结论

        我们测试的端点策略强制产品，大部分都包含了基本的功能。但是要成为一家企业网络安全基础架构的核心组件，这些产品仍然需要很长的路要走。我们高兴的看到，这些产品可以解决扩展的策略一致性需求，功能可以满足当前的安全和网络基础需求。

        应该指出的共同一点是，产品缺乏警报能力和经常存在的需要改善报告技术要求。这些组件在策略一致性产品中非常关键，顺便提一句，审计追踪能力也非常关键。

        此外，一些产品也应该包括依据文件或者进程名来进行策略一致性检查的能力。我们看到有些产品应该包含一些种类的校验和检测。 我们也看到当终端用户不符合策略一致性时，系统使终端用户意识到是哪些方面出现了问题的能力所有改善。大部分产品都在Web浏览器中提供了重定向功能，但是假如用户是通过其他不同应用访问网络时，Web重定向功能就有点不合时宜了。

       除了基本功能之外……

       我们所测试的每款产品除了基线测试之外，有些产品其他的一些亮点功能也值得我们考虑。

       例如，思科的CCA（Cisco Clean Access）应用可和Nessus软件配合使用来扫描系统的漏洞，你可以根据自身的网络环境自定义新建检查策略，而不用依赖于标准的签名特征。

        CCA也提供了优先级策略检查能力，假如在你的网络环境中，一条策略比另外一条策略更重要的话，你可以将较重要的策略附加在次重要策略之上。此外，CCA也支持移动用户在CCA服务器之间进行漫游而不用再次认证。

        InfoExpress也支持许多的策略强制模块——大部分我们不能测试——例如RADIUS EAP（802.1X）和Airespace无线局域网，这些策略强制模块可以在你的网络中提供额外的方法来进行认证和授权。
 
         对于策略强制，Trend Micro的Network VirusWall 2500可以监视你的网络流量。此外，它也可以监控网络病毒感染。这家产品的网络病毒爆发监视器可以识别出一个攻击要开始的征兆，例如它根据已知的病毒攻击连接端口或者是某个网络进程的突然提升。当产品观察到一个网络病毒将要爆发时，监视器会触发一个警报。

        Check Point提供了第二种类型的代理软件，称作Integrity Flex agent，这个代理软件提供给终端用户功能全面的管理界面，可以创建自己的策略，这个产品理念对于家庭电脑连接到公司网络非常合适。此代理软件目前版本是Integrity 6.0，它包括了Check Point恶意代码保护，一个内置的主机入侵保护引擎，主机入侵保护引擎可以识别出已知的恶意程序和进程，这些不错的性能特点可以使管理员不需要检测所有程序并且可以创建自己的策略。

         在我们测试完成以后，Citadel公司发布了Hercules 4.0版本。这个发布版本提供了很多数量的强制策略用以改善一致性审计、策略强制任务和引进Hercules应用。一个新引用的策略一致性检查模式允许管理员接收端点的状态报告而不用强迫终端用户立刻采取补救行为。补救行为可以计划在一定的时间段后执行。一个仪表板加进了管理界面中从而可以图形方式快速观察所有被监视设备的策略一致性状态。额外的报告功能也被添加到管理界面中以加强报告引擎。

        Veriner公司的EdgeWall对于注册登录、访客登录、扫描过程和停止扫描Web页面过程有许多的自定义选项。当一些终端用户不符合安全策略时，管理员可以自定义终端用户所看到Web页面上不符合策略的原因的描述。EdgeWall也可以在用户退出登录时弹出菜单。PatchLink可以列出所有运行PatchLink代理软件系统的详细清单，清单包括硬件、软件和服务信息。

        Senforced提供了不少独一无二的功能特点。一个是允许管理员通过Senforce策略控制无线连接选项，例如是可以允许/关闭无线连接、管理WEP的密钥、指令网卡是否可以和AP进行通信和一个系统应该怎样响应信号强度级别。

       端点安全产品自身网络漏洞

      按推理来看，在你的网络中加入端点安全系统，网络就不应该再遭受到攻击了。在测试的最后，我们试图利用黑客软件、服务器组件和利用所生成的网络流量把网络安全撕开一个大口子，从而利用此手段评估每家产品的总体安全性。

      在此测试项目的重磅轰炸下，没有一家产品完全幸免于难，得分较高的产品是Vernier/PatchLink和Senforce。通过删除客户端软件或者其他一些手段，我们都不能绕过策略强制机制。

