CN101019403A

CN101019403A - 资源访问过滤系统和方法

Info

Publication number: CN101019403A
Application number: CN200580026776.XA
Authority: CN
Inventors: 凯文·琼斯; 理查德·波因顿
Original assignee: SurfControl Ltd
Current assignee: Forcepoint UK Ltd
Priority date: 2004-08-07
Filing date: 2005-07-28
Publication date: 2007-08-15
Anticipated expiration: 2025-07-28
Also published as: CN101019403B; GB2416879A; NZ552767A; US7890642B2; US20060031942A1; GB0417620D0; GB2416879B

Abstract

描述一种远程站点过滤和监控系统及方法，其中由远程服务器(33)实时地监视并控制远程设备(32)的因特网访问。该系统还提供离线访问日志和随后的上载、可调整的过滤灵敏度和特定HTTP端口过滤。

Description

资源访问过滤系统和方法

技术领域

本发明总的来说涉及一种过滤系统，尤其涉及一种计算机实现的资源访问过滤系统和方法。

背景技术

已知过滤内容或者电子邮件的系统和软件。例如，广为人知的防火墙和代理服务器进行一些这种功能，以保护企业内部互联网等内部计算机网络免受黑客、恶意病毒和蠕虫病毒的攻击。还存在众所周知的允许防火墙/代理服务器过滤未授权的因特网访问或者使用户不会接收到那些不想要的电子邮件消息的系统。典型地，这些系统通过用作企业网络的网关的服务器进行工作。该服务器典型地具有一些允许该服务器对输入和输出流量进行过滤操作的(软件或者硬件)功能。

远程工作跨许多领域和在许多行业中变得越来越普及。从企业网络或LAN远程地使用远程计算设备。在一些系统中，远程设备可以进行其自身的过滤，但是这样会更难于实施企业范围内的许可使用策略(acceptable usage po1icy，AUP)，并且该设备需要另外的处理能力以过滤其自身的资源访问。典型地，远程设备的用户可以从计算机网络访问电子邮件消息、来自FTP或WWW网站的各种不同的文件、以及来自新闻组等的新闻稿(posting)等资源。因此，希望提供一种过滤远程设备的从计算机网络访问资源的请求的系统。因此，希望提供一种实现上述目标的过滤系统和方法，且为此目的做出本发明。

发明内容

根据本发明，提供一种如所附权利要求所述的装置和方法。从从属权利要求显然可见本发明的优选特征，以下对其进行说明。

提供一种过滤系统和方法，该系统和方法允许监控并过滤远程设备的资源访问。优选系统允许公司将其企业许可使用策略扩展到办公室墙壁之外。特别地，该系统允许企业管理如移动或远程雇员以及在家工作的雇员等所使用的远程设备访问的资源。本发明还为该系统提供计算机和客户端。

在优选实施例中，该系统包括安装在与计算机进行通信的远程设备上的客户端。该远程设备与计算机进行远程通信，例如该远程设备不是同一个局域网中的一部分。典型地，该远程设备通过因特网等全球网或广域网进行通信。服务器计算机监控并且过滤该远程设备的资源访问请求。客户端具有收集有关该设备访问资源的请求的信息的模块和将所收集的信息传送给计算机的模块。该计算机具有基于所收集的信息对设备的资源访问进行分类的模块和将资源访问决策实时传送给客户端的模块。然后，客户端基于计算机的资源访问决策来控制所述设备对资源的访问。

在特别优选实施例中，资源访问决策是“允许”或者“阻止”决策中的一个。也就是说，该决策或者允许所述设备访问所请求的资源，或者阻止所述设备访问所请求的资源。优点是，客户端需要最小的处理能力和存储器，并且增加了可以支持过滤系统的设备的数量和类型。

存在客户端设备不能与计算机连接的情况。当设备失去与过滤系统的服务器的连接时，离线功能允许客户端根据预定策略继续过滤该设备的资源访问。理论上，该预定策略在服务器上被集中管理，且服务器设置离线过滤功能的模式。在一个模式下，客户端可允许所有访问请求，且生成这些资源访问的日志。一旦客户端与服务器重新建立连接，就将该日志传送回服务器。

许多设备可以本地和远程地使用。也就是说，例如当用户在公司办公室里时，在局域网内本地地使用设备。在其它时间，例如当用户正在旅游或者在家工作时，远程地使用同样的设备。存在有效地管理这两种环境下的资源访问请求的过滤的需求。在优选实施例中，该系统包括检测是否通过企业网络传送所请求的资源并且禁止对正通过企业网络传送的所请求的资源的过滤的模块。

优选非过滤端口过滤功能允许系统对没有被明确标识为过滤端口的TCP端口指定过滤策略，从而甚至可以以某种方式过滤非过滤端口。

同样，优选系统允许管理员对各客户端在高灵敏度级别、中灵敏度级别、低灵敏度级别或者自动灵敏度级别之间调整过滤灵敏度级别。可以例如对具有便携式电话的GPRS连接等低速因特网连接的设备调节该过滤灵敏度级别。

该系统可提供允许系统生成关于连接到服务器的各设备或者所有设备的资源访问的报告的监控能力。

例如，由于公司更有能力控制在工作时间期间对不合适网站的访问，优选系统可以减小公司的法律责任。由于可以将工作时间期间的任何因特网访问限制为工作相关的网站，因此该系统可以提高雇员生产率。该系统还可以提供网络安全，因为该系统能够保护免受可通过使用外部调制解调器的雇员或者因特网服务提供商而进入工作地点的病毒和恶意内容的攻击。

