前言：本站為你精心整理了產(chǎn)品端點(diǎn)安全測試報(bào)告范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

端點(diǎn)安全是目前網(wǎng)絡(luò)界非常火爆的話題，思科，微軟分別推出了NAC、NAP，國內(nèi)本土廠商華為3com也推出了EAD計(jì)劃，每家網(wǎng)絡(luò)廠商也都有類似的解決方案。各個解決方案雖然叫法不同，但是實(shí)現(xiàn)的目的、大體的網(wǎng)絡(luò)架構(gòu)都是非常類似的。此次本報(bào)編輯選編的美國網(wǎng)絡(luò)世界一篇測試報(bào)告就是關(guān)于端點(diǎn)安全產(chǎn)品測試的，每家測試產(chǎn)品都可以完成上述端點(diǎn)安全功能。在編輯這篇文章的過程中，編輯也查閱了大量的相關(guān)資料，發(fā)現(xiàn)生產(chǎn)此類產(chǎn)品的小公司在美國非常多。在除了思科這樣的網(wǎng)絡(luò)大鱷之外，小廠商的產(chǎn)品往往也有他的獨(dú)到之處。

對于公司網(wǎng)絡(luò)的安全一致性審計(jì)要求來說，在端點(diǎn)上設(shè)置和強(qiáng)制執(zhí)行安全策略，非常至關(guān)重要。在我們的端點(diǎn)安全產(chǎn)品測試中，這些產(chǎn)品可提供策略強(qiáng)制執(zhí)行功能，每一款產(chǎn)品都可以識別出系統(tǒng)是否符合策略一致性要求并且可以采取行動來補(bǔ)救不符合策略的系統(tǒng)。

我們制定了一系列產(chǎn)品所應(yīng)該提供的策略強(qiáng)制清單，這其中包括產(chǎn)品可以識別出未打補(bǔ)丁的操作系統(tǒng)、是否符合安全策略一致性、對不符合策略要求系統(tǒng)進(jìn)行限制訪問、分析并得出客戶端的報(bào)告和對不符合安全策略要求的系統(tǒng)采取補(bǔ)救行動使之和整體安全策略相一致。

我們非常理解沒有一家產(chǎn)品可以全部滿足我們的安全策略要求，我們會盡可能地讓廠商展示他們所有的功能特性。

如果沒有在網(wǎng)絡(luò)中增加安全產(chǎn)品則會引起很大的安全災(zāi)難，我們也檢查了端點(diǎn)安全產(chǎn)品自身的安全架構(gòu)特性。

我們對此領(lǐng)域內(nèi)的13家廠商發(fā)出了測試邀請函，最終CheckPoint、Cisco、Citadel、InfoExpress、Senforce、TrandMicro和Vernier/PatchLinkNetworks同意參加測試。ElementalSecurity，EndForce，McAfee，Sygate，SecureWave和StillSecure則拒絕參加了此次測試。Vernier/PatchLink因?yàn)樵谒袦y試項(xiàng)目中有著不錯的表現(xiàn)，所以最終最終贏得了這次測試。例如此產(chǎn)品可阻止網(wǎng)絡(luò)訪問并且自動修補(bǔ)不符合安全策略的系統(tǒng)，它的安全檢測功能最富有彈性。

Senforce獲得了第二名，但是與第一名的測試分?jǐn)?shù)非常相近。Senforce有著最為強(qiáng)大的主機(jī)坐鎮(zhèn)網(wǎng)絡(luò)中央，它們僅僅使用客戶端軟件，不用其他在線設(shè)備就可以實(shí)現(xiàn)端點(diǎn)安全功能。TrendMicro公司總體上表現(xiàn)也非常好，僅僅是在滿足我們的策略管理要求方面栽了一馬。

Citadel是一款強(qiáng)大的產(chǎn)品，但是在策略一致性功能方面需要投入更大的精力，這家公司說他們會在4.0版本中集成這項(xiàng)功能。從技術(shù)觀點(diǎn)上來看，Cisco也表現(xiàn)得非常不錯，但是需要在報(bào)告和總體可用性方面需要改善。CheckPoint是一款可靠的產(chǎn)品，但需要在報(bào)告和更詳細(xì)的自定義策略檢查功能上下足功夫。

