端点安全大概是近年来信息安全领域的一个热门话题，这并不奇怪。不管你多么努力地防御网络边界，漫游的笔记本电脑和设备总是必然会把蠕虫、病毒和间谍软件带入到你的网络上。

　　配置了无线适配器的大众化笔记本电脑具有的移动功能解放了大批员工，他们可以在任何地方办公，无论在办公室、在家里还是在路上。咨询顾问和厂商可能连接到你的网络使用一小时或者一天——你如何防范他们可能带来的潜在危害呢？

　　网络基础设施和操作系统软件领域的两大巨头：思科和微软各自都启动了这方面的计划，确保端点设备只有符合安全策略，才可以访问企业网络。并不奇怪的是，思科的网络访问控制（NAC）依赖思科的交换基础设施；而微软的网络访问保护（NAP）通过Windows操作系统发挥作用。除了这些普遍但专有的方案外，可信计算组织（TCG）正在开发基于标准的可信网络连接（TNC）。

　　如果让你来选择，该选择哪个方案来保护端点安全、让本地网络避免遭到已成为漫游恶意软件收集器的“已中招”机器的攻击呢？

　　确实马上需要解决方案

　　面对需要立即引起注意的安全问题，你应当寻求这样的解决方案：可以定义细粒度策略、检测连接到网络上的每个设备、评估遵从策略的级别、执行访问策略，以及补救未遵从策略的机器。

　　这对任何一个安全系统来说都是过高要求，积极采用端点安全并非易事。三大架构：NAC、NAP和TCN都不完整，实施成本也很高；而且很复杂，不易理解。它们都从不同方面来处理端点安全问题，所以彼此并非相互排斥也就不足为怪了：

　　·思科的NAC专注于网络基础设施和策略定义及管理；当然，它假定你会使用许多思科路由器，采用思科的安全解决方案；而且在将来牢牢保护端点时，希望继续使用思科的系列产品。

　　·微软的NAP偏重于健康评估和补救方案；它假定你从微软服务器和桌面系统开始着手；并且假定你主要关注的是确保它们安全运行。

　　·可信计算组织的TNC采用了粗略的架构方案；它假定每个桌面系统都含有一种专门的硬件，负责验证端点的安全未遭到破坏；并且依靠这个硬件来监控及执行端点策略。

　　我们不妨看一下这些计划，看看它们声称具有的功能以及各自存在的不足。

　　思科的NAC

　　NAC处于领先位置，这归功于同时出现了支持它的架构和产品。NAC旨在通过实施在路由器和交换机以及Windows和Linux客户端中的可信模块来保护网络访问。

　　现有众多厂商支持NAC，理由很充足：你需要其中几家厂商来组建一套完整的解决方案，以便满足端点安全需求的所有五个方面。你至少需要在端点上运行两个代理，才能处理比较复杂的策略以及检查遵从SSL VPN的情况。

　　NAC使用的客户软件思科可信代理（Cisco Trusted Agent）负责收集设备信息，并使?02.1X机制，把信息传送到思科的远程验证拨入用户服务（RADIUS）服务器：安全访问控制服务器（ACS）。而ACS与第三方策略服务器（反病毒和补丁）进行通信，确定遵从情况，并通过交换基础设施执行网络访问。

　　有些分析师认为，NAC需要部署太多的部件；实施起来可能有难度，因为要管理所有的互联网操作系统（IOS）更新工作，以便各部分协同工作；而且基础设施出现变化时，需要维护。

　　NAC的问题在于：它自身会带来全孤岛；依赖思科的RADIUS服务器作为惟一的验证机制；而且思科交换机需要最新版本的固件。此外，NAC不一定与思科的遗留基础设施协同工作，除非遗留系统更新到最新固件。

　　英国电信Radianz公司是一家面向金融服务行业的知名IT服务商，公司副总裁兼首席安全官Lloyd Hession说：“NAC问题的一方面在于，你必须升级IOS版本。我的网络上共有4万个路由器，对它们进行更新可不是容易的事情。”Hession改而选择了ConSentry公司，那样他不需要对网络进行MAC层过滤和访问控制。ConSentry销售的嵌入式安全设备能够自动评估及执行端点安全策略，确保遵从策略。

　　另外，NAC架构缺少补救功能——它在管理端点本身的补丁级别方面不尽如人意。另外，设备经过评估后，采取什么措施方面缺乏很强的灵活性。只有这两种情况：要么通过评估，允许连接到网络上；要么未通过评估，被转移到访问权限有限的某个虚拟局域网（VLAN）上。

