進(jìn)行認(rèn)證的網(wǎng)絡(luò)的直接連接�,所述方法仍然工作��。
文檔編號G06F21/20GK102197400SQ200980142641
公開日2011年9月21日 申請日期2009年10月15日 優(yōu)先權(quán)日2008年10月24日
發(fā)明者A·K·布杜里, B·比格勒, D·C·布魯伊斯, D·塞勒, G·D·奎利亞爾, R·M·特蕾西, S·R·加塔, S·羅伯茨 申請人:微軟公司