和我們通常的安全測試一樣，我們?nèi)匀粫P(guān)注于當(dāng)端點(diǎn)遭受攻擊時，產(chǎn)品所應(yīng)該采取的行為，我們感到InfoExpress的產(chǎn)品仍然在這一領(lǐng)域中有著深厚的技術(shù)背景，但產(chǎn)品的可用性和文檔說明仍然需要改善。

因?yàn)槲覀儗⒆⒁饬Χ纪断蛄嗣靠町a(chǎn)品的測試要求上，所有我們不能測試每款產(chǎn)品的功能亮點(diǎn)。

VernierNetworks和PatchLink所提交的產(chǎn)品包含了VernierEdgeWall7000i——一款強(qiáng)制策略一致性的在線設(shè)備，PatchLink升級服務(wù)器和相應(yīng)的端點(diǎn)軟件可以方便地對客戶端進(jìn)行安全策略一致性檢查。

產(chǎn)品的安裝非常順利，特備是在兩家產(chǎn)品合作進(jìn)行測試的情況下。測試過程中我們僅僅碰到了EdgeWall7000i的一個問題——在默認(rèn)狀態(tài)下，NAT功能是打開的，然而我們并不需要這個功能，因?yàn)槲覀儍H僅把這個產(chǎn)品當(dāng)作了一個橋接設(shè)備。在非常輕易地關(guān)掉NAT功能后，以下工作就非常順利地進(jìn)行下去了。

雖然客戶端依靠EdgeWall7000i本身就可以進(jìn)行易受攻擊性檢查掃描，但我們的測試卻非常依于PatchLink升級服務(wù)器。PatchLink升級檢查包括檢測反病毒軟件包的數(shù)量和所有Windows安全升級。對于間諜軟件檢測，EdgeWall7000i可以識別出一些惡意流量，并且通過一種方法可以識別出我們在測試中所用的間諜軟件。此外，PatchLink提供了一個間諜軟件模塊來識別間諜軟件所運(yùn)行的端點(diǎn)系統(tǒng)，但是我們并沒有這個功能。

用Vernier/PatchLink可以禁止USB拇指驅(qū)動器（編者注：在這里指小型的U盤產(chǎn)品）訪問。當(dāng)我們利用EdgeWall7000i產(chǎn)品進(jìn)行應(yīng)用控制測試時，成功地阻止和控制了我們所指定的應(yīng)用流量。

PatchLink開發(fā)工具允許你制定自定義策略和補(bǔ)丁包，提供了在我們所測試的產(chǎn)品中最富有彈性的自定義檢查功能。

這些產(chǎn)品也可以在VPN連接上強(qiáng)制策略一致性，此功能的考慮是基于你假如有一個移動地工作站的話，就必須要保證移動接入的安全性。但此功能也有致命的缺陷：假如某個端點(diǎn)在線，而Vernier/PatchLink此時又發(fā)生故障，那么端點(diǎn)就不能連接到總部網(wǎng)絡(luò)了。

Vernier要求你設(shè)置多個安全配置級別——你必須設(shè)置多個不同的安全文件、身份文件、連接文件和訪問策略，從而你可以追蹤這些配置文件。在管理GUI界面中，一個不同的設(shè)置過程布局可以讓你更多的憑直覺來進(jìn)行設(shè)置工作。

當(dāng)一個系統(tǒng)將要訪問網(wǎng)絡(luò)時，這個系統(tǒng)就會立刻被進(jìn)行掃描和置于一個統(tǒng)一的網(wǎng)絡(luò)訪問策略下。對于我們的測試來說，我們設(shè)置了三個訪問策略——符合安全一致性策略的系統(tǒng)可以進(jìn)行全部訪問、對于不符合策略的系統(tǒng)限制訪問并且把這個系統(tǒng)鏈接到Internet上進(jìn)行打補(bǔ)丁工作、限制沒有安裝PatchLink軟件的組系統(tǒng)訪問，對于沒有安裝PatchLink軟件的一組系統(tǒng)來說，利用EdgeWall7000i的URL重定向功能可提供這些系統(tǒng)一個鏈接來下載安裝軟件。

當(dāng)EdgeWall7000i包含了網(wǎng)絡(luò)強(qiáng)制組件時，PatchLink升級服務(wù)器可利用強(qiáng)制的基本默認(rèn)配置提供及時的補(bǔ)救行為。當(dāng)我們讓一個沒有安裝PatchLink軟件的系統(tǒng)連接到網(wǎng)絡(luò)時，我們打開瀏覽器，瀏覽器被重定向到一個鏈接上，下載和安裝PatchLink軟件。