　　Altiris公司的产品经理Rich Lacey负责处理本公司的NAC兼容产品，这种产品提供了通过桌面管理和复制来补救的解决方案。他说：“通过补救机制，让客户端摆脱隔离区域，这确实是一门技艺，这也是我们现在所做的。”

　　思科得到了迈克菲、趋势科技和赛门铁克等反病毒产品的支持，另外还得到了几家软硬件厂商的支持。

　　Hession并不觉得把代理安装到所有端点上特别吸引人。他说：“代理存在的问题在于，你最终不得不安装多个代理，以便支持你想要处理的所有事情，比如反病毒和访问控制。思科的NAC迫使我往代理这个方向走，但我不想走这条路。”

　　思科公司安全技术部门的产品经理主管Russell Rice说：“我们目前支持代理。但我们也会开发无代理的解决方案，那样就能主动扫描及评估其他非Windows设备。”

　　NAC正在把支持范围扩大到代理以外的领域，而Qualys（其产品QualysGuard支持NAC）等厂商正在提供这种服务：可支持无代理监控无法使用代理的网络设备，比如打印机及其他嵌入设备。

　　微软的NAP

　　NAP还没有实施在任何产品中，不过这项方案得到了60多家厂商的支持，其中许多厂商为了保险起见，同时支持NAC。

　　NAP把安全策略管理和执行功能集成到了Windows Server中——自活动目录的早期以来，Windows Server就多少缺乏这种功能。

　　微软公司负责NAP的Windows Server事业部的集团产品经理Mike Schutz说：“NAP将会提供通过各种机制来执行策略的功能，使用验证主机的IPSec、802.1X，或者通过VPN或DHCP。”

　　与NAC一样，NAP也使用客户软件：隔离代理（Quarantine Agent），把信息传送到微软的网络策略服务器；与思科的ACS一样，网络策略服务器也与第三方服务器一起检查遵从策略的情况。NAP承诺会提供多种执行选项，包括DHCP、IPSec VPN和802.1X。

　　NAP最初将单单支持XP SP2、Longhorn Server和Windows Vista，需要在每个设备上安装NAP更新。这将给使用旧版本Windows的公司带来问题，而且需要使用新的操作系统，还要测试及管理XP升级。另外，验证和执行服务器即DHCP和RADIUS服务器将需要Longhorn，这就需要进一步升级，NAP的专有性因而更明显了。

　　Schutz说：“我们并不认为NAC和NAP是两者择一的情况。我们已宣布，我们将开展互操作性解决方案方面的合作，那样客户就可以选择满足自身需求的最佳方案。”不过，微软和思科目前都还没有与TCN解决方案兼容，眼下也没有这方面的计划。

　　佐治亚州富尔顿县政府已经在试用NAP，使用早期版本的微软服务器和Vista桌面电脑及笔记本电脑。

　　负责管理该县IT部门部署NAP的Keith Dickie说：“一切都仍处于测试中。不过我们的几名IT员工正在生产环境的机器上使用NAP，没有任何问题，包括把赛门铁克的诺顿反病毒软件与微软的SMS和Windows服务器集成起来。”

　　该县在使用IPSec验证，部署的NAP可以检查一系列健康要求，包括确保诺顿反病毒软件的版本最新。

　　可信计算组织的TNC

　　TNC由支持一批开放标准的几十家业界重量级公司（思科除外）组成。好消息就是，标准或多或少符合之前提到的网络访问控制安全的五个要求：策略定义、检测、评估、执行及补救。坏消息是，不是所有标准都已经得到了定义；糟糕的是，也没有多少产品支持真正实施解决方案所需要的大部分标准。

　　TNC的关键要素是支持RADIUS和802.1X验证服务器和协议的功能，另外还有端点上的可信硬件芯片和软件。

　　TNC的联合主席、Juniper Networks公司的产品经理Steve Hanna说：“这可不是需要全面改动的叉车式升级（forklift upgrade）。”它与思科采用的方案有着尤其明显的区别，后者使用思科的ACS验证服务器。

　　名为可信平台模块（TPM）的一种公钥基础设施（PKI）芯片增强了验证功能，有助于通过硬件实现方案来防止软件遭到潜在破坏，从而保护笔记本电脑的安全，远离未授权用户，比如窃贼或者仅仅捡到丢失笔记本电脑的人。

　　Hanna说：“如今你根本没法信任软件，因为PC可能遭到了零日漏洞（zero-day vulnerability）或者用户通过互联网下载的东西的破坏。要发现这个问题，惟一的办法就是借助可信硬件。”许多笔记本电脑厂商已经把可信硬件模块添加到了各自的产品线当中，包括戴尔、富士通、惠普和联想。