        为了强制客户端执行安全策略，客户端软件包含了本地系统的详细信息，例如信息包括注册码、文件名称/内容/哈希校验值等。网络攻击者深知这个漏洞。

      我们测试了终端用户在客户端被感染病毒或者试图删除客户端软件的情况下，所有产品的表现。这个测试项目非常复杂，因为每家产品的实现方式非常不同，一些厂商提供了在线（in-line）策略强制设备（Cisco、Trend Micro和Vernier/PatchLink），一些是仅仅具有客户端（Check Point、Citadel和Senforce），还有一些集成进了网络基础设施中（InfoExpress）。

        对于Check Point、Citadel和InfoExpress产品，我们利用开发的代码可以修改客户端软件所存放的目录的名称。一个系统重新启动之后并没有显示客户端软件被删除了。Senforce解决了这个问题，他们不断地使数据和程序文件处于打开状态，探测任何企图删除客户端或其中组件的行为。

        在另一个测试项目中，我们观察了这些产品所生成的网络流量是否会引起一个安全风险，我们发现至少有两种类型流量可以引起安全风险。一个是在客户端和服务器之间的网络流量。另外一个是管理服务器接口所生成和接收的网络流量，管理服务器接口是一个非常有价值的目标，因为它可以控制策略强制机制。

        一些厂商（InfoExpress、Senforce和Vernies/PatchLink）利用未加密的HTTP流量来进行管理员和管理服务器或者其他的一些组件之间的通信。这种行为非常不安全。InfoExpress也用Telnet或者SNMP v2访问网络的基础设施，然而这会暴露密码和其他一些信息。

        所有产品之中，就是Trend Micro对客户端和服务器之间的通信流量进行了加密。假如不进行加密，这些信息对于一个网络攻击者将会是可见的并且可能泄露信息，例如你所强制的策略、网络的配置信息、或者是可能的用户名和密码。

        我们必须从安全观点来看服务器，因为这个小小的“盒子”（运行着各种应用或者客户所支持的平台）已经成为关键网络基础设施的一部分并且很可能成为攻击目标。这些服务器厂商受到探测成为潜在的受攻击目标。一些厂商（Check Point、Cisco、InfoExpress、Trend Micro和Vernier/PatchLink ）使用Transport Layer Security（TLS）/SSL对管理界面或者客户端到服务器的流量进行加密。SSL v2本不应该在产品中使用，因为SSL v2非常易于受到攻击。仅仅只有SSL v3和TLS才被认为是足够安全的。我们一般使用的Windows平台通常可以关掉SSL v2支持，但是对于端点安全应用来说，你却不能这样做。

        大部分厂商用自己签名的证书，这是非常危险的。假如通过手工确认的16字节MD5哈希密钥使用得非常不小心的话，一个黑客就可以利用此漏洞。一些产品应该允许在服务器中置换自定义的签名。

        我们所测试的最后一项是产品可否利用现有最新的软件对管理服务器进行操作，这些现成的软件包括Apache、OpenSS和PHP。我们的这项测试是非常有道理的，厂商对客户端的软件进行升级监视，他们也应该对本身所使用到的工具有一个升级机制。我们非常失望的看到，一些产品用着非常老版本的软件。例如Cisco的CCA使用的OpenSSH版本非常老，Vernier也在使用老版本的PHP。所有运行在基础设施上的软件应该有一个适合的升级机制，因为太古老的软件也有可能成为易受攻击的漏洞。

      测试方法

      因为端点安全厂商在具体实现的方法上有很大的不同，所以针对每家产品的测试方法也必须不同，这样的测试结果才更有意义。

       我们一开始估计了当电脑接入网络时，可能会遇到的强制策略执行方面的麻烦。然后我们定义了电脑在访问网络被允许前，产品所应采取的行动。

       我们计划了对于每家产品要求的最小任务清单。在最基本的层面上，每家产品必须能够识别出不符合策略的系统并且能够采取补救行动。我们也要求必须有中央化的管理和报告能力。

       为了制定出更为详细的测试要求，我们和安全管理者们谈话并且基于自己的安全经验对产品所应该具有的安全策略强制做出了一份测试需求清单。从测试开始，我们就知道产品应该满足我们所有的要求，但是我们却对所有公司提交的产品都持着非常开放的态度。

