端點安全大概是近年來信息安全領域的一個熱門話題，這并不奇怪。不管你多么努力地防御網絡邊界，漫游的筆記本電腦和設備總是必然會把蠕蟲、病毒和間諜軟件帶入到你的網絡上。

配置了無線適配器的大眾化筆記本電腦具有的移動功能解放了大批員工，他們可以在任何地方辦公，無論在辦公室、在家里還是在路上。咨詢顧問和廠商可能連接到你的網絡使用一小時或者一天——你如何防范他們可能帶來的潛在危害呢？

網絡基礎設施和操作系統軟件領域的兩大巨頭：思科和微軟各自都啟動了這方面的計劃，確保端點設備只有符合安全策略，才可以訪問企業網絡。并不奇怪的是，思科的網絡準入控制（NAC）依賴思科的交換基礎設施；而微軟的網絡訪問保護（NAP）通過Windows操作系統發揮作用。除了這些普遍但專有的方案外，可信計算組織（TCG）正在開發基于標準的可信網絡連接（TNC）。

如果讓你來選擇，該選擇哪個方案來保護端點安全、讓本地網絡避免遭到已成為漫游惡意軟件收集器的“已中招”機器的攻擊呢？

確實馬上需要解決方案

面對需要立即引起注意的安全問題，你應當尋求這樣的解決方案：可以定義細粒度策略、檢測連接到網絡上的每個設備、評估遵從策略的級別、執行訪問策略，以及補救未遵從策略的機器。

這對任何一個安全系統來說都是過高要求，積極采用端點安全并非易事。三大架構：NAC、NAP和TCN都不完整，實施成本也很高；而且很復雜，不易理解。它們都從不同方面來處理端點安全問題，所以彼此并非相互排斥也就不足為怪了：

·思科的NAC專注于網絡基礎設施和策略定義及管理；當然，它假定你會使用許多思科路由器，采用思科的安全解決方案；而且在將來牢牢保護端點時，希望繼續使用思科的系列產品。

·微軟的NAP偏重于健康評估和補救方案；它假定你從微軟服務器和桌面系統開始著手；并且假定你主要關注的是確保它們安全運行。

·可信計算組織的TNC采用了粗略的架構方案；它假定每個桌面系統都含有一種專門的硬件，負責驗證端點的安全未遭到破壞；并且依靠這個硬件來監控及執行端點策略。

我們不妨看一下這些計劃，看看它們聲稱具有的功能以及各自存在的不足。

思科的NAC

NAC處于領先位置，這歸功于同時出現了支持它的架構和產品。NAC旨在通過實施在路由器和交換機以及Windows和Linux客戶端中的可信模塊來保護網絡訪問。

現有眾多廠商支持NAC，理由很充足：你需要其中幾家廠商來組建一套完整的解決方案，以便滿足端點安全需求的所有五個方面。你至少需要在端點上運行兩個代理，才能處理比較復雜的策略以及檢查遵從SSL VPN的情況。

NAC使用的客戶軟件思科可信代理（Cisco Trusted Agent）負責收集設備信息，并使用802.1X機制，把信息傳送到思科的遠程驗證撥入用戶服務（RADIUS）服務器：安全訪問控制服務器（ACS）。而ACS與第三方策略服務器（反病毒和補丁）進行通信，確定遵從情況，并通過交換基礎設施執行網絡訪問。

有些分析師認為，NAC需要部署太多的部件；實施起來可能有難度，因為要管理所有的互聯網操作系統（IOS）更新工作，以便各部分協同工作；而且基礎設施出現變化時，需要維護。

NAC的問題在于：它自身會帶來全孤島；依賴思科的RADIUS服務器作為惟一的驗證機制；而且思科交換機需要最新版本的固件。此外，NAC不一定與思科的遺留基礎設施協同工作，除非遺留系統更新到最新固件。

英國電信Radianz公司是一家面向金融服務行業的知名IT服務商，公司副總裁兼首席安全官Lloyd Hession說：“NAC問題的一方面在于，你必須升級IOS版本。我的網絡上共有4萬個路由器，對它們進行更新可不是容易的事情。”Hession改而選擇了ConSentry公司，那樣他不需要對網絡進行MAC層過濾和訪問控制。ConSentry銷售的嵌入式安全設備能夠自動評估及執行端點安全策略，確保遵從策略。

另外，NAC架構缺少補救功能——它在管理端點本身的補丁級別方面不盡如人意。另外，設備經過評估后，采取什么措施方面缺乏很強的靈活性。只有這兩種情況：要么通過評估，允許連接到網絡上；要么未通過評估，被轉移到訪問權限有限的某個虛擬局域網（VLAN）上。

Altiris公司的產品經理Rich Lacey負責處理本公司的NAC兼容產品，這種產品提供了通過桌面管理和復制來補救的解決方案。他說：“通過補救機制，讓客戶端擺脫隔離區域，這確實是一門技藝，這也是我們現在所做的。”

思科得到了邁克菲、趨勢科技和賽門鐵克等反病毒產品的支持，另外還得到了幾家軟硬件廠商的支持。

Hession并不覺得把代理安裝到所有端點上特別吸引人。他說：“代理存在的問題在于，你最終不得不安裝多個代理，以便支持你想要處理的所有事情，比如反病毒和訪問控制。思科的NAC迫使我往代理這個方向走，但我不想走這條路。”

思科公司安全技術部門的產品經理主管Russell Rice說：“我們目前支持代理。但我們也會開發無代理的解決方案，那樣就能主動掃描及評估其他非Windows設備。”

NAC正在把支持范圍擴大到代理以外的領域，而Qualys（其產品QualysGuard支持NAC）等廠商正在提供這種服務：可支持無代理監控無法使用代理的網絡設備，比如打印機及其他嵌入設備。