近十年来，对网络安全的威胁演变地非常快，从网络层针对连接的攻击发 展成应用层基于代理的攻击。常规的网络设备(防火墙)能够进行网络层数据 包处理；例如，常规的防火墙可以阻止不是来自有效数据源的数据包，及VPN 网关可以加密传输中的数据，使其安全通过互联网。但是当前严重的网络威胁， 比如病毒和蠕虫，嵌入到数据流的应用层内容中。通过从多个数据包中提取内 容，重建原始内容，以及扫描其中的攻击指示标志或者不适当内容等处理方法 检测并阻止这些应用层的攻击需要计算机系统巨大的处理能力。另外，商业或 者服务的提供商应对产生于其网络内的违法的或不合适的内容负责，或者对不 能检测及防止这些违法或不合适的内容的扩散负责。
针对这些新的安全挑战，现代的防火墙必须能够提供应用层内容的实时处 理，特别是随着现在(以及将来)具有越来越快网速而产生的实时应用程序(如 网页浏览)。
防火墙典型地由具有多个用于网络流量的流入及流出物理网络接口的硬 件/软件装置来实现。网络流量进入这些接口中的一个，经过过滤以及其它适 当的处理后路由到通常是与另一不同的物理接口相连接的远程主机。
在防火墙中，根据也称为防火墙策略的一套具体规则进行网络流量的处 理。防火墙策略指示防火墙应该怎样处理具体类型的网络流量，如与网页浏览 器、电子邮件通信或者远程登录telnet连接等应用相关联的网络流量。利用流 量选择符作为密钥，进入的流量与列表中的规则相匹配。每一项防火墙策略可 以指定防火墙对于某种具体类型的网络流量采取一个或多个动作。示例性的规 则包括网络地址转换(NAT)、请求认证、过滤禁忌词汇、阻止具体的URL、 阻止某些具体类型文件的传输、反病毒扫描、阻止垃圾邮件、日志记录等。防 火墙策略整体形成一防火墙配置内容文件，包含用于配置防火墙进行网络内容 处理的各种参数。防火墙策略通常由网络管理员创建，并且是基于各组织的信 息安全策略建立的。
即时消息与点对点传输协议不管是在家还是在办公室都已经成为越来越 普遍的网络工具。但是，从新的攻击以及从用户滥用方面来看这些新的协议带 来了安全方面的漏洞。不幸的是，现有的防火墙不适合用于处理即时消息、点 对点传输、电子邮件、网页浏览以及文件共享通信的内容。因此，需要一能够 有效处理与即时消息、点对点传输、电子邮件、网页浏览和/或文件共享协议 相关的内容防火墙系统。

本发明的目的在于提供一种方法和系统，其能够充分消除与对即时消息、 点对点传输、网页浏览、文件共享以及其它网络协议进行内容处理的传统技术 相关的一个或更多上述或其它的问题。
本发明的一方面提供了一种根据至少一内容处理规则进行网络内容处理 的方法、计算机编程产品以及一种计算机系统。根据本发明所述的方法，在一 第一接口接收到网络内容。本发明的系统识别该接收到的网络内容使用的传输 协议，且在需要的情况下截取至少一部分该按照一传输协议进行格式化的接收 到网络内容。该网络内容的截取部分被重定向发送到一代理中进行缓存。根据 扫描的规则对该缓存的网络内容进行扫描并基于扫描的结果根据至少一内容 处理规则进行处理。
根据本发明的特点，可使用与接收网络流量相同的接口转发所述网络内容 中经过处理的部分。
根据本发明的另一特点，所述第一与第二接口中的至少一个选自VLAN 接口、PPPoE接口以及IPSec通道接口组成的接口组。
根据本发明的另一特点，所述网络内容的一部分可在内核中被截取。
根据本发明的另一特点，可在用户空间执行所述代理的功能。
根据本发明的另一特点，所述传输协议可以是即时消息协议类型、点对点 协议类型、电子邮件协议类型、网页浏览协议类型、文件共享协议类型以及网 络消息协议类型。
根据本发明的又一特点，所述传输协议可以是SMB协议、AIM协议、 MSN信使(messenger)协议、Yahoo信使协议、Skype协议、FastTrack协议、 BEEP协议、gnutella协议、Avalanche协议、BitTorrent协议、SMTP协议、 POP3协议、IMAP协议、HTTP协议、FTP协议、远程登录telnet协议以及 NNTP协议。