附图说明

为了更好地理解本发明，以及示出如何实施本发明的实施例，现在作为例子参考附图，在附图中：

图1是示出根据本发明的设备资源访问过滤和监控系统的例子的图；

图2是更详细示出图1所示的设备资源访问过滤和监控系统的图；

图3是进一步详细示出设备资源访问过滤和监控系统的客户端/服务器实施例的图，示出设备和服务器的更多细节；

图4是更详细示出图3的系统的服务器部分的图；

图5是更详细示出图3的系统的客户端部分的图；

图6A和6B示出安装根据本发明的设备资源访问过滤和监控系统的两个不同例子；

图7示出系统的客户端管理员模块的典型实现的用户界面的例子；以及

图8示出系统的规则管理员模块的实现的用户界面的例子。

具体实施方式

本发明尤其适用于基于客户端/服务器的计算机实现的、基于软件的设备资源访问过滤和监控系统，并且以此为背景来说明本发明。然而，应该理解，因为可以使用各种不同的计算机结构并且可以通过各种不同的远程设备来实现该系统，所以根据本发明的系统和方法具有更大的实用性。可以使用任何计算设备来实现该系统，其中，所述计算设备至少具有处理器、存储器和输入/输出设备，其足够的计算能力使得该计算设备能够与该系统相互作用并且执行在此说明的基本过滤功能，因为各客户端不一定能够执行以下说明的所有功能。可以以软件或者硬件来实现该系统。在软件实施例中，该系统包括服务器中的一个或者多个软件模块以及客户端中的一个或者多个模块，其中各模块可进一步包括由服务器或者客户端的处理器执行的多行计算机代码。现在，说明远程设备监控系统的实施例。

图1是示出根据本发明的设备资源访问过滤系统30的例子的图。系统30允许监控通过该实施例中的因特网、广域网(wide areanetwork，WAN)、局域网(local area network，LAN)、城域网(metropolitan area network，MAN)或者万维网等计算机网络36连接到该实施例中具有服务器软件34的计算机等远程计算机设备33的设备32(具有被认为是客户端48的软件代码)，并且允许过滤该设备对站点38上的资源的访问。站点38是由设备32的用户所请求的资源的源。更详细地说，服务器34能够远程地过滤(控制和/或分析)该设备对资源的访问。根据本发明，实现设备32的这种远程监控的功能在设备32和服务器34之间分离。这减小了设备32和服务器34之间的网络流量，并允许集中控制和监控对包括电子邮件、网页、文件传输协议(file transfer protocol，FTP)站点、新闻组等各种资源的访问。根据本发明，服务器34还可以接收与对资源试图进行的访问有关的数据，以判断是否允许该设备从与对站点38的访问请求有关的地址接收内容、下载数据等。该设备和服务器可以使用基于私有协议(proprietary protocol)的特定协议相互进行通信。该系统提供计算机网络访问的实时过滤，从而优选实施例中的服务器34等远程计算机33用来进行和/或调整过滤决策。

由于期望客户端48在各种远程网络(企业对该远程网络可能几乎没有控制或没有控制)中工作，因而使该系统的协议与远程网络的协议尽可能地兼容，使得客户端48可以在该远程网络上工作。例如，协议与防火墙和代理机兼容。该协议处理并且使各种不同的设备与不同的数据格式和能力相适应，从而该协议对不同的设备提供字符串和数字的标准数据格式。该协议还在大小上紧凑，因为可能需要服务器处理大量使用有限带宽的客户端，而且客户端必须使用到服务器的低速因特网连接。根据本发明的优选实施例，该协议利用使用HTTP封装的TCP端口80上的超文本传输协议(hyPertexttransfer protocol，HTTP)，以提高与多种网络的兼容性。对于允许访问因特网的那些网络，最基本的访问是涉及通过端口80的输出连接请求的Web访问，从而端口80典型地可用且用于该协议。一些网络仅允许经由预期HTTP类型请求和应答的代理服务器的因特网Web访问，从而将HTTP协议用于该系统。而且，一些防火墙可以检查因特网访问，并且当端口80用于除HTTP之外的协议时发出警报，从而该系统的协议使用HTTP。

根据本发明，该系统可以将HTTP协议用于客户端48的请求和服务器34对客户端返回的应答。对于HTTP，仅客户端48可以发起通信，且客户端48通过进行众所周知的HTTP POST以识别客户端正与任何参数数据一起请求哪种操作而发起通信。该请求的格式的例子如下：

POSThttp://[Nomad_Module_Path]？[Operation_Code]HTTP/1.1\r\n

Host:[Host]\r\n

Content-Length:[Size_of_Encoded_Data]\r\n

Content-Type:application/x-www-form-urlencoded\r\n\r\n

[Encoded_Data]

对于从服务器到客户端的应答，协议再次模拟HTTP协议，从而返回的数据看起来是网页。该应答的格式的例子如下：

Content-Type:text/html\r\n

SMF

</title></head><body>

[Encoded_Data]

</body></html>

协议的操作代码(参见上述请求格式例子中的[Operation_Code]变量)指定可以使用系统协议请求的各种操作。[Encoded Data]将所收集的信息从客户端48提供给服务器34并且从服务器34向远程设备32上的客户端48返回资源访问决策。

