端点安全是目前网络界非常火爆的话题，思科，微软分别推出了NAC、NAP，国内本土厂商华为3com也推出了EAD计划，每家网络厂商也都有类似的解决方案。各个解决方案虽然叫法不同，但是实现的目的、大体的网络架构都是非常类似的。此次本报编辑选编的美国网络世界一篇测试报告就是关于端点安全产品测试的，每家测试产品都可以完成上述端点安全功能。在编辑这篇文章的过程中，编辑也查阅了大量的相关资料，发现生产此类产品的小公司在美国非常多。在除了思科这样的网络大鳄之外，小厂商的产品往往也有他的独到之处。

        对于公司网络的安全一致性审计要求来说，在端点上设置和强制执行安全策略，非常至关重要。在我们的端点安全产品测试中，这些产品可提供策略强制执行功能，每一款产品都可以识别出系统是否符合策略一致性要求并且可以采取行动来补救不符合策略的系统。

        我们制定了一系列产品所应该提供的策略强制清单，这其中包括产品可以识别出未打补丁的操作系统、是否符合安全策略一致性、对不符合策略要求系统进行限制访问、分析并得出客户端的报告和对不符合安全策略要求的系统采取补救行动使之和整体安全策略相一致。

        我们非常理解没有一家产品可以全部满足我们的安全策略要求，我们会尽可能地让厂商展示他们所有的功能特性。

        如果没有在网络中增加安全产品则会引起很大的安全灾难，我们也检查了端点安全产品自身的安全架构特性。

        我们对此领域内的13家厂商发出了测试邀请函，最终CheckPoint、Cisco、Citadel、InfoExpress、Senforce、Trand Micro和Vernier/PatchLink Networks同意参加测试。Elemental Security，EndForce，McAfee，Sygate，SecureWave和StillSecure则拒绝参加了此次测试。Vernier/PatchLink因为在所有测试项目中有着不错的表现，所以最终最终赢得了这次测试。例如此产品可阻止网络访问并且自动修补不符合安全策略的系统，它的安全检测功能最富有弹性。

        Senforce获得了第二名，但是与第一名的测试分数非常相近。Senforce有着最为强大的主机坐镇网络中央，它们仅仅使用客户端软件，不用其他在线设备就可以实现端点安全功能。Trend Micro公司总体上表现也非常好，仅仅是在满足我们的策略管理要求方面栽了一马。

        Citadel是一款强大的产品，但是在策略一致性功能方面需要投入更大的精力，这家公司说他们会在4.0版本中集成这项功能。从技术观点上来看，Cisco也表现得非常不错，但是需要在报告和总体可用性方面需要改善。Check Point是一款可靠的产品，但需要在报告和更详细的自定义策略检查功能上下足功夫。

        和我们通常的安全测试一样，我们仍然会关注于当端点遭受攻击时，产品所应该采取的行为，我们感到InfoExpress的产品仍然在这一领域中有着深厚的技术背景，但产品的可用性和文档说明仍然需要改善。

        因为我们将注意力都投向了每款产品的测试要求上，所有我们不能测试每款产品的功能亮点。

Vernier/PatchLink

        Vernier Networks和PatchLink所提交的产品包含了Vernier EdgeWall 7000i——一款强制策略一致性的在线设备，PatchLink升级服务器和相应的端点代理软件可以方便地对客户端进行安全策略一致性检查。

        产品的安装非常顺利，特备是在两家产品合作进行测试的情况下。测试过程中我们仅仅碰到了EdgeWall 7000i的一个问题——在默认状态下，NAT功能是打开的，然而我们并不需要这个功能，因为我们仅仅把这个产品当作了一个桥接设备。在非常轻易地关掉NAT功能后，以下工作就非常顺利地进行下去了。