       我们把测试需求分成了5个方面：策略管理、设置/部署、补救行动、产品弹性和报告/警报功能。

       我们的策略管理评估将焦点集中于产品完成定义策略的能力。我们感到看了文档以后，设置工作应该是相当简单的。代理软件部署的过程也应该是一个简单的过程，产品的使用也应该非常简易。

       补救测试将焦点集中于产品应该如何处理不符合策略的系统。是不是隔离了所有网络访问？我们可以指示终端用户去下载相关没有安装的软件或忘打得补丁吗？补救行为是自动发生的吗？

        弹性测试我们看到了系统如何回应网络攻击。所制定的策略会被易于绕过吗？会非常容易地获得全部网络访问权限吗？我们可以非常简单地卸载客户端软件从而不执行策略强制吗？

       最后，我们评估了管理员会不会得到不符合策略系统的报告和警报，同时，我们测试了产品记录和追踪符合策略系统的状态和补救过程的历史的能力。此外，我们还看了产品能否生成管理报告从而易于理解当前的安全状态。

        我们安装了所有Windows 2003的服务器部件，打上全部的补丁。假如Windows 2003 Server不支持的某些软件（例如Cisco的CSA管理服务器和TrendMicro的OfficeScan管理服务器），我们就利用打上全部补丁Windows 2000 Server进行测试。这些服务器全部安装在VMware虚拟软件上，这个虚拟服务器的配置是1G字节的RAM，Pentium 3 Shuttle服务器上。

        客户端程序被安装在了Windows 2000 SP4 Professional和Windows XP SP2 Professional电脑上。这些客户端所安装的电脑上并没有打上全部的补丁，除非客户端软件要求安装。这些客户端也都安装了VMware虚拟服务器，它的配置是500M的RAM，运行在Pentium 3，3GHz Shuttle服务器上。

        对于策略一致性测试，我们要求所有客户端都配置Sophos防病毒软件和eEye的Blink个人防火墙。

       网络的核心运行着Cisco 3500交换机，配置了两个VLAN。第一个VLAN测试产品所处的VLAN，第二个VLAN是不受信任网络，是我们所要求的补救行为所在的VLAN。

       在产品设置和客户端部署的过程中，我们遇到了一些困难，例如，我们学习产品过程中的文档质量，支持分布式客户端软件的方法。我们也通过所有的测试阶段看了产品的易用性。

        测试策略管理时，我们在每款产品上都设置了策略，以验证产品是否识别出了Blink防火墙和Sophos防病毒软件是否运行在客户端上，同时还验证了产品能否识别出防病毒软件的病毒库是否过期。我们还安装了Dloader Trojan/间谍程序，看看产品能不能识别出并且做出停止/隔离行为。我们配置了一条策略来识别MS05-014（IE的安全补丁）是否安装在系统上，看看产品支持的补救行为，例如发送一个链接，下载补丁文件是手工安装或者自动安装补丁。

       对于应用控制，我们不允许BT访问，这通过应用访问或者网络端口来限制，限制BT访问所采取的行为依赖于产品所支持的类型。我们尝试了阻塞通过USB拇指驱动器访问网络的流量。有的产品可以关掉端口或者阻止文件写。我们然后测试了对于操作系统安全检查的默认支持，密码策略、注册码和控制空会话的能力。

       我们还测试了在远程VPN连接上下发强制策略的能力，这个测试项目利用了Cisco VPN Concentrator作为网关。

       最后，测试了用户新建自定义策略检查的能力，创建一些默认设置中没有的策略。

       在补救区，测试了对于不符合策略系统的全部阻塞网络访问或者访问策略的能力，同时，我们还测试了限制访问内部服务器的能力。此外，我们还测试了浏览器重定向。

       对于报告和警报能力，我们第一个测试了生成警报的能力，假如一个不符合策略的系统上线时，例如通过E-mail或者SNMP通知的能力。随后我们看了报告能力，从基础的系统日志开始看起。我们然后看了生成和输出报告的能力，同时还察看了两个方面输出报告的能力：补救历史（系统或者组）和展示不符合策略一致性系统的细节报告。

       为了测试弹性，我们用了交换机的镜像端口、hub和Linux下的ethereal软件来检查和监视网络流量。我们使用了OpenSSL来手工检查一些我们发现的任何SSL 连接。我们还用NMAP和NESSUS来扫描服务器从而发现易受攻击的潜在部分。我们用基本的Windows文件维护工具来删除客户端软件。