返回图1，设备32可以是具有足够的计算资源来进行以下详细说明的过滤功能的任何计算设备，从而设备32必须至少具有处理器、一些存储器和一些用于从计算机网络访问资源的机构。例如，设备32可以是具有足够的计算资源来完成计算机网络访问等的便携式电话、个人数字助理、个人计算机、膝上型计算机、掌上型计算机或者器具。因此，该设备可包括无线设备、便携式电话设备、无线电子邮件设备、无线个人数字助理设备，例如Palm设备、Treo设备、RIM Blackberry设备，还可以包括有线个人计算机、有线膝上型计算机或者无线连接的计算设备。根据本发明，该系统可以进行各种过滤功能，且各设备不一定必须能够支持此处所述的所有过滤功能。例如，便携式电话不可能具有足够的存储器以存储“允许和日志(Allow and Log)”的离线模式所需的加密URL列表。因此，期望警告该系统正要进行过滤的各设备的过滤能力。根据本发明，能力掩码(capability mask)可用于该目的。特别地，当设备32登录到该系统时，该设备将其能力掩码传送给服务器，该能力掩码用来通知服务器该设备基于特定设备及其特性可以和/或不可以提供的功能。

站点38可存储能通过计算机网络访问的任何资源，例如电子邮件、下载的数据(PDF文件、文本文件、word文档、HTML文件、zip文件等)、FTP站点或者TELNET服务器。尽管为了说明示出客户端/服务器结构，然而本发明不限于任何特定系统结构(以及系统内计算机的关系)。例如，可以使用远程计算机34的功能被分布的对等结构来实现该系统。而且，由于可将该系统配置成处理任何类型的资源或者任何新资源或者新类型的资源，因此本发明不限于任何特定类型的资源。

图2是更详细示出图1所示的系统30的例子的图。在该例子中，设备32可以是能够访问站点38(参见图1)上的资源并被作为该例子中的典型服务器计算机的计算机34监控的个人计算机。该设备可包括以公知的方式彼此连接的一个或多个处理器40、永久存储设备42和存储器44。永久存储设备可包括允许当设备32断电时存储数据和指令的例如闪存、硬盘驱动器、可重写光盘驱动器、可移动介质驱动器或者其它存储机构等非易失性存储器。存储器44可以是例如当给该设备供电时暂时存储由处理器40执行的数据和指令的SRAM、DRAM或者其它结构。设备32还可包括用于访问站点38和服务器34的一些机构(未示出)，例如有线连接(例如线缆调制解调器和线缆)或者无线连接(例如802.11链路、蜂窝链路或者GPRS链路)。设备32还可包括在该设备的工作期间位于存储器44内且由已知的处理器40执行的操作系统46。本发明不限于任何特定类型的操作系统，且可以通过各种不同的操作系统来实现。为了实现根据本发明的过滤和监控系统，设备32还可包括存储在存储器44内且由处理器40执行以进行以下更详细说明的过滤系统的客户端功能的客户端48(在该例子中作为包含多行计算机指令和数据的软件应用程序/软件模块示出)。在本发明的优选实施例中，客户端还包括一个或者多个具有多行计算机代码的软件模块，其中每个模块执行过滤系统的不同功能且模块的组合实现客户端功能。客户端48还可以作为插入设备32中的插入式介质卡等混合硬件/软件设备来实现，或者作为将客户端嵌入ASIC中的ASIC等硬件设备来实现。在本发明的一个实施例中，当设备32的用户试图访问图1所示的站点38上的资源等远程资源时，客户端48拦截该访问并且收集关于该访问的数据，然后将该访问传送到服务器34。在本发明的另一实施例中，客户端48还可收集关于资源访问的数据，然后自己做出关于访问请求的判断。可以对特定用户定制各用户(和/或各设备)的访问级别。

服务器34还可包括如众所周知的那样互相连接在一起的一个或者多个处理器50、永久存储设备52和存储器54。该服务器还可包括存储与根据本发明的过滤系统有关的数据和软件代码的数据库56。该服务器还可包括已知的操作系统58以及在该例子中作为位于存储器54内的软件示出的过滤/分类模块60，在本发明的一个实施例中该过滤/分类模块60用来处理资源访问请求并且判断设备32是否可以访问站点38上的资源。模块60(优选地包括一个或者多个软件模块)实现包括与过滤系统有关的管理功能的过滤系统的不同功能，并且模块60可以与数据库56相互作用以请求并且将数据存储在与过滤动作有关的数据库中。

为了唯一地识别各设备32，对各设备分配唯一的标识符，该标识符将结构和过滤请求连接到特定设备，并且允许将特定设备的过滤日志存储到数据库中。另外，唯一标识符和各设备32到服务器的初始登录的结合减小了当服务器34正在进行过滤决策时，在各资源访问请求期间在设备32和计算机34之间传输的数据量。在本发明的该实施例中，过滤系统允许实时地过滤设备对远程资源的访问，其中服务器用来完成过滤决策。也就是说，服务器进行系统的大部分处理和存储工作负荷，需要客户端做的工作很少。在本发明的另一实施例中，设备可以进行其自身的过滤决策。特别地，当服务器对设备不可用时，客户端以服务器指定的离线模式工作，例如客户端将访问记入日志，然后当重新建立连接时将日志上载到服务器。

图3是进一步详细示出设备资源访问过滤和监控系统的客户端/服务器实施例的图，其更详细示出设备32和服务器34。在该例子中，设备32可包括一个或者多个可用在典型个人计算机上的典型软件应用程序，例如网络浏览器70、AOL浏览器72、OutlookExpress74、Outlook76、FTP客户端(未示出)、Gopher客户端(未示出)和/或新闻读取器78。当使用试图访问远程资源的任何典型软件应用程序时，由客户端48拦截关于远程资源访问的信息，以便可将该信息发送到服务器34来判断对特定设备是否应该允许对特定资源的访问。在一个实施例中，在服务器34侧，服务器还包括用于从设备32上的客户端48接收数据的Microsoft因特网信息服务器(Internet Information Server，IIS)80。本发明不限于使用IIS，且可以以其它方式来实现。然后，IIS服务器80可将该信息传送到IIS插件(plug-in)82，该插件将数据传送到分类引擎84。IIS插件82可使用客户端数据库56a(优选实施例中的图2所示的数据库56的一部分或者单独的数据库)来确定与设备32有关的特定客户端，其中可以使用管理模块86来维持该客户端数据库。管理模块可包括例如安装在远程设备上的所有被监控的客户端列表、以及可以存储在客户端数据库56a中的各客户端的设置，如参照图7更详细所述。

