NAC与端点安全框架 向左转还是向右转(3)

这三款解决方案都缺少了支持SSL VPN有功能。TNC的Hanna说：“谁都没有支持SSL VPN的任何产品，我们还无法支持它。不过我们预计很快就会出现这样的功能。”

SSL VPN方面要走很长的一段路。没多少厂商提供支持众多反病毒扫描器的功能，许多只支持Windows/IE组合，或者在网络登录之前扫描网络连接。问题的一方面在于，大多数VPN厂商在完成开发了第一批产品之后才添加了支持端点安全的功能。举例说，北电网络（Nortel）和Aventail在各自的 VPN产品中有两套不同的访问控制——一个支持端点安全，而另一个不支持。许多SSL VPN厂商正与第三方端点安全厂商合作——提供NAC、NAP和TNC之外选择的市场在日渐壮大。

不能等下去？

虽然思科、微软和可信计算组织之间的营销大战日渐升温，但企业们在寻求这样的解决方案：眼下管用；又可能支持NAC、NAP和TNC，以便将来升级。有几家厂商现在交付的产品至少能够满足保护网络访问的部分要求。

这些产品提供众多检查及执行选项，以控制得到管理及没有得到管理的设备，并且为客户提供了很大的灵活性。许多产品提供基于登录、代理、ActiveX或者 Java的扫描方法，确定端点遵从策略的情况；你可以根据自身的要求，对这些扫描方法进行混合搭配。另外，这些产品日益提供DHCP、802.1X、基于代理的、嵌入式设备或者NAC等选择，而不是单一的执行机制，所以贵企业确实可以选择与自己的环境一致的方案。

实际上，思科拥有与自己的NAC架构并不完全相符的第二种方案，名为“干净客户机访问”（Clean Client Access），这是它收购Perfigo公司的成果。它能够实现基于代理的端点评估、客户机与策略管理以及补救等服务。

没有简单的答案

事实上，没有哪家厂商拥有完整的解决方案可以保护你的所有端点、确保资源安全。你要找到一款产品来处理不同的安全策略，从而保护那些漫游笔记本电脑和关键的网络资产。另外，除非你有一个完全同类的网络，全部由运行IE的Windows XP用户组成，否则就需要支持其他操作系统和浏览器。尽管厂商的说法都很动人，但没有哪家厂商即将提供可与代理技术和无代理技术一起使用的通用的端点解决方案。

如果你坚持使用XP/IE环境，如果所有用户都使用管理员权限来访问系统，如果你不介意他们通过浏览器下载某种Java或者ActiveX应用程序，那么你使用其中一种第三方设备产品，或者使用Juniper和Aventail等公司提供的VPN解决方案，差不多就能如愿以偿。

如果微软的NAP远景与你的远景相一致，不妨使用Windows ISA Server 2004运行VPN隔离机制，以此获得先机。一旦Windows ISA Server 2004最终在明年初发布，将成为Longhorn代码的基础。

而如果你把所有思科路由器更新到最新版本，而且继续一律使用思科的产品，那么思科及合作伙伴的其中一款NAC解决方案可能适合你。

但如果上述场景不符合你的情况，你就要安排好工作，实施最佳的端点安全解决方案。与所有信息安全项目一样，最可靠的忠告就是，全面了解贵企业和业务需求。要弄清楚这些问题：

·移动员工有哪些？他们使用哪些操作系统和安全应用软件？他们又如何连接到网络上？

·顾问和厂商经常访问网络吗？

·你的网络基础设施是什么？它支持哪些执行/补救机制？它是同构网络吗？它是比较新、使用最新版本的固件吗？有没有无法支持基于网络的解决方案的遗留路由器和交换机？

理清NAC、NAP和TNC需要一段时间，你要自行决定如何保护访问网络的端点。要选择这样的解决方案：至少能满足那些最关键的要求，而且与贵企业在将来的计划相一致。