一旦軟件被安裝和運(yùn)行時，通過PatchLink升級服務(wù)器中默認(rèn)配置，沒有打上補(bǔ)丁的系統(tǒng)和安全設(shè)置就會被自動部署在系統(tǒng)內(nèi)。一旦系統(tǒng)滿足了一致性要求，就會被允許訪問全部測試環(huán)境——正如事先所期望的。

當(dāng)不符合一致性要求的系統(tǒng)將要上線時，Venier/PatchLink并不能提供警報(bào)機(jī)制，但是它提供了許多的報(bào)告選項(xiàng)。通過PatchLink升級服務(wù)器，你可以得到一個系統(tǒng)完整的打補(bǔ)丁歷史，EdgeWall7000i則提供了所有在線系統(tǒng)總體的一致性狀態(tài)報(bào)告。

Senforce

Senforce端點(diǎn)安全套件有5個主要的部件。在Windows服務(wù)器上運(yùn)行的分布式策略服務(wù)、和其通信的客戶端、策略部署、策略收回（retrievepolicy）和從分布式客戶端收集來的注冊數(shù)據(jù)。管理服務(wù)功能控制了用戶策略、策略存儲和生成報(bào)告。策略編輯器的用戶界面可以用來進(jìn)行策略的生成和管理。用密碼加密過的客戶位置確信服務(wù)可以確保一個系統(tǒng)是否確實(shí)在網(wǎng)絡(luò)上，此舉可以使系統(tǒng)免受用戶欺詐攻擊。最后，全面的Senforce安全客戶端包括一個以主機(jī)為基礎(chǔ)的防火墻程序，這個防火墻程序在受監(jiān)控的端點(diǎn)上運(yùn)行，它用來強(qiáng)制策略實(shí)施和控制系統(tǒng)的補(bǔ)救過程。

對于安全測試過程，我們感覺非常艱難。我們第一次嘗試進(jìn)行分布式安裝，但是所利用SSL的組件之間卻不能進(jìn)行適當(dāng)?shù)耐ㄐ?。然后我們運(yùn)行了單個服務(wù)器安裝，但是數(shù)據(jù)庫卻不能正常使用并且錯過了產(chǎn)品運(yùn)行所需要的關(guān)鍵數(shù)據(jù)安裝。Senforce的技術(shù)支持對于這個問題并不能解釋，但卻很快幫助我們完成了工作，在第三次嘗試以后，我們最終才得以繼續(xù)測試。一旦安裝完成，我們并沒有遇到其他的服務(wù)器操作問題。文檔非常充足，但是雙列的文字布局，使得用戶閱讀起來非常麻煩。

策略的制定過程表明了系統(tǒng)如何檢查反病毒特征庫、打上錯過的補(bǔ)丁和應(yīng)用控制（例如允許或者禁止某些類型的應(yīng)用流量）。在我們的測試中，Senforce安全套件成功地通過了所有支持的策略檢查測試。

如果產(chǎn)品被直接置于終端點(diǎn)之后，在和VPN的連接過程上可以進(jìn)行策略檢查，但如果客戶端不能直接連接到網(wǎng)絡(luò)上時，策略的強(qiáng)制執(zhí)行也是可以工作的。通過產(chǎn)品強(qiáng)有力的腳本引擎你也可以創(chuàng)造自定義的策略檢查。

網(wǎng)絡(luò)管理員可以在策略編輯器里新建策略，策略編輯器有著非常不錯的界面并且可以憑直覺操作。當(dāng)我們碰到問題時，文檔可以迅速幫助我們解決。

在通過網(wǎng)絡(luò)共享方式安裝客戶端軟件時，我們碰到了問題。在安裝過程中，網(wǎng)絡(luò)連接被中斷了，因?yàn)槌绦蛞蟀惭b網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范（NDIS）驅(qū)動。其他的產(chǎn)品會有配置警報(bào)，告訴你不要在網(wǎng)絡(luò)上安裝軟件。Senforce也應(yīng)該包含類似地警報(bào)。