IIS插件82还可包括离线过滤模块、非过滤端口模块和/或过滤灵敏度模块。然后，服务器34可将特定客户端的离线模式、非过滤端口模式和过滤灵敏度设置传送到客户端，该客户端然后实施离线过滤、非过滤端口过滤和过滤灵敏度级别。客户端可包括离线过滤模块、非过滤端口模块和过滤灵敏度模块，其中各模块实现客户端的各功能，并且各模块可以作为由客户端所在的设备的处理器执行的多行计算机代码来实现。

分类引擎84可从由规则管理模块88维持的规则数据库56b(优选实施例的图2中的数据库56的一部分或者单独数据库)中取出分类规则。规则管理模块88还可用来创建如下参照图8更详细说明的新规则。分类引擎可将其结果存储在由监控器模块90维持的监控数据库56c(优选实施例的图2中的数据库56的一部分或者单独数据库)。监控器模块90可以例如收集并且显示关于各客户端或者所有客户端的网络冲浪习惯(Web surfing habits)的信息。监控器模块90还可包括当请求连接时，允许监控系统的用户对设备的远程用户示出因特网连接的实时监控器模块(未示出)。根据本发明，分类引擎可以基于一个或者多个数据对特定信息请求进行分类。可以主要基于将由设备访问的站点地址来对信息请求进行分类。分类引擎还可使用1)设备的主机名或者服务器侧的可配置的可选名(当设备没有主机名时)；和/或2)设备的当前用户名或者服务器侧的可配置的可选名(用于没有用户名的设备)。因此，对于特定设备/用户，可以配置分类标准(以及可访问资源)。例如，可以根据雇员资历或者在公司内的地位来改变访问级别。管理员模块(未示出)可包括允许用户设置数据库更新、数据库维持任务等在服务器上自动发生的事件的调度程序(scheduler)。管理员模块还允许用户对站点进行分类/再分类。虚拟控制代理(virtual control agent)(未示出)是使用人工智能以自动访问并且对已被用户访问且那时还没有分类的站点进行分类的可选模块。管理员模块还具有网络报告模块，从而系统可以生成关于客户端数据和冲浪习惯的报告。远程计算机34的各种模块可以是都具有实现此处说明的功能的多行代码的软件。

图4是更详细示出本发明的设备客户端/服务器实施例的服务器部分34的图，图5是更详细示出本发明的设备客户端/服务器实施例的设备32部分的图。如图4所示，示出了服务器34的实现，其中SQL数据库用来存储系统和网络过滤规则引擎服务的数据。以下将参照图8更详细说明根据本发明的过滤规则以及如何创建该规则的例子。如图5所示，设备上的客户端48还包括用户界面部分100、客户端通信层102、网络拦截器层104和存储如下所述的日志文件以及特定客户端48的配置的存储介质106。在优选实施例中，这些部分和层中的每一个都是由设备的处理器执行的软件。用户界面部分100生成显示给用户的监控系统的用户界面，并且可包括配置用户界面屏幕。网络拦截器层104可从对外部站点的资源访问请求中收集数据，而客户端通信层102可将该数据格式化成格式以发送到服务器34，接收服务器的资源访问决策，并且实现该决策。

在根据本发明的系统的正常工作期间，设备可以发起对Amazon.com的网页等远程站点上的资源的资源访问请求，且客户端48捕获站点地址等与该请求有关的数据。客户端还可收集设备标识符以及其它设备数据，然后将资源访问请求数据传送给服务器34。然后，服务器可基于该资源访问请求数据，做出分类/过滤决策，以生成资源访问决策，然后将该资源访问决策发送回客户端48，使得客户端可以采取适当的动作。因此，远程服务器可以对设备32的资源访问请求进行实时监控和过滤。然而，如果(出于任何原因)服务器34对设备不可用，那么设备可以进行设备32负责其自身的监控和过滤的离线过滤。在客户端连接到因特网的情况下，当设备(客户端)不能连接到服务器时，设备将例如每5分钟定期试图进行重新连接。

在离线过滤期间，设备/客户端可通过服务器根据特定客户端的配置以不同的工作模式工作。例如，客户端48可允许所有因特网访问，但是将各资源访问请求记入本地日志文件(“日志和允许”模式)，然后可将该本地日志文件上载到服务器。可选地，客户端可以阻止所有因特网访问(“阻止所有”模式)或者不进行日志记录而允许所有因特网访问(“允许所有”模式)。根据本发明，可以将记录在客户端上的离线日志存储在设备的本地存储器中，例如上述存储器或者永久存储设备。如果稍后将日志上载到服务器，则可在设备上删除日志文件。在优选实施例中，可以对日志文件进行加密。日志文件还可以包括一些基本监控能力以检测客户端的未授权篡改。根据本发明，离线日志上载可包括带宽限制，从而当服务器重新在线时，其不会由于许多客户端都试图将日志上载到服务器而超负荷。

