端点安全是指围绕桌面台式电脑、笔记本电脑等终端设备而实行的安全保护技术和管理控制措施，目的是保障桌面计算机系统安全、数据安全、网络安全和应用安全。本文是端点安全的一份路线图，为你介绍了在为企业购买端点安全产品之前需要评估的几个方面。

　　我们在去年看到众多端点安全产品进入市场，它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢？本文就提供了一份路线图，并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。
　　
　　一、哪几个部分最重要？
　　
　　端点安全对不同的人来说意味着不同意思。为了便于讨论，我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同，也许现在想实施其中一两个部分，打算将来时机成熟时再升级到其余几个部分。

　　● 策略定义: 你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略，而且能够轻松修改。
　　● 用户检测: 不管你的用户是在本地总部还是从远地连接到企业网络，你的系统都应当能够检测到他们。这包括每个客户端上使用代理或者无代理的操作。
　　● 健康评估：你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下，应当在访问网络之前进行扫描，不过你的系统也应当允许登录之后进行其他检查。
　　● 策略执行：你的策略确定了应当保护哪些网络资源，包括交换机、虚拟专用网（VPN）和服务器等等。视策略而定，你应当能够隔离资源或者完全拒绝访问网络。
　　● 采取补救：如果客户端不符合策略，接下来会怎样？理想的系统会启动反病毒特征更新、给操作系统打上补丁，或者采取其他措施。记住：目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面，却也是大多数解决方案最薄弱的方面。问题在于，补救起来很棘手，而且需要依赖许多单个的软件和硬件正常工作。

　　目前正在开发中的有三种总体架构方法：微软的网络访问保护（NAP）、思科的网络准入控制（NAC）以及可信计算组织的可信网络连接（TNC）。

　　思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中，从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分，因为思科并不提供一切。思科架构的强项在于执行和检测，补救是它的弱项。

　　TNC一开始是这种概念：使用Radius和802.1x等开放标准对特定的网络客户端进行验证，那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案，所以难怪其强项在于策略定义，弱项在于健康评估。

        NAP还没有真正实施到微软的任何产品中，第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救，弱项在于执行，对另外两种架构起到了很好的补充作用。最初，NAP会单单支持Windows XP和Vista客户端，把其他市场让给另外两种架构。

　　建议：
　　不是每个端点解决方案都能够有效地提供五个方面，大多数的强项在于健康评估或者策略执行等一、两个方面，在其他方面比较弱。认真阅读说明书，确定你最初关注的重心。
　　
　　二、现有的安全和网络基础设施是什么？
　　
　　下一步就是了解你现有的安全产品组合是什么，端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备，或者不想购买功能与现有设备重复的端点产品，这取决于你何时购买了防火墙、入侵预防设备和验证服务器。

　　有些产品（如Vernier）自身随带入侵检测和预防系统或者虚拟专用网络网关，这些是端点安全解决方案的必要部分；而另一些产品（如Lockdown Networks）可与现有的IPS、IDS和VPN产品协同工作。如果你准备选购这些产品，这可能是好消息，但要认识到：你的端点安全只能保护远程用户在使用的机器，却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户，你需要实施802.1x验证之类的机制。

　　思科的NAC假定你使用的所有思科产品都是最新版本：如果不是，那么就要考虑其他架构，除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器，那么支持另外两种架构的产品更有意义。

　　建议：
　　● 如果你没有VPN，或者正在考虑实施VPN，那么Juniper和F5（其次是思科和Aventail）提供的SSL VPN具有相当可靠的端点健康扫描功能。至于已经有企业IPsec VPN的用户，比较适合实施端点安全解决方案，假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支持这种方法。
　　● 如果你已经有了切实可行的VPN而现在又不想改动，不妨考虑自身随带802.1x验证服务的产品解决方案，譬如赛门铁克或者Infoexpress的方案。你需要加强验证机制，以便处理下面提到的端点健康评估工具。
　　● 如果你需要升级交换机，Nevis和Consentry都提供各自集成了端点安全功能的48端口交换机。
　　
　　三、要保护网络上的哪些部分？
　　
　　接下来要确定你想把端点安全设备放在网络上的哪个部位，想保护企业计算资源的哪些部分。显然，网络上所要保护的部分越多，项目成本就会变得越高。有些设备应直接放在企业防火墙后面，保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好，或者部署用来保护某些子网或者部门级网络。
TNC架构似乎是三者当中最灵活的，适用于最广泛的部署及保护场景。NAP旨在保护微软服务器，而NAC是为思科网络交换机和路由器设计的。

　　有些设备（如Vernier、Consentry和Nevis Networks）采用嵌入式工作方式，这意味着位于这种设备后面的任何网络资源都会得到保护；只有健康的网络客户机才能通过进而访问这些资源。另一些设备（如Mirage、Forescout和AEP Networks）采用带外工作方式，通常经由网络跨接端口连接起来，监控某个子网上的所有网络流量；一旦用户通过活动目录或者VPN登录成功通过验证，它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处，就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限，无法处理较大网络的较高吞吐量。