        虽然客户端依靠EdgeWall 7000i本身就可以进行易受攻击性检查扫描，但我们的测试却非常依于PatchLink升级服务器。PatchLink升级检查包括检测反病毒软件包的数量和所有Windows安全升级。对于间谍软件检测，EdgeWall 7000i可以识别出一些恶意流量，并且通过一种方法可以识别出我们在测试中所用的间谍软件。此外，PatchLink提供了一个间谍软件模块来识别间谍软件所运行的端点系统，但是我们并没有这个功能。

        用Vernier/PatchLink可以禁止USB拇指驱动器（编者注：在这里指小型的U盘产品）访问。当我们利用EdgeWall 7000i产品进行应用控制测试时，成功地阻止和控制了我们所指定的应用流量。

        PatchLink开发工具允许你制定自定义策略和补丁包，提供了在我们所测试的产品中最富有弹性的自定义检查功能。

        这些产品也可以在VPN连接上强制策略一致性，此功能的考虑是基于你假如有一个移动地工作站的话，就必须要保证移动接入的安全性。但此功能也有致命的缺陷：假如某个端点在线，而Vernier/PatchLink此时又发生故障，那么端点就不能连接到总部网络了。

        Vernier要求你设置多个安全配置级别——你必须设置多个不同的安全文件、身份文件、连接文件和访问策略，从而你可以追踪这些配置文件。在管理GUI界面中，一个不同的设置过程布局可以让你更多的凭直觉来进行设置工作。

        当一个系统将要访问网络时，这个系统就会立刻被进行扫描和置于一个统一的网络访问策略下。对于我们的测试来说，我们设置了三个访问策略——符合安全一致性策略的系统可以进行全部访问、对于不符合策略的系统限制访问并且把这个系统链接到Internet上进行打补丁工作、限制没有安装PatchLink代理软件的组系统访问，对于没有安装PatchLink代理软件的一组系统来说，利用EdgeWall 7000i的URL重定向功能可提供这些系统一个链接来下载安装代理软件。

        当EdgeWall 7000i包含了网络强制组件时，PatchLink升级服务器可利用强制的基本默认配置提供及时的补救行为。当我们让一个没有安装PatchLink代理软件的系统连接到网络时，我们打开浏览器，浏览器被重定向到一个链接上，下载和安装PatchLink代理软件。

        一旦代理软件被安装和运行时，通过PatchLink升级服务器中默认配置，没有打上补丁的系统和安全设置就会被自动部署在系统内。一旦系统满足了一致性要求，就会被允许访问全部测试环境——正如事先所期望的。

        当不符合一致性要求的系统将要上线时，Venier/PatchLink并不能提供警报机制，但是它提供了许多的报告选项。通过PatchLink升级服务器，你可以得到一个系统完整的打补丁历史，EdgeWall 7000i则提供了所有在线系统总体的一致性状态报告。

Senforce

 

        对于安全测试过程，我们感觉非常艰难。我们第一次尝试进行分布式安装，但是所利用SSL的组件之间却不能进行适当的通信。然后我们运行了单个服务器安装，但是数据库却不能正常使用并且错过了产品运行所需要的关键数据安装。Senforce的技术支持对于这个问题并不能解释，但却很快帮助我们完成了工作，在第三次尝试以后，我们最终才得以继续测试。一旦安装完成，我们并没有遇到其他的服务器操作问题。文档非常充足，但是双列的文字布局，使得用户阅读起来非常麻烦。

        策略的制定过程表明了系统如何检查反病毒特征库、打上错过的补丁和应用控制（例如允许或者禁止某些类型的应用流量）。在我们的测试中，Senforce安全套件成功地通过了所有支持的策略检查测试。

        如果产品被直接置于终端点之后，在和VPN的连接过程上可以进行策略检查，但如果客户端不能直接连接到网络上时，策略的强制执行也是可以工作的。通过产品强有力的脚本引擎你也可以创造自定义的策略检查。