根据本发明，服务器可包括管理员模块86，其允许公司的信息总监(Chief Information Officer)等系统管理员或者客户端自身(使用自动算法)来调整根据本发明的过滤和监控系统的工作。例如，可以定制/调整各设备的该系统的过滤灵敏度(在特定设备上过滤因特网访问的级别)，从而可以对特定设备减少被过滤的因特网流量的量，这减少该设备的专用于监控和过滤工作的带宽量。例如，具有便携式电话的GPRS等慢速因特网连接的设备可以调整其灵敏度。根据本发明，可以基于任何设备的任何特定特性来调整该设备的过滤灵敏度。在系统的优选实施例中，存在高过滤级别、中过滤级别、低过滤级别和自动过滤级别。在高过滤灵敏度级别，系统可以例如过滤所有非超文本传输协议(HTTP)端口和所有HTTP请求，从而该设置过滤包括例如弹出广告的所有资源。高过滤灵敏度提供非常彻底的过滤，但是如果设备在进行大量资源访问请求，则可能影响过滤速度和性能。在中灵敏度级别，对所有非HTTP端口进行分类，但是仅对HTTP网页请求进行分类，而不对图像文件、声音文件、样式单和XML请求进行分类。在低灵敏度级别，对所有非HTTP端口进行分类，但是仅对HTTP请求的服务器地址部分进行分类，且可将结果缓冲存储非常短的一段时间。在自动灵敏度级别，客户端基于平均服务器应答时间(应答等待时间(latency))和预定的阈值选择高、中或低级别。对于自动模式，客户端可包括调整灵敏度的代码。例如，当应答等待时间少于预定时间段时可以使用高级别，然后将其复位成中级别。

根据本发明，系统可以过滤所有TCP/IP端口，其中，将一些端口看作直接对站点38的资源进行的或者通过代理服务器进行的HTTP网络请求。为了对到端口的设备访问减少与服务器的不必要的通信，其中特定公司对过滤或者监控该端口不感兴趣，可以(通过服务器)通知设备32哪些端口将被传送给服务器以及哪些端口将被当成HTTP网络请求。因此，可以对特定公司将服务器配置成具有非过滤端口(不传送给服务器的端口列表)。根据本发明，在设备的登录过程期间将待过滤和/或被当成HTTP请求的端口列表传送到设备。然后，客户端可进行非过滤端口动作，该动作是当在设备上执行的应用程序试图访问非过滤端口时进行的自动动作。在该系统的当前实现和一个实施例中，将过滤端口列表和HTTP端口列表硬编码到服务器软件中。在本发明的另一实施例中，服务器可以分析(可被调整/定制的)规则集/列，且根据该规则自动生成被监控端口列表。非过滤端口动作可包括例如允许所有这些端口请求的允许所有选项(“允许所有”模式)、阻止对所有非过滤端口的访问的阻止所有选项(“阻止所有”模式)以及将端口请求传送到服务器的过滤选项(“过滤”模式)，该服务器用于在典型网络过滤中通常影响所有端口的规则，例如阻止每个人看到色情内容。

图6A和6B是安装根据本发明的过滤系统的两个不同的例子。对于每种安装，将服务器34定位成使得设备32(具有客户端)可以通过TCP端口80访问服务器。在图6A中，可以将服务器34定位在主要受保护网络112(具有其内部计算设备114)外，并如图所示将其通过网桥/路由器/防火墙设备110连接到公司网络，使得设备32可以访问服务器34。在图6B所示的例子中，可以使服务器34位于网络112内，然后，必须将防火墙110配置成只要流量指向服务器34就允许TCP端口80上的流量。在这两种情况下，设备32都能和服务器34进行通信，因此服务器可以进行远程监控和过滤操作。

图7示出客户端管理员模块的典型实现的用户界面120的例子。管理员是系统的主要管理点，并且提供各远程设备的可定制说明和各特定设备的设置。用户界面120包括概要部分122和客户端细节部分124，其中概要部分122列出当前进入或者登录到系统中的所有客户端(为了简单在该例子中仅示出一个)。当管理员模块的用户从概要部分选择特定客户端时，客户端细节部分124示出特定客户端和正在执行客户端的设备的详细设置和其它信息。客户端细节部分124还可包括客户端信息部分126和客户端设置部分128，其中客户端信息部分列出关于所选择的特定客户端/设备的信息，且客户端设置部分允许管理员调整/设置/复位特定客户端/设备的过滤/监控的设置。如客户端信息部分所示，各客户端具有用来唯一地识别各客户端安装的唯一标识符(图7所示的客户端ID)，从而可将各客户端的设置存储在数据库中。

在客户端设置部分128中，管理员可以设置各种过滤和监控设置，包括例如离线动作设置130、非过滤端口设置132、过滤灵敏度设置134、用户名设置136和主机名设置138。如上所述，离线动作设置130允许管理员选择当服务器对客户端不可用时客户端将如何工作的选项，且在优选实施例中，可以从“允许所有”“阻止所有”或者“日志和允许”中选择离线动作。非过滤端口设置132允许管理员设置当未包括在过滤端口中的端口被设备的用户访问时特定客户端应该怎样工作。在本发明的优选实施例中，为了减少客户端和服务器之间的总流量，选择要被监控的TCP端口的所选择列表。可以使用管理员模块来更改被监控的端口的实际选择。默认的TCP端口列表可包括，例如：

端口	应用程序	编号
端口	应用程序	编号	HTTP	网络流量	80，8000，8080
HTTPS	安全网络流量	443	HTTP	网络流量	80，8000，8080
HTTPS	安全网络流量	443	FTP	文件传输	21
NNTP	新闻组	119	FTP	文件传输	21
NNTP	新闻组	119	POP3	电子邮件(接收)	110
SMTP	电子邮件(发送)	25	POP3	电子邮件(接收)	110
SMTP	电子邮件(发送)	25	AOL	美国在线	11523

