NAC与端点安全框架 何去何从？

核心提示： 不能等下去？虽然思科、微软和可信计算组织之间的营销大战日渐升温，但企业们在寻求这样的解决方案：眼下管用；又可能支持NAC、NAP和TNC，NAC与端点安全框架 何去何从？(6)，以便将来升级，有几家厂商现在交付的产品至少能够满足保护网络访问的部分要求，你要自行决定如何保护访问网络的端点，要

不能等下去？

虽然思科、微软和可信计算组织之间的营销大战日渐升温，但企业们在寻求这样的解决方案：眼下管用；又可能支持NAC、NAP和TNC，以便将来升级。有几家厂商现在交付的产品至少能够满足保护网络访问的部分要求。

这些产品提供众多检查及执行选项，以控制得到管理及没有得到管理的设备，并且为客户提供了很大的灵活性。许多产品提供基于登录、代理、ActiveX或者Java的扫描方法，确定端点遵从策略的情况；你可以根据自身的要求，对这些扫描方法进行混合搭配。另外，这些产品日益提供DHCP、802.1X、基于代理的、嵌入式设备或者NAC等选择，而不是单一的执行机制，所以贵企业确实可以选择与自己的环境一致的方案。

实际上，思科拥有与自己的NAC架构并不完全相符的第二种方案，名为“干净客户机访问”（Clean Client Access），这是它收购Perfigo公司的成果。它能够实现基于代理的端点评估、客户机与策略管理以及补救等服务。

没有简单的答案

事实上，没有哪家厂商拥有完整的解决方案可以保护你的所有端点、确保资源安全。你要找到一款产品来处理不同的安全策略，从而保护那些漫游笔记本电脑和关键的网络资产。另外，除非你有一个完全同类的网络，全部由运行IE的Windows XP用户组成，否则就需要支持其他操作系统和浏览器。尽管厂商的说法都很动人，但没有哪家厂商即将提供可与代理技术和无代理技术一起使用的通用的端点解决方案。

如果你坚持使用XP/IE环境，如果所有用户都使用管理员权限来访问系统，如果你不介意他们通过浏览器下载某种Java或者ActiveX应用程序，那么你使用其中一种第三方设备产品，或者使用Juniper和Aventail等公司提供的VPN解决方案，差不多就能如愿以偿。

如果微软的NAP远景与你的远景相一致，不妨使用Windows ISA Server 2004运行VPN隔离机制，以此获得先机。一旦Windows ISA Server 2004最终在明年初发布，将成为Longhorn代码的基础。

而如果你把所有思科路由器更新到最新版本，而且继续一律使用思科的产品，那么思科及合作伙伴的其中一款NAC解决方案可能适合你。

但如果上述场景不符合你的情况，你就要安排好工作，实施最佳的端点安全解决方案。与所有信息安全项目一样，最可靠的忠告就是，全面了解贵企业和业务需求。要弄清楚这些问题：

·移动员工有哪些？他们使用哪些操作系统和安全应用软件？他们又如何连接到网络上？

·顾问和厂商经常访问网络吗？

·你的网络基础设施是什么？它支持哪些执行/补救机制？它是同构网络吗？它是比较新、使用最新版本的固件吗？有没有无法支持基于网络的解决方案的遗留路由器和交换机？

理清NAC、NAP和TNC需要一段时间，你要自行决定如何保护访问网络的端点。要选择这样的解决方案：至少能满足那些最关键的要求，而且与贵企业在将来的计划相一致。