根据本发明的又一特点，所述内容处理包括内容过滤和/或网络监控。
根据本发明的又一特点，所述网络内容要经过恶意程序的扫描。所述扫描 可以在缓存完成之前发起。扫描可以根据网络连接信息进行。具体地，所述网 络连接信息可以用来识别应用于网络内容的防火墙策略。所述网络连接信息可 包括互联网协议(IP)地址和/或网络内容的大小。
根据本发明的又一特点，所述扫描是根据数据包信息执行的。
根据本发明的又一特点，所述扫描可包括在所述网络内容的一部分中识别 未经过请求的广告内容。
根据本发明的又一特点，所述扫描可包括在所述网络内容的一部分中识别 词组。
根据本发明的又一特点，所述扫描可包括在所述网络内容的一部分中识别 文件模式。
根据本发明的又一特点，所述扫描还包括确定所述网络内容的一部分中是 否包含到外部网络内容的链接，如果有，则校验该外部的内容。
根据本发明的又一特点，所述扫描还包括确定所述网络内容的一部分中是 否带有附件，如果有，则将附件缓存并进行扫描。
根据本发明的又一特点，所述处理可包括拒绝所述网络内容的一部分。
根据本发明的又一特点，所述处理可包括延迟所述网络内容的一部分。
根据本发明的又一特点，所述处理可包括改变所述网络内容的一部分。
有关本发明的其它方面将部分地在下面的描述中介绍，部分地通过说明书 显而易见，或可通过对本发明的实施获得。本发明的各个方面可以通过要件、 各要件的组合、以及下文的详细描述和所附的权利要求中具体指出的方面了解 和获得。
应该理解，上文和后文中描述只是示例性和说明性的，并不用于以任 何方式对本发明或其应用进行限制。
附图说明
附图结合到本说明书中并构成本说明书的一部分，其示例性地说明了本发 明的实施例，并与文字说明一起用于解释和描述本发明的原理。
图1所示是根据本发明一实施例的防火墙系统的结构示意图；
图2所示是根据本发明一实施例的代理模块的结构示意图；
图3所示是根据本发明一实施例的处理方案；及
图4所示根据本发明一示例性实施例的可实现本发明防火墙系统的计算 机平台。

下面将参考附图进行详细说明，其中，附图中相同的功能元件使用相同的 标记。上述附图示出了符合本发明原理的具体的实施例和实现方式，其并不作 为对本发明的限制。详细描述了这些具体的实现方式以使本领域的技术人员能 够实施本发明。且应该理解，可以采用其他的实现方式以及对各种元件做出结 构变化和/或替换而不脱离本发明的精神和范围。因此，下面的描述并不用于 限制本发明。另外，本发明所述的各种实施例可以以运行于通用计算机中的软 件、专门的硬件、或者软件和硬件的组合方式来实现。
发明人认为提供一种除了具有常规的防火墙能力之外还具有对即时消息、 点对点传输、电子邮件、网页浏览、文件共享、网络新闻以及其它通信协议进 行高级安全服务的防火墙是有优势的。
图1所示是根据本发明的一示例性实施例的防火墙保护的网络100的拓扑 结构示意图。两个网络实体104与105连接到一物理设备(防火墙)101的相 对的两端，该物理设备监控在网络实体104与105之间经过的网络流量108 与109。防火墙可根据预先定义的一系列规则丢弃或改变该流量中的一些。因 此，网络流量108的内容可能与流量109的内容不同。实际上，该两个网络实 体104与105可以通过直接链接的方式或通过路由网络(未示出)与防火墙 101连接。
在本发明的一实施例中，该两个网络实体104与105均为客户端实体，例 如用户计算机系统，如运行软件程序的用户PC机。在可选择的实施例中，网 络实体104与105中的一个是客户端系统，而另一个是服务器系统。该实施例 通常对应使用即时通信(IM)协议的系统，其中，所述网络实体104与105 常作为客户端与服务器。具体地，IM中央服务器将消息从一个客户端到传递 到另一个不同的客户端。尽管IM通信发生在两个客户端之间，该IM拓扑具 有客户端-服务器模型的所有属性，这是因为防火墙扫描的是用户端与IM中央 服务器之间的连接。然而在另一实施例中，两个网络实体都可以是服务器。