因此，对于没有被管理员指定为过滤端口或者添加到被监控端口的任何端口，将应用非过滤端口设置。如上所述，在优选实施例中，非过滤端口选择可包括允许所有、阻止所有和过滤模式。过滤灵敏度设置134允许管理员对客户端设置过滤的灵敏度级别。如上所述，在优选实施例中，选择可包括高过滤级别、中过滤级别、低过滤级别和自动过滤级别。

一般说来，过滤规则可基于用户名或者主机名。因此，如果由规则指定用户名，则不考虑用户正在使用的设备而应用用户过滤规则。如果在规则中指定主机名，则不考虑哪个用户登录到特定设备而将基于主机名的规则应用于该特定设备。因此，用户名设置136允许管理员设置应用于特定设备的用户。对于客户端设备的所有过滤决策，由服务器使用该用户名。然后可以使用该名称来检查规则数据库中的规则以对特定客户端用户确定合适的过滤。在优选实施例中，用户名设置允许管理员从客户端指定名称模式、服务器覆盖模式(override mode)或者服务器默认模式中进行选择。在客户端指定模式下，当用户登录到执行客户端的设备时，客户端将用作用户名的用户登录名发送到服务器。在服务器覆盖模式下，管理员可以指定将该用户识别为组织成员的名称，例如工程师、秘书、移动雇员等，而不将用户具体定义为个人，从而将该组织的过滤规则应用于特定用户。例如，公司可能有许多旅游保险推销员使用的移动设备，根据“推销员”的角色，而不是根据其个人用户名，来过滤使用这些移动设备的任何人。因此，可以创建允许“推销员”进入工作需要的特定场所的规则。当客户端不能提供如移动电话等用户名时，也可以使用该模式。当不使用客户端指定模式和服务器覆盖模式时，使用服务器默认模式，从而仍能以一定级别过滤该设备。主机名设置138指定实际设备(与设备的用户相对比)，使得可以将(具有特定特征的)设备或者设备组分组在一起、不考虑使用该设备的个人而根据该组设备的过滤规则对其进行识别和过滤。在优选实施例中，主机名设置允许管理员从客户端指定主机名模式、服务器覆盖模式和服务器默认模式中进行选择。在客户端指定模式下，当用户登录到设备时，该设备的客户端将该设备的网络名提供给服务器。在服务器覆盖模式，主机名用来将设备识别为用于不能提供主机名的移动电话等设备的组的成员。在服务器默认模式下，当不使用客户端指定模式和服务器覆盖模式时使用主机名，从而仍能以一定级别过滤该设备。

图8示出规则管理员模块的实现的用户界面150的例子。规则管理员允许系统的授权用户创建一个或者多个过滤规则。用户界面将各规则152作为显示中的一行示出，该行具有各规则的不同特征/设置，例如布置在显示的不同列中的规则类型、规则应用的用户/设备、规则应用的内容类型、规则的阈值以及规则的通知特性。规则的类型包括允许(允许规则指定的内容)、禁止(不允许规则指定的内容)或者阈值(如果在阈值以内，则允许规则指定的内容)。对于阈值规则，例如，可允许规则指定的用户访问因特网一段所设置的时间。对于各规则，管理员可以指定在过滤操作期间应用规则的客户端/设备或者客户端或设备的组。对于各规则，管理员可以指定待过滤的内容类型。例如，如图8所示，该内容可以是色情/性暴露、旅游、赌博、可执行文件等，然而可以创建规则以过滤任何类型的内容，并且可以将任何类型的内容添加到系统中，使得将来可以过滤新类型的内容。各规则还指定应用规则的时间，例如任何时间、下班后和周末、工作时间等，其中可以给不同的时间段新的名称，然后由用户指定该时间段。各规则还可具有如上所述的阈值、以及指定当用户正在访问某内容时通知给系统中的谁的通知特性。

根据本发明，由规则管理员生成的过滤规则可以管理在什么时间谁可以访问因特网的什么区域。该规则可以是肯定的(允许访问站点，“性暴露”等站点种类或者资源)或者否定的(拒绝访问站点，站点种类或资源)。一般说来，各规则可包含指定各过滤规则的不同特性的类型(Type)对象、人物(Who)对象、过滤内容(Where)对象、时间(When)对象、通知(Notify)对象、阈值(Threshold)对象和HTTP拒绝对象(在图8中仅示出其中一些)。类型对象包含指定规则是允许、禁止还是阈值规则的数据。人物对象包含指定应用规则的个人的数据，其中对象可以指定个人、一组人、任何人、没有人等。过滤内容对象包含指定所请求资源的源头(例如网站)，但是也可以指定例如“性暴露”或者“ftp”等网站种类的数据。时间对象包含指定当允许资源请求或者拒绝资源请求时的时间和/或日子的数据。通知对象包含当特定资源请求触发该规则时指定可通过例如电子邮件通知的一个或多个个人的数据。阈值对象包含指定在特定时间段冲浪的数据量或者所花费的时间的限制的数据。HTTP拒绝对象包含当触发规则时指定将特定类型的(严厉、强烈或温和的)拒绝网页发送给用户的数据。对各新规则，规则管理员允许用户通过输入信息并且利用下拉式菜单来指定规则的这些特性。

根据本发明，系统过滤远离企业网络的设备。期望当特定设备返回企业网络时，例如在路上使用的膝上型电脑又连接到企业网络中，只要该特定设备位于企业网络内，就对该特定设备使用(例如固定雇员的)企业网络的过滤策略。根据本发明，客户端可能包括软件模块，该软件模块用于检测是否通过企业网络传送设备的特定资源请求(例如当客户端所在的设备连接到企业网络时)，以对通过企业网络传送的那些资源请求禁止客户端过滤功能，从而可以使用企业网络过滤策略。作为另一个例子，可将设备连接到企业网络，还可将设备连接到无线调制解调器，且可对通过无线调制解调器传送的资源请求使用客户端过滤，而不对通过企业网络传送的资源请求使用客户端过滤。