　　建议：
　　● 对于吞吐量需求较高的大型网络，不妨考虑Juniper的端点解决方案，它适用于75 Mbps到30 GBps的多种吞吐量。
　　● 如果无法确定使用嵌入式还是带外式，那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。
　　
　　四、管理所有桌面系统吗？
　　
　　下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高（譬如说10%以上），合作伙伴或者承包商使用自己的计算机，或者远程员工不来总部办公室上班，那么你无法轻松接触外面的这些PC。如果你分发软件更新版，牢牢控制桌面PC，就能够更轻松地安装软件代理，进行健康评估，采取纠正措施。

　　每种设备都有可能使用三种基本类型的代理中的一种：

　　● “胖”代理，也就是每个端点PC上永久安装的可执行文件。
　　● 按需代理，只有PC连接到网络时才存在，通常通过浏览器会话或者网络登录过程的一部分来提供。
　　● 无代理解决方案，不在端点上安装任何软件，但能够与PC上已有的软件协同运行。

　　问题在于，使用哪一种软件代理来处理实际工作，要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和IE浏览器版本，但也有一些例外，如果你使用的不是Windows操作系统更是如此。

　　微软的NAP在这方面的功能最弱，如果你仍在运行Windows XP之前的版本，功能将更弱。微软已承诺为Windows XP SP2和Vista推出支持其网络访问保护系统的代理。如果你使用的Windows版本比较旧，就要寻求第三方代理供应商。NAC和TNC都旨在更广泛地支持Windows、Mac和Linux等端点操作系统客户端。

　　有些厂商提供多个代理，不过有不同的功能及对操作系统的支持。譬如说，Nevis Networks为Windows提供的Active X控件可以执行健康评估。对于非Windows客户机，Nevis只能使用无代理连接，进行最基本的身份控制。

        建议：
　　● 如果你需要Mac OS支持“胖”代理，不妨考虑AEP、Infoexpress和Lockdown Networks的解决方案。赛门铁克的按需代理可运行在Mac OS和Linux上，但“胖”代理只能运行在Windows 2000和XP上。赛门铁克和Consentry承诺今年晚些时支持Mac OS和Linux。
　　● Lockdown和Mirage Networks更进了一步：两家公司都把端点放在了各自的专用虚拟局域网（VLAN）上，因而能够确保有风险的设备与其他设备隔离开来。
　　● 想获得完全无代理的方法，不妨考虑Forescout和Vernier。
　　
　　五、非PC端点需要管理吗？
　　
　　想弄清楚使用哪种代理，一方面要知道你的网络上还有什么，需要管理什么。“胖”代理无法管理企业网络上运行自身操作系统的非PC设备，譬如打印服务器、网络摄像机和PDA等。这些设备大多有IP地址，运行各自的操作系统，不容易由端点设备来管理。

　　处理非PC端点的最合适的架构就是TNC方案，它能够兼容类别最广泛的设备。NAC会在网络层实施支持非PC端点的功能；至于微软的NAP，你需要指定策略才能处理这些设备。

　　大多数厂商提供这种功能：把MAC或者IP地址加入白名单或者对它们进行预验证，那样它们仍可以连接到网络上完成任务。不过，把这些设备加入白名单只是临时解决方案，因为其中一些设备一旦被感染，安全就会受到危及，进而对网络造成危害。Forescout和Mirage Networks都能检测到来自这些专门设备的流量模式出现的变化，并且能够隔离设备。

　　建议：
　　你网络上的非PC端点数量可能比你想像的多得多，可能无法轻易把它们隔离到单一VLAN或者网段。要进行认真的现场勘查，确定这些端点与任何计划中的解决方案有着怎样的关系。

　　六、在何处制订及执行安全策略？

　　众所周知，任何端点解决方案都会影响到众多计算设备：客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来，你需要作出决定：存放端点策略的集中存储库放在何处；在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地，也有可能是全新的安全设备。

　　TNC倾向于使用802.1x验证协议作为存储库，不过这是其架构的可选部分，而不是必需要求。NAC比NAP更注重执行功能，至少目前是这样。

　　建议：
　　● 最自然的起步就是使用微软的活动目录作为这样一个策略存储库；而且，微软的NAP确实是为这种目的而设计的，最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能，这看你是如何进行设置的。
　　● 另一个解决办法就是使用第三方厂商来完成这项任务，譬如Lockdown、Trusted Network Technologies或者Consentry，不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。
　　● 另一个办法就是使用现有反病毒软件厂商的集中管理设备，并且在这些设备上制订整体端点策略：这也许同样不可能实现，这要看你如何进行配置从而与其他网络部分进行联系。

　　正如大家所知，端点安全有许多方面和漏洞，它基本上仍在不断完善中。不过解答上面六个问题可以帮你关注最合适的解决方案，把范围缩小到数量合理的几家厂商，以便进行最终选择。你还要有阶段地进行考虑：先是通过VPN保护所有远程用户，然后进入到网络边界内部，以处理所有本地总部用户。