        网络管理员可以在策略编辑器里新建策略，策略编辑器有着非常不错的界面并且可以凭直觉操作。当我们碰到问题时，文档可以迅速帮助我们解决。

        在通过网络共享方式安装客户端软件时，我们碰到了问题。在安装过程中，网络连接被中断了，因为程序要求安装网络驱动程序接口规范（NDIS）驱动。其他的产品会有配置警报，告诉你不要在网络上安装软件。Senforce也应该包含类似地警报。

        我们更喜欢以主机为中心的解决方案，因为系统会识别出不符合策略的电脑，然后会由代理机上自己的防火墙来进行控制（Check Point和Citadel功能与时下流行的方法类似）。在我们的测试中，以主机为中心的工作方法工作得非常好。然而，假如主机受到攻击或者Senforce的客户端程序被关掉、删除，这些情况会带来很大的问题。在我们的测试中，一些客户端程序很容易被关掉。没有客户端程序，策略检查就不再工作。对于网络设备厂商来说，攻击者仍然会有一些方法绕过安全保护。

        客户自己编写的策略脚本可以让产品具有更大的使用弹性。这些脚本甚至可以让用户下载和执行必要的程序来弥补客户端电脑的缺陷。一个不符合策略的系统，我们可以对其做出如下动作：设置为阻塞其所有数据流、运行某个客户端隔离规则、仅仅让其访问定义好的资源、访问Internet或者是只能访问内部网络。

        安全套件不包括警报功能。报告是以Web方式进行浏览的，但是你却不能输出这些报告或者另存为Web形式。默认的报告包括图形和汇报，但是我们更喜欢自由的客户订制能力。报告提供了很多的信息但是却不包括全局系统的打补丁历史和状态。

Trend Micro

        我们测试了Trend Micro Network的VirusWall 2500和OfficeScan 7企业版防病毒软件。VirusWall 2500是一款在线设备，它可根据在Trend Micro设备上预先定义好的策略来阻止或者允许网络访问。当一个系统尝试访问网络时，它会被扫描，看其是否易受攻击（例如没有打包或者是易受攻击）。

        当端点没有直接连接到网络中时，你就不能新建自定义的策略或者进行策略一致性保护了。Trend Micro的系统可以在VPN上工作并且能和主要的几家VPN网关集成来进行防病毒检查。

        这款产品易于设置并且可以凭直觉使用，在我们进行的所有测试中，这款产品给了我们愉快的使用经历。

        假如一个不符合策略的系统上线，终端用户可以看见一个错误提示，打开浏览器被重定向到一个网络管理员预先定义好的URL上。我们非常喜欢这样一个功能——终端用户会看见一个弹出式消息框被告知：“打开浏览器获得更多信息”。

        因为VirusWall 2500和它的策略强制能力与OfficeScan集成得很紧，所以一旦没有安装防病毒软件很容易的就被指向安装链接。另外，探测到的病毒会被自动删除。另外一些易受攻击的系统，例如没有及时打补丁也会利用其他方式来完成。

        Trend Micro的报告和警报能力是我们所测试产品中表现最好的。我们可以简单的设置系统发送管理员E-mail或者SNMP警报，当不符合安全策略的系统上线时。我们可以一次生成或者预定系统打补丁的报告，也可以将这些报告以PDF格式或者其他一些文件格式进行输出。我们也可以生成一份关于离线或在线电脑错过升级软件的报告。

        Senforce端点安全套件有5个主要的部件。在Windows服务器上运行的分布式策略服务、和其通信的客户端、策略部署、策略收回（retrieve policy）和从分布式客户端收集来的注册数据。管理服务功能控制了用户策略、策略存储和生成报告。策略编辑器的用户界面可以用来进行策略的生成和管理。用密码加密过的客户位置确信服务可以确保一个系统是否确实在网络上，此举可以使系统免受用户欺诈攻击。最后，全面的Senforce安全客户端包括一个以主机为基础的防火墙程序，这个防火墙程序在受监控的端点上运行，它用来强制策略实施和控制系统的补救过程。