尽管已示出且说明了一些优选实施例，但是本领域技术人员应该理解，在不脱离所附权利要求书所规定的本发明的范围的情况下，可以做出各种变化和修改。

关注与本申请相关的与该说明书同时或者之前提交的且与本说明书一起公开的所有文章和文档，通过引用将所有这些文章和文档的内容包括在此。

除了在本说明书(包括所附权利要求书、摘要和附图)中公开的所有特征和/或公开的任何方法或处理的所有步骤中的至少一些特征和/或步骤相互独立的组合之外，这些特征和/或步骤可以以任何方式进行组合。

除了另有明确说明之外，在本说明书(包括所附权利要求书、摘要和附图)中公开的各特征可以被用作相同、等同或者相似目的的可选特征代替。因此，除了另有明确说明，所公开的各特征仅是一类等同或者相似特征的一个例子。

本发明不限于前述实施例的细节。本发明延伸至本说明书(包括所附权利要求书、摘要和附图)中所公开的特征的任何新特征或者任何新组合，或者延伸至所公开的任何方法或者处理的步骤的任何新步骤或者任何新组合。

Claims

1.一种资源访问过滤系统，其包括：

计算机(33)；

设备(32)上的客户端(48)，其中所述客户端(48)建立与所述计算机(33)的远程连接，所述客户端(48)还包括收集关于由所述设备(32)访问资源的请求的信息的模块和将所收集的信息传送给所述计算机(33)的模块；以及

所述计算机(33)还包括基于所收集的信息对所述设备(32)的资源访问进行分类的模块和将资源访问决策实时传送给所述客户端(48)使得所述客户端(48)基于所述计算机(33)的所述资源访问决策控制所述设备(32)对资源的访问的模块。

2.根据权利要求1所述的资源访问过滤方法，其特征在于，所述资源访问决策向所述客户端(48)提供允许决策或者阻止决策，由此所述客户端(48)允许或者阻止对所请求的资源的访问。

3.根据权利要求1或2所述的资源访问过滤系统，其特征在于，所述客户端(48)还包括检测是否通过企业网络传送所请求的资源，且禁止客户端对通过企业网络传送的所请求的资源进行过滤的模块。

4.根据权利要求1、2或3所述的资源访问过滤系统，其特征在于，所述客户端(48)还包括当所述客户端(48)不能与所述计算机(33)进行通信时控制所述设备(32)的资源访问的离线过滤模块。

5.根据权利要求4所述的资源访问过滤系统，其特征在于，所述离线过滤模块提供包括允许所有资源访问模式、阻止所有资源访问模式和允许所有带日志资源访问模式的一种或多种模式。

6.根据权利要求5所述的资源访问过滤系统，其特征在于，所述允许所有带日志资源访问模式还包括用于限制上载到所述计算机(33)的离线日志以控制所述离线日志所利用的带宽的模块。

7.根据权利要求4、5或6所述的资源访问过滤系统，其特征在于，由所述计算机(33)选择离线过滤模块的模式。

8.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，所述客户端(48)具有从所述计算机(33)下载的过滤端口列表，该列表显示将被过滤的端口和被当作HTTP端口的端口。

9.根据权利要求8所述的资源访问过滤系统，其特征在于，所述客户端(48)还包括控制所述设备(32)对没有明确标识为过滤端口的端口的资源访问的非过滤端口模块。

10.根据权利要求9所述的资源访问过滤系统，其特征在于，所述非过滤端口模块还包括允许所有资源访问模式、阻止所有资源访问模式以及向计算机(33)请求进行过滤和/或记入日志的模式。

11.根据权利要求8、9或10所述的资源访问过滤系统，其特征在于，由所述计算机(33)选择非过滤端口模块的模式。

12.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，所述客户端(48)还包括控制所述客户端(48)的资源访问的过滤级别的过滤灵敏度模块，由此所述客户端(48)基于所述过滤级别判断是否向所述计算机(33)提供所收集的信息。

13.根据权利要求12所述的资源访问过滤系统，其特征在于，所述过滤灵敏度模块还包括高灵敏度级别模式、中灵敏度级别模式、低灵敏度级别模式和自动灵敏度级别模式。

14.根据权利要求12或13所述的资源访问过滤系统，其特征在于，由所述计算机(33)选择所述过滤灵敏度模块的模式。

15.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，所述计算机(33)还包括监控连接到所述计算机(33)的设备的资源访问以生成所述设备的资源访问汇总的监控模块。

16.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，被访问的资源包括网页、文件传输协议站点、电子邮件站点、安全网站、新闻站点中的任何一个。

17.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，所述设备(32)包括个人数字助理、便携式电话、个人计算机、膝上型计算机、掌上型计算机和器具中的任何一个。

18.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，所述客户端(48)还包括生成所述设备(32)的能力掩码并将该能力掩码传送给所述计算机(33)的模块，所述能力掩码包含关于所述设备(32)的过滤能力的信息。

19.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，在所述客户端(48)和所述计算机(33)之间通过TCP端口80使用超本文传输协议来传送所收集的信息和所述资源访问决策。