　　一旦验证检查获得通过，可信硬件里面的程序就会把控制权交给第三方软件代理，由代理检查设备遵从策略的情况，与负责处理网络验证和登录访问的TNC架构协同工作。作为一项开放标准，TNC有望使用任何一种执行机制。

　　思科的竞争对手Juniper已经在提供符合TNC的产品，这不足为怪。Juniper之前收购了开发RADIUS服务器产品的Funk软件公司。

　　SSL VPN支持是软肋

　　这三款解决方案都缺少了支持SSL VPN有功能。TNC的Hanna说：“谁都没有支持SSL VPN的任何产品，我们还无法支持它。不过我们预计很快就会出现这样的功能。”

　　SSL VPN方面要走很长的一段路。没多少厂商提供支持众多反病毒扫描器的功能，许多只支持Windows/IE组合，或者在网络登录之前扫描网络连接。问题的一方面在于，大多数VPN厂商在完成开发了第一批产品之后才添加了支持端点安全的功能。举例说，北电网络（Nortel）和Aventail在各自的VPN产品中有两套不同的访问控制——一个支持端点安全，而另一个不支持。许多SSL VPN厂商正与第三方端点安全厂商合作——提供NAC、NAP和TNC之外选择的市场在日渐壮大。

　　不能等下去？

　　虽然思科、微软和可信计算组织之间的营销大战日渐升温，但企业们在寻求这样的解决方案：眼下管用；又可能支持NAC、NAP和TNC，以便将来升级。有几家厂商现在交付的产品至少能够满足保护网络访问的部分要求。

　　这些产品提供众多检查及执行选项，以控制得到管理及没有得到管理的设备，并且为客户提供了很大的灵活性。许多产品提供基于登录、代理、ActiveX或者Java的扫描方法，确定端点遵从策略的情况；你可以根据自身的要求，对这些扫描方法进行混合搭配。另外，这些产品日益提供DHCP、802.1X、基于代理的、嵌入式设备或者NAC等选择，而不是单一的执行机制，所以贵企业确实可以选择与自己的环境一致的方案。

　　实际上，思科拥有与自己的NAC架构并不完全相符的第二种方案，名为“干净客户机访问”（Clean Client Access），这是它收购Perfigo公司的成果。它能够实现基于代理的端点评估、客户机与策略管理以及补救等服务。

　　没有简单的答案

　　事实上，没有哪家厂商拥有完整的解决方案可以保护你的所有端点、确保资源安全。你要找到一款产品来处理不同的安全策略，从而保护那些漫游笔记本电脑和关键的网络资产。另外，除非你有一个完全同类的网络，全部由运行IE的Windows XP用户组成，否则就需要支持其他操作系统和浏览器。尽管厂商的说法都很动人，但没有哪家厂商即将提供可与代理技术和无代理技术一起使用的通用的端点解决方案。

　　如果你坚持使用XP/IE环境，如果所有用户都使用管理员权限来访问系统，如果你不介意他们通过浏览器下载某种Java或者ActiveX应用程序，那么你使用其中一种第三方设备产品，或者使用Juniper和Aventail等公司提供的VPN解决方案，差不多就能如愿以偿。

　　如果微软的NAP远景与你的远景相一致，不妨使用Windows ISA Server 2004运行VPN隔离机制，以此获得先机。一旦Windows ISA Server 2004最终在明年初发布，将成为Longhorn代码的基础。

　　而如果你把所有思科路由器更新到最新版本，而且继续一律使用思科的产品，那么思科及合作伙伴的其中一款NAC解决方案可能适合你。

　　但如果上述场景不符合你的情况，你就要安排好工作，实施最佳的端点安全解决方案。与所有信息安全项目一样，最可靠的忠告就是，全面了解贵企业和业务需求。要弄清楚这些问题：

　　·移动员工有哪些？他们使用哪些操作系统和安全应用软件？他们又如何连接到网络上？

　　·顾问和厂商经常访问网络吗？

　　·你的网络基础设施是什么？它支持哪些执行/补救机制？它是同构网络吗？它是比较新、使用最新版本的固件吗？有没有无法支持基于网络的解决方案的遗留路由器和交换机？

　　 理清NAC、NAP和TNC需要一段时间，你要自行决定如何保护访问网络的端点。要选择这样的解决方案：至少能满足那些最关键的要求，而且与贵企业在将来的计划相一致。