如图1所示，防火墙101部署在两个用户端系统104与105之间的通信通 道中，并监控在二者之间交换的数据包。正如本领域的技术人员所认识到的， 对于一些公知的协议，例如TCP，可以利用一个或多个扫描引擎检测传输的数 据包中是否存在已知的威胁或可疑的内容。当检测到一数据包与一已知的特征 相匹配，则本发明的防火墙系统将生成一日志消息或发出一警告，并丢弃该数 据包。在本发明一实施例的系统中，一经检测到这样的数据包，两个用户之间 的整个连接都将被丢弃。
正如本领域的技术人员还认识到的，在许多情况下，用于检测可疑数据的 规则或特征并不能应用于单个数据包。数据流协议，如TCP，在传输过程中将 数据分成更小的块，但是该启发式检测必须应用于整个数据流而不是单个数据 包。因此，在本发明的系统中，首先防火墙101将数据缓存以便抽取数据流， 然后将该启发式的规则应用于数据流。为达到这个目的，在本发明一实施例的 防火墙系统中，防火墙101内核的网络子系统106将截取的数据包重定向发送 到构建并解析缓存数据的用户空间应用程序(代理)107。
另外，本发明实施例的系统配置成将整个数据流的传输延迟至整个数据流 都通过了全部的启发式扫描。因为很多传输协议，例如TCP，是依赖确认消息 以及其它响应来控制传输速度以及丢包的重发，所以本发明的防火墙系统通过 自动生成这些响应来充当该连接的两端。
图1所示的防火墙系统包括物理网络接口102和103，以及所述的网络子 系统106，该网络子系统106可实现为防火墙装置101的操作系统的内核的一 部分。网络子系统106基于内核的实现相对其基于用户空间的实现具有改进的 网络流量处理性能。
网络子系统106路由物理接口102和103之间数据包并且传输防火墙系统 101的各种逻辑子系统之间的数据。几种类型的基于数据流的数据由网络子系 统106截取并由代理模块107将其缓存以用于进一步处理。应该注意的是，图 1仅仅示出了物理接口，在本发明另一实施例的防火墙中，接口102和103可 以实施为逻辑接口。
网络子系统106可以配置成截取根据一系列的网络协议的格式传输的数 据，包括但不限于，SMB、IM协议(例如AIM，MSN信使，Yahoo信使， Skype)，P2P协议(如FastTrack，BEEP，gnutella，Acalanche，BitTorrent)， 以及SMTP、POP3、IMAP、HTTP、FTP、远程登录、NNP等。将截取的数 据包重定向发送到代理模块107以进行数据重组、检测及进一步的处理。
在本发明的一实施例中，代理模块107在防火墙装置101的操作系统的内 核中实现。在另一实施例中，代理模块107以一种在防火墙装置101的操作系 统提供的用户空间中执行的应用程序的形式实现。代理模块107根据各通信协 议的规范组装网络子系统106截取的格式化的数据包以获得传输内容。根据所 使用的通信协议的具体情况，本发明实施例的系统可以在传输重组前或者传输 重组中重新排列数据包。
图2所示是本发明一实施例的防火墙101的代理模块107。图2所示的代 理模块中，当整个数据流全部缓存在代理缓存引擎201中并在其中进行重组 时，代理模块107的一个或多个扫描引擎202-204根据一规则集对传输的内容 进行处理。该规则集可存储在一规则定义存储器206中。在本发明一实施例的 系统中，该规则可根据网络流量选择器进行选择，如源与目标IP地址、端口 号、时间以及可能的用户名(如果协议中存在)。在另一实施例中，为了减少 系统等待的时间，扫描操作可在数据包重组完成之前发起。