20.根据权利要求19所述的资源访问过滤系统，其特征在于，所收集的信息的协议还包括超文本传输协议POST操作。

21.根据前述任一项权利要求所述的资源访问过滤系统，其特征在于，所述资源访问决策的协议还包括网页格式的数据。

22.一种资源访问过滤方法，其使用计算机(33)和建立到所述计算机(33)的连接的设备(32)上的客户端(48)，该方法包括：

由所述客户端(48)收集关于由所述设备(32)访问资源的请求的信息；

通过远程通信将所收集的信息传送给所述计算机(33)；

在所述计算机(33)上，基于所收集的信息对所述设备(32)的资源访问进行分类；以及

将资源访问决策实时传送给所述客户端(48)，使得所述客户端(48)基于所述计算机(33)的所述资源访问决策控制所述设备(32)对资源的访问。

23.根据权利要求22所述的资源访问过滤方法，其特征在于，所述资源访问决策向所述客户端(48)提供允许决策或者阻止决策，由此所述客户端(48)允许或者阻止对所请求的资源的访问。

24.根据权利要求22或23所述的资源访问过滤方法，其特征在于，所述客户端(48)还包括检测是否通过企业网络传送所请求的资源，且禁止客户端对通过企业网络传送的所请求的资源进行过滤的模块。

25.根据权利要求22、23或24所述的资源访问过滤方法，其特征在于，所述客户端(48)还包括当所述客户端(48)不能与所述计算机(33)进行通信时控制所述设备(32)的资源访问的离线过滤模块。

26.根据权利要求25所述的资源访问过滤方法，其特征在于，所述离线过滤模块提供包括允许所有资源访问模式、阻止所有资源访问模式和允许所有带日志资源访问模式的一种或多种模式。

27.根据权利要求26所述的资源访问过滤方法，其特征在于，所述允许所有带日志资源访问模式还包括用于限制上载到所述计算机(33)的离线日志以控制所述离线日志所利用的带宽的模块。

28.根据权利要求25、26或27所述的资源访问过滤方法，其特征在于，由所述计算机(33)选择离线过滤模块的模式。

29.根据权利要求22～28中任一项所述的资源访问过滤方法，其特征在于，所述客户端(48)具有从所述计算机(33)下载的过滤端口列表，该列表显示将被过滤的端口和被当作HTTP端口的端口。

30.根据权利要求29所述的资源访问过滤方法，其特征在于，所述客户端(48)还包括控制所述设备(32)对没有明确标识为过滤端口的端口的资源访问的非过滤端口模块。

31.根据权利要求30所述的资源访问过滤方法，其特征在于，所述非过滤端口模块还包括允许所有资源访问模式、阻止所有资源访问模式以及向计算机(33)请求进行过滤和/或记入日志的模式。

32.根据权利要求29、30或31所述的资源访问过滤方法，其特征在于，由所述计算机(33)选择非过滤端口模块的模式。

33.根据权利要求22～32中任一项所述的资源访问过滤方法，其特征在于，所述客户端(48)还包括控制所述客户端(48)的资源访问的过滤级别的过滤灵敏度模块，由此所述客户端(48)基于所述过滤级别判断是否向所述计算机(33)提供所收集的信息。

34.根据权利要求33所述的资源访问过滤方法，其特征在于，所述过滤灵敏度模块还包括高灵敏度级别模式、中灵敏度级别模式、低灵敏度级别模式和自动灵敏度级别模式。

35.根据权利要求33或34所述的资源访问过滤方法，其特征在于，由所述计算机(33)选择所述过滤灵敏度模块的模式。

36.根据权利要求22～35中任一项所述的资源访问过滤方法，其特征在于，所述计算机(33)还包括监控连接到所述计算机(33)的设备的资源访问以生成所述设备的资源访问汇总的监控模块。

37.根据权利要求22～36中任一项所述的资源访问过滤方法，其特征在于，被访问的资源还包括网页、文件传输协议站点、电子邮件站点、安全网站和新闻站点中的一个。

38.根据权利要求22～37中任一项所述的资源访问过滤方法，其特征在于，所述设备(32)还包括个人数字助理、便携式电话、个人计算机、膝上型计算机、掌上型计算机和器具中的一个。

39.根据权利要求22～38中任一项所述的资源访问过滤方法，其特征在于，所述客户端(48)还包括生成所述设备(32)的能力掩码并将该能力掩码传送给所述计算机(33)的模块，所述能力掩码包含关于所述设备(32)的过滤能力的信息。

40.根据权利要求22～39中任一项所述的资源访问过滤方法，其特征在于，在所述客户端(48)和所述计算机(33)之间通过TCP端口80使用超本文传输协议来传送所收集的信息和所述资源访问决策。

41.根据权利要求40所述的资源访问过滤方法，其特征在于，所收集的信息的协议还包括超文本传输协议POST操作。

42.根据权利要求22～41中任一项所述的资源访问过滤方法，其特征在于，所述资源访问决策的协议还包括网页格式的数据。

43.一种用于资源访问过滤系统的计算机，其包括：

接收关于由远程设备(32)访问资源的请求的信息的模块，其中从所述远程设备(32)上的客户端(48)远程传送关于所述资源访问请求的信息；

基于所收集的信息对所述远程设备(32)的资源访问进行分类的模块；以及

将资源访问决策实时传送给所述客户端(48)使得所述客户端(48)基于所述计算机(33)的所述资源访问决策控制所述远程设备(32)对资源的访问的模块。

44.一种位于与远程计算机(33)进行通信的设备(32)上的远程资源过滤客户端(48)，该客户端(48)包括：

收集关于由所述设备(32)访问资源的请求的信息的模块；

将所收集的信息传送给所述计算机(33)的模块；以及

从所述计算机(33)接收资源访问决策并且基于所述计算机(33)的所述资源访问决策控制所述设备(32)对资源的访问的模块。