端点安全大概是近年来信息安全领域的一个热门话题，这并不奇怪。不管你多么努力地防御网络边界，漫游的笔记本电脑和设备总是必然会把蠕虫、病毒和间谍软件带入到你的网络上。

配置了无线适配器的大众化笔记本电脑具有的移动功能解放了大批员工，他们可以在任何地方办公，无论在办公室、在家里还是在路上。咨询顾问和厂商可能连接到你的网络使用一小时或者一天——你如何防范他们可能带来的潜在危害呢？

网络基础设施和操作系统软件领域的两大巨头：思科和微软各自都启动了这方面的计划，确保端点设备只有符合安全策略，才可以访问企业网络。并不奇怪的是，思科的网络准入控制（NAC）依赖思科的交换基础设施；而微软的网络访问保护（NAP）通过Windows操作系统发挥作用。除了这些普遍但专有的方案外，可信计算组织（TCG）正在开发基于标准的可信网络连接（TNC）。

如果让你来选择，该选择哪个方案来保护端点安全、让本地网络避免遭到已成为漫游恶意软件收集器的“已中招”机器的攻击呢？

确实马上需要解决方案

面对需要立即引起注意的安全问题，你应当寻求这样的解决方案：可以定义细粒度策略、检测连接到网络上的每个设备、评估遵从策略的级别、执行访问策略，以及补救未遵从策略的机器。

这对任何一个安全系统来说都是过高要求，积极采用端点安全并非易事。三大架构：NAC、NAP和TCN都不完整，实施成本也很高；而且很复杂，不易理解。它们都从不同方面来处理端点安全问题，所以彼此并非相互排斥也就不足为怪了：

·思科的NAC专注于网络基础设施和策略定义及管理；当然，它假定你会使用许多思科路由器，采用思科的安全解决方案；而且在将来牢牢保护端点时，希望继续使用思科的系列产品。

·微软的NAP偏重于健康评估和补救方案；它假定你从微软服务器和桌面系统开始着手；并且假定你主要关注的是确保它们安全运行。

·可信计算组织的TNC采用了粗略的架构方案；它假定每个桌面系统都含有一种专门的硬件，负责验证端点的安全未遭到破坏；并且依靠这个硬件来监控及执行端点策略。

我们不妨看一下这些计划，看看它们声称具有的功能以及各自存在的不足。

思科的NAC

NAC处于领先位置，这归功于同时出现了支持它的架构和产品。NAC旨在通过实施在路由器和交换机以及Windows和Linux客户端中的可信模块来保护网络访问。

现有众多厂商支持NAC，理由很充足：你需要其中几家厂商来组建一套完整的解决方案，以便满足端点安全需求的所有五个方面。你至少需要在端点上运行两个代理，才能处理比较复杂的策略以及检查遵从SSL VPN的情况。

NAC使用的客户软件思科可信代理（Cisco Trusted Agent）负责收集设备信息，并使用802.1X机制，把信息传送到思科的远程验证拨入用户服务（RADIUS）服务器：安全访问控制服务器（ACS）。而ACS与第三方策略服务器（反病毒和补丁）进行通信，确定遵从情况，并通过交换基础设施执行网络访问。

有些分析师认为，NAC需要部署太多的部件；实施起来可能有难度，因为要管理所有的互联网操作系统（IOS）更新工作，以便各部分协同工作；而且基础设施出现变化时，需要维护。

NAC的问题在于：它自身会带来全孤岛；依赖思科的RADIUS服务器作为惟一的验证机制；而且思科交换机需要最新版本的固件。此外，NAC不一定与思科的遗留基础设施协同工作，除非遗留系统更新到最新固件。

英国电信Radianz公司是一家面向金融服务行业的知名IT服务商，公司副总裁兼首席安全官Lloyd Hession说：“NAC问题的一方面在于，你必须升级IOS版本。我的网络上共有4万个路由器，对它们进行更新可不是容易的事情。”Hession改而选择了ConSentry公司，那样他不需要对网络进行MAC层过滤和访问控制。ConSentry销售的嵌入式安全设备能够自动评估及执行端点安全策略，确保遵从策略。

另外，NAC架构缺少补救功能——它在管理端点本身的补丁级别方面不尽如人意。另外，设备经过评估后，采取什么措施方面缺乏很强的灵活性。只有这两种情况：要么通过评估，允许连接到网络上；要么未通过评估，被转移到访问权限有限的某个虚拟局域网（VLAN）上。

Altiris公司的产品经理Rich Lacey负责处理本公司的NAC兼容产品，这种产品提供了通过桌面管理和复制来补救的解决方案。他说：“通过补救机制，让客户端摆脱隔离区域，这确实是一门技艺，这也是我们现在所做的。”

思科得到了迈克菲、趋势科技和赛门铁克等反病毒产品的支持，另外还得到了几家软硬件厂商的支持。

Hession并不觉得把代理安装到所有端点上特别吸引人。他说：“代理存在的问题在于，你最终不得不安装多个代理，以便支持你想要处理的所有事情，比如反病毒和访问控制。思科的NAC迫使我往代理这个方向走，但我不想走这条路。”

思科公司安全技术部门的产品经理主管Russell Rice说：“我们目前支持代理。但我们也会开发无代理的解决方案，那样就能主动扫描及评估其他非Windows设备。”

NAC正在把支持范围扩大到代理以外的领域，而Qualys（其产品QualysGuard支持NAC）等厂商正在提供这种服务：可支持无代理监控无法使用代理的网络设备，比如打印机及其他嵌入设备。