端點(diǎn)安全大概是近年來信息安全領(lǐng)域的一個熱門話題，這并不奇怪。不管你多么努力地防御網(wǎng)絡(luò)邊界，漫游的筆記本電腦和設(shè)備總是必然會把蠕蟲、病毒和間諜軟件帶入到你的網(wǎng)絡(luò)上。

配置了無線適配器的大眾化筆記本電腦具有的移動功能解放了大批員工，他們可以在任何地方辦公，無論在辦公室、在家里還是在路上。咨詢顧問和廠商可能連接到你的網(wǎng)絡(luò)使用一小時(shí)或者一天——你如何防范他們可能帶來的潛在危害呢？

網(wǎng)絡(luò)基礎(chǔ)設(shè)施和操作系統(tǒng)軟件領(lǐng)域的兩大巨頭：思科和微軟各自都啟動了這方面的計(jì)劃，確保端點(diǎn)設(shè)備只有符合安全策略，才可以訪問企業(yè)網(wǎng)絡(luò)。并不奇怪的是，思科的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）依賴思科的交換基礎(chǔ)設(shè)施；而微軟的網(wǎng)絡(luò)訪問保護(hù)（NAP）通過Windows操作系統(tǒng)發(fā)揮作用。除了這些普遍但專有的方案外，可信計(jì)算組織（TCG）正在開發(fā)基于標(biāo)準(zhǔn)的可信網(wǎng)絡(luò)連接（TNC）。

如果讓你來選擇，該選擇哪個方案來保護(hù)端點(diǎn)安全、讓本地網(wǎng)絡(luò)避免遭到已成為漫游惡意軟件收集器的“已中招”機(jī)器的攻擊呢？

確實(shí)馬上需要解決方案

面對需要立即引起注意的安全問題，你應(yīng)當(dāng)尋求這樣的解決方案：可以定義細(xì)粒度策略、檢測連接到網(wǎng)絡(luò)上的每個設(shè)備、評估遵從策略的級別、執(zhí)行訪問策略，以及補(bǔ)救未遵從策略的機(jī)器。

這對任何一個安全系統(tǒng)來說都是過高要求，積極采用端點(diǎn)安全并非易事。三大架構(gòu)：NAC、NAP和TCN都不完整，實(shí)施成本也很高；而且很復(fù)雜，不易理解。它們都從不同方面來處理端點(diǎn)安全問題，所以彼此并非相互排斥也就不足為怪了：

·思科的NAC專注于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和策略定義及管理；當(dāng)然，它假定你會使用許多思科路由器，采用思科的安全解決方案；而且在將來牢牢保護(hù)端點(diǎn)時(shí)，希望繼續(xù)使用思科的系列產(chǎn)品。

·微軟的NAP偏重于健康評估和補(bǔ)救方案；它假定你從微軟服務(wù)器和桌面系統(tǒng)開始著手；并且假定你主要關(guān)注的是確保它們安全運(yùn)行。

·可信計(jì)算組織的TNC采用了粗略的架構(gòu)方案；它假定每個桌面系統(tǒng)都含有一種專門的硬件，負(fù)責(zé)驗(yàn)證端點(diǎn)的安全未遭到破壞；并且依靠這個硬件來監(jiān)控及執(zhí)行端點(diǎn)策略。

我們不妨看一下這些計(jì)劃，看看它們聲稱具有的功能以及各自存在的不足。

思科的NAC

NAC處于領(lǐng)先位置，這歸功于同時(shí)出現(xiàn)了支持它的架構(gòu)和產(chǎn)品。NAC旨在通過實(shí)施在路由器和交換機(jī)以及Windows和Linux客戶端中的可信模塊來保護(hù)網(wǎng)絡(luò)訪問。

現(xiàn)有眾多廠商支持NAC，理由很充足：你需要其中幾家廠商來組建一套完整的解決方案，以便滿足端點(diǎn)安全需求的所有五個方面。你至少需要在端點(diǎn)上運(yùn)行兩個代理，才能處理比較復(fù)雜的策略以及檢查遵從SSL VPN的情況。