我們更喜歡以主機(jī)為中心的解決方案，因?yàn)橄到y(tǒng)會識別出不符合策略的電腦，然后會由機(jī)上自己的防火墻來進(jìn)行控制（CheckPoint和Citadel功能與時下流行的方法類似）。在我們的測試中，以主機(jī)為中心的工作方法工作得非常好。然而，假如主機(jī)受到攻擊或者Senforce的客戶端程序被關(guān)掉、刪除，這些情況會帶來很大的問題。在我們的測試中，一些客戶端程序很容易被關(guān)掉。沒有客戶端程序，策略檢查就不再工作。對于網(wǎng)絡(luò)設(shè)備廠商來說，攻擊者仍然會有一些方法繞過安全保護(hù)。

客戶自己編寫的策略腳本可以讓產(chǎn)品具有更大的使用彈性。這些腳本甚至可以讓用戶下載和執(zhí)行必要的程序來彌補(bǔ)客戶端電腦的缺陷。一個不符合策略的系統(tǒng)，我們可以對其做出如下動作：設(shè)置為阻塞其所有數(shù)據(jù)流、運(yùn)行某個客戶端隔離規(guī)則、僅僅讓其訪問定義好的資源、訪問Internet或者是只能訪問內(nèi)部網(wǎng)絡(luò)。

安全套件不包括警報(bào)功能。報(bào)告是以Web方式進(jìn)行瀏覽的，但是你卻不能輸出這些報(bào)告或者另存為Web形式。默認(rèn)的報(bào)告包括圖形和匯報(bào)，但是我們更喜歡自由的客戶訂制能力。報(bào)告提供了很多的信息但是卻不包括全局系統(tǒng)的打補(bǔ)丁歷史和狀態(tài)。

TrendMicro

我們測試了TrendMicroNetwork的VirusWall2500和OfficeScan7企業(yè)版防病毒軟件。VirusWall2500是一款在線設(shè)備，它可根據(jù)在TrendMicro設(shè)備上預(yù)先定義好的策略來阻止或者允許網(wǎng)絡(luò)訪問。當(dāng)一個系統(tǒng)嘗試訪問網(wǎng)絡(luò)時，它會被掃描，看其是否易受攻擊（例如沒有打包或者是易受攻擊）。

當(dāng)端點(diǎn)沒有直接連接到網(wǎng)絡(luò)中時，你就不能新建自定義的策略或者進(jìn)行策略一致性保護(hù)了。TrendMicro的系統(tǒng)可以在VPN上工作并且能和主要的幾家VPN網(wǎng)關(guān)集成來進(jìn)行防病毒檢查。

這款產(chǎn)品易于設(shè)置并且可以憑直覺使用，在我們進(jìn)行的所有測試中，這款產(chǎn)品給了我們愉快的使用經(jīng)歷。

假如一個不符合策略的系統(tǒng)上線，終端用戶可以看見一個錯誤提示，打開瀏覽器被重定向到一個網(wǎng)絡(luò)管理員預(yù)先定義好的URL上。我們非常喜歡這樣一個功能——終端用戶會看見一個彈出式消息框被告知：“打開瀏覽器獲得更多信息”。

因?yàn)閂irusWall2500和它的策略強(qiáng)制能力與OfficeScan集成得很緊，所以一旦沒有安裝防病毒軟件很容易的就被指向安裝鏈接。另外，探測到的病毒會被自動刪除。另外一些易受攻擊的系統(tǒng)，例如沒有及時打補(bǔ)丁也會利用其他方式來完成。

TrendMicro的報(bào)告和警報(bào)能力是我們所測試產(chǎn)品中表現(xiàn)最好的。我們可以簡單的設(shè)置系統(tǒng)發(fā)送管理員E-mail或者SNMP警報(bào)，當(dāng)不符合安全策略的系統(tǒng)上線時。我們可以一次生成或者預(yù)定系統(tǒng)打補(bǔ)丁的報(bào)告，也可以將這些報(bào)告以PDF格式或者其他一些文件格式進(jìn)行輸出。我們也可以生成一份關(guān)于離線或在線電腦錯過升級軟件的報(bào)告。

Cisco

Cisco這次提交了兩款產(chǎn)品，一款是CiscoCleanAccess（CCA）服務(wù)器，這是一款在線設(shè)備，它與安裝在客戶端電腦上的CisoTrustAgent軟件配合使用可實(shí)現(xiàn)端點(diǎn)安全策略一致性功能。