代理模块107的扫描引擎202-204可以基于连接的元信息应用其规则，例 如源或目标网络IP地址、和/或数据流的大小。例如，可配置扫描引擎丢弃超 过某一大小的任何数据流，或接受/拒绝列入一白名单或黑名单中的IP地址或 用户的连接。代理模块107的扫描引擎202-204为了检测具体的攻击可以对单 个数据包的内容应用其它的规则。具体地，在本发明一实施例的系统中，可以 配置扫描引擎202-204检测缓存溢出的条件和/或设计用于触发逻辑错误的异 常数据包。
应该注意的是，在图2所示的实施例中，一套扫描引擎202-204与包括元 件代理缓存引擎201及代理转发引擎205的一代理模块相连接。在本发明另 一实施例的系统中，两个或更多个独立的代理模块可以共享同一套扫描引擎。 换句话说，本发明的系统可包括多种类型的代理和多种类型的扫描模块，且来 自两个不同类型的代理的数据可以由相同的扫描模块处理。
在本发明的一实施例中，代理模块107对于网络用户而言是不可见的。 因此，网络用户不需要对该配置有任何的了解。具体地，代理模块107对该代 理的连接的各端可以使用或不使用一不同的IP地址。在本发明的一实施例中， 代理模块107充当网络地址转换系统(NAT)，将外部网流量的IP地址转换为 私人局域网中的内部IP地址。此外，在另一实施例中，防火墙装置101配置 作为与其连接的接口的下一跳路由器。在其它实施例中，防火墙101在开放系 统互联(OSI)网络堆栈的第二层截取数据包，并利用相同的程序将该数据缓 存。
在本发明的实施例中，对于主要是承载文本流，包括电子邮件、即时消息 及网页浏览的协议，代理模块107的扫描引擎202-204所执行的动作可包括但 不限于，扫描数据流中的未经请求的广告垃圾、网络钓鱼企图或公知的在线欺 骗以及与恐怖主义或犯罪活动有关的文件模式或词汇。另外地或可作为选择 地，可配置代理(proxy)107的扫描引擎202-204用于检测那些满足对可能的 速记内容进行的启发式测试的明显没有意义的消息。
在本发明另一实施例的防火墙系统中，代理107的扫描引擎202-204可扫 描网络内容中潜在的诽谤性或冒犯性的词或词组、短语，并阻止或更改这样的 内容。例如，某些冒犯性的词语可以替换为*.....*这样的一串字符或被掩蔽。 此外，扫描引擎可以将一管理性的消息插入到数据流中以提醒与具体被检测的 内容相关的用户企业的使用策略。这样的消息可以主动插入的或者是为响应一 些触发规则而插入的。
然而，在另一实施例中，扫描引擎202-204可扫描数据包内部的具体的词 或常规的表达，记录或阻止这些词或表达，或整个丢弃相关的连接。为了进行 日志记录，代理模块107可包括一日志存储装置206，参见图2。在协议包括 到外部内容的链接的情况下，如对于HTTP统一资源定位器(URL)链接， 扫描引擎202-204可根据存储的链接白名单或黑名单检测内嵌的链接。正如本 领域所公知的，黑名单存储被禁止的内容，而在白名单的配置中，白名单中包 括的所有内容都不需进行进一步的处理。作为选择地，可基于发送到外部服务 器的请求验证内嵌的链接。
在文件传输协议情况下，包括但并不限于，点对点(P2P)协议、文件传 输协议(FTP)、SMB协议、IM协议内传输的文件、以及在POP3、SMTP或 IMAP协议内作为电子邮件的附件传输的文件，这些传输的文件的内容首先 缓存在内存或磁盘中。然后扫描引擎202-204扫描缓存文件的内容中的各种恶 意程序(病毒、蠕虫、特洛伊木马、间谍软件等)或任何其它危险的、不适当 的、或不合法的内容。扫描引擎202-204还可扫描受限制的内容，包括如嵌入 图片或数据中可能的速记性消息。如果发现危险或不适当的内容，将丢弃相关 的网络连接，或移除该不适当的内容，或用管理性消息替换该不适当的的内容。
本发明一实施例的系统将含有恶意程序的文件存档在一磁盘中或将其存 储在日志存储装置206中以待后来的检查或取回。另外或作为选择地，被恶意 程序感染的内容将提交到一中央服务器中以进行进一步的分析。作为选择地， 从该受感染的文件中提取的各种统计信息或多元数据将被集聚并提交以供后 来的详细研究。