NAC使用的客戶軟件思科可信代理（Cisco Trusted Agent）負(fù)責(zé)收集設(shè)備信息，并使用802.1X機(jī)制，把信息傳送到思科的遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)（RADIUS）服務(wù)器：安全訪問控制服務(wù)器（ACS）。而ACS與第三方策略服務(wù)器（反病毒和補(bǔ)丁）進(jìn)行通信，確定遵從情況，并通過交換基礎(chǔ)設(shè)施執(zhí)行網(wǎng)絡(luò)訪問。

有些分析師認(rèn)為，NAC需要部署太多的部件；實(shí)施起來可能有難度，因?yàn)橐芾硭械幕ヂ?lián)網(wǎng)操作系統(tǒng)（IOS）更新工作，以便各部分協(xié)同工作；而且基礎(chǔ)設(shè)施出現(xiàn)變化時(shí)，需要維護(hù)。

NAC的問題在于：它自身會帶來全孤島；依賴思科的RADIUS服務(wù)器作為惟一的驗(yàn)證機(jī)制；而且思科交換機(jī)需要最新版本的固件。此外，NAC不一定與思科的遺留基礎(chǔ)設(shè)施協(xié)同工作，除非遺留系統(tǒng)更新到最新固件。

英國電信Radianz公司是一家面向金融服務(wù)行業(yè)的知名IT服務(wù)商，公司副總裁兼首席安全官Lloyd Hession說：“NAC問題的一方面在于，你必須升級IOS版本。我的網(wǎng)絡(luò)上共有4萬個路由器，對它們進(jìn)行更新可不是容易的事情。”Hession改而選擇了ConSentry公司，那樣他不需要對網(wǎng)絡(luò)進(jìn)行MAC層過濾和訪問控制。ConSentry銷售的嵌入式安全設(shè)備能夠自動評估及執(zhí)行端點(diǎn)安全策略，確保遵從策略。

另外，NAC架構(gòu)缺少補(bǔ)救功能——它在管理端點(diǎn)本身的補(bǔ)丁級別方面不盡如人意。另外，設(shè)備經(jīng)過評估后，采取什么措施方面缺乏很強(qiáng)的靈活性。只有這兩種情況：要么通過評估，允許連接到網(wǎng)絡(luò)上；要么未通過評估，被轉(zhuǎn)移到訪問權(quán)限有限的某個虛擬局域網(wǎng)（VLAN）上。

Altiris公司的產(chǎn)品經(jīng)理Rich Lacey負(fù)責(zé)處理本公司的NAC兼容產(chǎn)品，這種產(chǎn)品提供了通過桌面管理和復(fù)制來補(bǔ)救的解決方案。他說：“通過補(bǔ)救機(jī)制，讓客戶端擺脫隔離區(qū)域，這確實(shí)是一門技藝，這也是我們現(xiàn)在所做的。”

思科得到了邁克菲、趨勢科技和賽門鐵克等反病毒產(chǎn)品的支持，另外還得到了幾家軟硬件廠商的支持。

Hession并不覺得把代理安裝到所有端點(diǎn)上特別吸引人。他說：“代理存在的問題在于，你最終不得不安裝多個代理，以便支持你想要處理的所有事情，比如反病毒和訪問控制。思科的NAC迫使我往代理這個方向走，但我不想走這條路。”

思科公司安全技術(shù)部門的產(chǎn)品經(jīng)理主管Russell Rice說：“我們目前支持代理。但我們也會開發(fā)無代理的解決方案，那樣就能主動掃描及評估其他非Windows設(shè)備。”

NAC正在把支持范圍擴(kuò)大到代理以外的領(lǐng)域，而Qualys（其產(chǎn)品QualysGuard支持NAC）等廠商正在提供這種服務(wù)：可支持無代理監(jiān)控?zé)o法使用代理的網(wǎng)絡(luò)設(shè)備，比如打印機(jī)及其他嵌入設(shè)備。