另外一款產(chǎn)品是CiscoSecureAgent（CSA），CSA包含了管理服務(wù)器軟件和客戶一側(cè)的代碼，以主機(jī)為中心的技術(shù)可以監(jiān)視系統(tǒng)的惡意活動。

安裝CCA非常復(fù)雜。我們讓在線設(shè)備以橋接模式運(yùn)行——僅僅是通過流量而不做任何NAT。相關(guān)產(chǎn)品設(shè)置的文檔內(nèi)容令人感覺非常含糊不清，設(shè)置要求管理服務(wù)器處于不同的子網(wǎng)。我們叫來了技術(shù)支持幫助解決這些架構(gòu)方面的問題。

對于我們的策略強(qiáng)制檢查，CCA可以正確識別防病毒特征碼，其中包括可以識別主要3種病毒的默認(rèn)屬性

、沒有打補(bǔ)丁的操作系統(tǒng)。通過我們定義好的策略可以控制網(wǎng)絡(luò)流量。當(dāng)一個端點(diǎn)設(shè)備上線時，從CCA應(yīng)用服務(wù)啟動的Nessus可以掃描操作系統(tǒng)的安全設(shè)置。

自定義的檢查設(shè)置，允許你監(jiān)測注冊碼、文件和進(jìn)程，自定義檢查可以通過CCA管理控制太設(shè)置?？傮w來看，自定義檢查非常易于設(shè)置。

策略檢查測試的其中一項(xiàng)是：確定端點(diǎn)是否運(yùn)行了定義好的個人防火墻程序。在大部分產(chǎn)品中，這項(xiàng)功能實(shí)現(xiàn)的原理通常是確定某項(xiàng)應(yīng)用是否在系統(tǒng)上運(yùn)行。對于CSA程序來說，Cisco支持策略檢查和不確定某些參數(shù)值策略的編寫。在CCA中也可利用自定義檢查把其他的個人防火墻加到策略強(qiáng)制中。然而，Cisco的策略檢查還是需要改善的，它需要更加詳細(xì)的腳本引擎。

Cisco的端點(diǎn)安全系統(tǒng)也可以識別出間諜軟件、控制USB驅(qū)動接入、強(qiáng)迫執(zhí)行更多的應(yīng)用、注冊碼和進(jìn)程安全，當(dāng)端點(diǎn)進(jìn)入或者離開網(wǎng)絡(luò)時，Cisco都可以提供保護(hù)。

CCA也可以非常便利的當(dāng)作VPN終端點(diǎn)來使用。未來的版本將會和CiscoVPN集中器整合得更加緊密。

一致性是由定義好的策略強(qiáng)制實(shí)行的，定義的策略在CCA中駐留。利用CCA管理界面，基于網(wǎng)絡(luò)狀態(tài)你可以設(shè)置很多數(shù)量的補(bǔ)救行為或者強(qiáng)制策略。例如你可以基于認(rèn)證的用戶、未通過認(rèn)證的用戶、在掃描結(jié)果中易受攻擊的用戶和沒有通過一致性檢查的用戶進(jìn)行設(shè)置。

假如一個用戶將要訪問網(wǎng)絡(luò)而沒有通過CCA的認(rèn)證，你就可以限制他僅僅只能訪問一個特別的區(qū)域。通過認(rèn)證的用戶則可以經(jīng)受更多的檢查，通過檢查后，則會授予用戶更廣泛的網(wǎng)絡(luò)訪問資源權(quán)限。CTA軟件位于每臺端點(diǎn)系統(tǒng)上，并且提供對于主機(jī)訪問的權(quán)限。假如CCA識別出了問題，不符合策略的系統(tǒng)會有一個安裝文件上傳至CCA，然后會收到消息或者一個URL。

終端用戶必須手工安裝初始化軟件，安裝的軟件可以保證端點(diǎn)用戶的安全策略保持一致。當(dāng)端點(diǎn)電腦在等待被驗(yàn)證安全策略一致性的時刻，除了一些指定的Windows升級連接外，服務(wù)器會阻塞所有的網(wǎng)絡(luò)流量。

在CCA和CSA中，報(bào)告功能還應(yīng)該有所改善。就CCA來說，你可以觀看服務(wù)器上關(guān)鍵事件的系統(tǒng)日志，但是卻不能對整個系統(tǒng)生成報(bào)告。你可以觀看每個端點(diǎn)系統(tǒng)的掃描結(jié)果和一致性檢查結(jié)果。掃描失敗的事件會被發(fā)送到CCA事件日志中，但是你卻不能對所有在線電腦、歷史的當(dāng)前狀態(tài)生成報(bào)告來顯示。