根据扫描引擎202-204的输出，代理模块107可以延迟或甚至拒绝数据流 传输到目标网络实体。另外，代理模块107可自动地或根据扫描引擎202-204 的输出使得数据流的全部或部分存档到一磁盘、日志存储装置206或一远程服 务器中。另外，代理模块107可以要求与任一扫描引擎202-204标记的数据流 相关的网络连接通过管理员的特别认证，该认证可以实时或以其它方式完成。
本发明的其它实施例中，在允许文件或其它内容到达其意图的目标地址之 前，可从远程认证系统如一Radius服务器发出适当的认证请求。Radius是本 领域的技术人员公知的一种认证协议。有关Radius协议的详细信息可以从网 站http:// www.rfcs.org中的互联网社会(Internet Society)中可获得的RFC2865 中找到。如本领域的技术人员所知的，除了上述的Radius协议，系统可以使 用其它适当的协议，包括但不限制于也是本领域所公知的TACACKS与 Kerberos协议。作为替换地，防火墙101可以在允许进行连接之前强迫网络用 户执行另外的认证或授权步骤。例如，可要求用户确认其同意适当的许可证协 议的条款。
在点对点(P2P)文件共享协议的情况下，通过扫描引擎202-204从数据 流中获得的各种搜索关键字与扫搜索结果可以存档在日志存储装置207中。在 本发明的实施例中，过滤搜索结果以排除黑名单中的站点或与指定的常规表达 式相匹配的结果。在另一实施例中，与指定的规则相匹配的关键字搜索被阻止 或记录，且代理模块107可限制每一用户或IP地址的搜索或传输的频率。本 发明的又一实施例中，利用基于特征的扫描可以识别已知的发布中的内容。在 每种情况下，文件内容可存档在磁盘、日志装置或一远程服务器中，并记录一 事件日志或发出一报警信息，并且文件传输将被阻止或相关的网络连接将被丢 弃。
本发明一实施例的系统101中，将执行对按照每一上述网络协议格式化的 数据传输的扫描的规则编码成普通的格式，以使得能将这些规则可以通过网络 从一中央位置如一中央规则存储装置进行分配，并应用于各种远程网络安全装 置如防火墙系统101。为了使规则的管理与分发更有效率，本发明的系统其本 身包括一规则存储装置与分配服务器或其可通过网络能够访问共享的服务器。
此外，在本发明的另一实施例中，扫描引擎202-204所使用的扫描规则可 通过一本地网络管理员进行编辑或者定制，且其可通过网络连接被安全地重新 分配到远程网络安全设备的子系统中。另外，网络管理员可配置本发明的防火 墙系统只应用自动分配的规则的子集，和/或其可配置本发明的防火墙系统对 与具体规则相匹配的网络流量应用不同的规则集。
图3所示是本发明一实施例的与防火墙系统100相关的处理方案流程图。 在步骤301，物理接口102或103之一接收网络数据传输。在步骤302中，系统 识别与所接收的数据传输相关的网络传输协议，并且在步骤303中截取与一系 列网络协议中的某一具体协议相对应的网络内容。
根据上述说明，所述协议包括但不限于，SMB、IM协议(如AIM，MSN 信使，Yahoo信使，Skype)，P2P传输协议(如FastTrack，BEEP，gnutella， Acalanche，BitTorrent)以及SMTP、POP3、IMAP、HTTP、FTP、远程登录 (telnet)等。将截取的数据包路由到代理模块107中进行数据重组、检测以 及进一步的处理，如步骤304所示。
在步骤305中，网络数据流缓存在代理模块107中。在步骤306中，扫 描引擎202-204对重组的数据施加内容过滤和/或监控。当代理模块107的扫描 模块对网络传输的内容进行扫描后，并且，如果适当的话，根据所述的规则对 数据内容进行了过滤、分析、记录或修改后，网络数据的内容将根据其原始的 网络协议重新编码并通过物理接口102或103中之一转发到其原始目标地址， 如图3步骤307所示。
下面介绍本发明的硬件平台。图4所示为一实施例的计算机平台400的方 框示意图，通过该平台可以实现本发明一实施例的的方法。计算机平台400 包括计算机/服务器平台401，外围设备402和网络资源403。
计算机平台401可包括数据总线404或者其它用于在计算机平台401的各 部分之间传输通信信息或者将信息传输通过该计算机平台各部分的通信装置， 以及与总线404结合用于处理信息和执行其它计算和控制任务的处理器405。 计算机平台401还包括易失性存储装置406，如随机存取存储器(RAM)或者 其他动态存储设备，与总线404连接用于存储处理器405执行的各种信息与指 令。易失性存储装置406还可用于存储在处理器405执行指令的过程中的临时 变量和其他中间信息。计算机平台401可进一步包括只读存储器(ROM或者 EPROM)407或者其他静态存储装置，与总线404连接用于存储处理器405 的静态信息和指令，如基本输入输出系统(BIOS)、以及各种系统配置参数。 永久存储装置408，如磁盘、光盘或者固态闪存装置，与总线401连接用于存 储信息和指令。
计算机平台401可通过总线404与显示装置409相连接，比如阴极射线管 (CRT)器、等离子显示器或者液晶显示器(LCD)，用于将计算机平台401 的信息显示给系统管理员或者用户。包括文字数字和其他键的输入设备410 连接到总线401，用于与处理器405之间的通信和命令选择。另一类型的用户 输入设备为光标控制设备411，如鼠标、轨迹球或者光标方向键，用于与处理 器404之间的方向信息传递、命令选择和控制光标在显示装置409上的移动。 这种输入设备典型地在两个轴上具有两维自由度，第一轴(比如x)和第二轴 (比如y)，允许装置在平面内定位。
外部存储装置412通过总线404可与计算机平台401连接，以向计算机平 台401提供额外或者移动存储功能。在一实施例的计算机系统400中，外部移 动存储装置412可用于加速与其他计算机系统的数据交换。
本发明涉及用于实现在此描述的本发明方法的计算机系统400。在本发明 的一实施例中，本发明的防火墙系统101可以设置到如计算机平台401的装置 中。根据本发明的一实施例，在此描述的方法通过计算机系统400响应处理器 405执行存储在易失性存储装置406中的一个或多个指令的一个或者多个序列 来实现。这些指令可以从其他计算机可读介质，如永久存储装置408，读入易 失性存储装置406中。易失性存储装置406中的指令序列的执行使处理器405 执行在此描述的处理步骤。在另一实施例中，硬线电路可以用于替换软件指令 或者和软件指令组合来实现本发明。因而，本发明的实施例并不限于任何具体 的硬件电路和软件的组合。
这里所述的“计算机可读介质”一词是指参与向处理器405提供指令以供 其执行的任何介质。计算机可读介质只是机器可读介质的一个例子，其可承载 用于实现在此描述的任何方法和/或技术的指令。这种介质可采用多种形式， 包括但不限于，非易失性介质、易失性介质和传输介质。非易失性介质包括， 如，光盘或者磁盘，例如存储装置408。易失性介质包括动态存储器，如易失 性存储装置406。传输介质包括同轴电缆、铜线和光纤，其包括组成数据总线 404的线缆。传输介质也可采取声波或者光波的形式，如在无线电波数据通信 以及红外数据通信中产生的波。
一般形式的计算机可读介质包括，如，软盘、软碟、硬盘、磁带或者任何 其它磁性介质、CD-ROM、任何其他光学介质、打孔卡片、纸带、任何其它有 孔图案的物理介质、RAM、PROM、EPROM、FLASH-EPROM、闪存驱动器、 记忆卡、任何其它记忆芯片或者卡带、下文所述的载波，或者任何其它计算机 可读的介质。
各种形式的计算机可读介质可将一个或者多个指令的一个或者多个序列 传输到处理器405执行。例如，指令最初可从一远程计算机加载到一磁盘中。 作为选择地，远程计算机可将指令装载到它的动态存储器中并使用调制解调器 通过电话线发送指令。计算机系统400的本地调制解调器可在接收电话线上的 数据并使用红外转换器将数据转换成红外信号。红外检测器可以接收加载在红 外信号上的数据且适当的电路可以将数据置于数据总线404上。总线404将数 据传输到易失性存储装置406，处理器405从该易失性存储装置406中获取并 执行该指令。易失性存储装置406接收的指令可选择地在处理器405执行之前 或者执行之后存储在永久存储装置408中。指令还可以使用本领域公知的各种 网络数据通信协议通过互联网下载到计算机平台401中。
计算机平台401还包括通信接口，如与数据总线404连接的网络接口卡 413。通信接口413提供与连接到本地网络415的网络链路414之间的双向数 据通信。例如，通信接口413可以是向相应类型的电话线提供数据通信连接的 综合服务数字网(ISDN)卡或者调制解调器。另外的示例中，通信接口413 可以是向兼容的LAN提供数据通信连接的局域网接口卡(LAN NIC)。无线链 路，比如公知的802.11a、802.11b、802.11g以及蓝牙也可用于网络实现。在任 何这样的的实现中，通信接口413发送和接收承载有代表各种类型信息的数字 数据流的电信号、电磁信号或光信号。
网络链路413典型地通过一个或者多个网络向其它网络资源提供数据通 信。例如，网络链路414可通过本地网络415提供到一主机416或一网络存储 器/服务器417的连接。另外地或者作为选择地，网络链路413可通过网关/防 火墙417连接到广域或者全球网络418，如互联网。这样，计算机平台401可 以访问位于互联网418上任何位置的网络资源，如远程网络存储器/服务器 419。另一方面，位于局域网415和/或互联网418上任何位置的客户端也可访 问计算机平台401。基于与计算机平台401相似的平台，可以实现网络客户端 420和421其自身。
本地网络415和互联网418都使用载有数字数据流的电信号、电磁信号或 光信号。承载着进出计算机平台401的数字数据的通过各种网络的信号，在网 络链路414上的信号，以及通过通信接口413的信号，是传输信息的载波的示 例性形式。
计算机平台401可以通过包括互联网418、局域网415、网络链路414和 通信接口413等的各种网络发送信息和接收数据，包括程序代码。以互联为例， 当系统401作为网络服务器时，其可通过互联网418、网关/防火墙417、局域 网415和通信接口413为运行在客户端420和/或421上的应用程序传输请求 的代码或者数据。同样地，其也可接收来自其它网络资源的代码。
接收的代码可以在接收到时即由处理器405执行，和/或分别存储在永久 或易失性存储装置408和406中，或存储在其它非易失性存储装置中以备稍后 执行。采用这种方式下，计算机系统401可以载波的形式获得应用程序代码。 应该注意，本发明并不限于任何具体防火墙系统。本发明的基于策略的内容处 理系统可以运行在任何的操作模式，包括但不限于，网络地址翻译NAT模式、 路由及透明模式。
最后，应该理解，本文所述的方法和技术并不固定涉及任何具体的装置， 且可通过组件的任何适当组合实现。此外，根据本文所述的指导可使用各种类 型的通用设备。也证明了构建用于执行本文所述的方法步骤的专门设备是有利 的。本发明的描述涉及具体的示例，这些示例在各方面意在解释本发明而在于 限制本发明。本领域的技术人员将认识到硬件、软件和固件的多种不同的组合 将适合用于实施本发明。例如，所述软件可以用各种编程或者脚本语言实现， 如Assembler、C/C++、perl、shell、PHP以及Java等。
而且，从在此公开的对本发明的说明和实施来看，对本领域的技术人员而 言，本发明的其它实现方式是显而易见的。所述实施例的各方面和/或组件可 以单独地或者以任何组合的方式用于计算机化的网络内容处理系统。本文中的 说明只是示例的。本发明的精神及其实际的保护范围质由所附的权利要求示 出。