Citadel

Citadel提交了軟件產(chǎn)品來參加我們的測試，Citadel會把Hercules軟件安裝在端點(diǎn)電腦上，利用ConnectGuard模塊探測端點(diǎn)是否是易受攻擊的，ConnectGuard模塊包含有客戶和服務(wù)器端組件來強(qiáng)迫端點(diǎn)進(jìn)行補(bǔ)救行為。Hercules程序在每一個端點(diǎn)系統(tǒng)上運(yùn)行，基于自己收集來的掃描結(jié)果來分析端點(diǎn)是否易受攻擊。策略檢查包括識別端點(diǎn)是否安裝了防病毒軟件、間諜軟件、錯過打補(bǔ)丁和檢查操作系統(tǒng)的安全設(shè)置。

Hercules安裝非常順利，沒有碰到任何問題。文檔撰寫也不錯，管理界面易于使用并可憑直覺使用。

我們所測試產(chǎn)品的版本，Citadel可以探測千余種知名網(wǎng)絡(luò)病毒的攻擊，當(dāng)然你也可以自定義病毒攻擊檢查和在管理界面中自定義補(bǔ)救所采取的行為。

對于不符合策略一致性的系統(tǒng)，ConnectGuard模塊提供了強(qiáng)制機(jī)制，利用運(yùn)行在端點(diǎn)的Citadel客戶端可以阻塞不符合策略一致性系統(tǒng)的向外流量，直到符合策略一致性要求為止。在我們所測試的版本中，補(bǔ)救系統(tǒng)行為在策略一致性檢查時就會發(fā)生。在Hercules4.0版本中，管理員可以有選擇的接收到系統(tǒng)策略一致性報(bào)告和補(bǔ)救系統(tǒng)的任務(wù)計(jì)劃。

對于報(bào)告來說，Hercules利用了以Web界面為基礎(chǔ)的報(bào)告引擎，所以你可以輸出為很多的文件格式。產(chǎn)品包含了相當(dāng)強(qiáng)大的報(bào)告模塊，包括了全部的補(bǔ)救行為歷史和不符合策略一致性要求系統(tǒng)的狀態(tài)。額外地報(bào)告功能已經(jīng)被包含進(jìn)了4.0版本中。Hercules不提供警報(bào)機(jī)制。

CheckPoint

CheckPoint的Integrity6.0以軟件完成了功能實(shí)現(xiàn)，它提供了個人防火墻、策略檢查和強(qiáng)制實(shí)施的機(jī)制。

安裝還是非常順利的。對于客戶端我們新建了一個默認(rèn)安裝包并且生成了自己的安全策略和強(qiáng)制檢查。在默認(rèn)設(shè)置下，Integrity就包括了主要的防病毒軟件檢查。

你也可以在管理界面中新建策略強(qiáng)制檢查，檢查包括注冊碼、破壞文件或者是不允許的進(jìn)程。沒打補(bǔ)丁和操作系統(tǒng)升級在默認(rèn)狀態(tài)下是不受檢查的，但是你可以定義檢查這些選項(xiàng)。

通過標(biāo)準(zhǔn)的防火墻規(guī)則和應(yīng)用控制機(jī)制你可以控制應(yīng)用訪問。利用CheckPoint的SmartDefense程序的Adivisor服務(wù)可以警告間諜軟件的使用。不支持USB驅(qū)動器接入檢查。

所有支持的策略測試都非常成功。

當(dāng)沒有連接到總部網(wǎng)絡(luò)時，完整性檢查提供了系統(tǒng)保護(hù)。

不符合策略一致性的系統(tǒng)可以被發(fā)現(xiàn)、警告或者是限制連接。管理員可以提供到關(guān)鍵文件的鏈接或者是上傳文件到系統(tǒng)上以便用戶下載進(jìn)行補(bǔ)救行為。在這些功能特點(diǎn)的測試中，我們可以被重定向到策略中事先定義好的站點(diǎn)中。例如，當(dāng)系統(tǒng)探測到Windows沒有打升級補(bǔ)丁時，我們被重定向到Windows升級站點(diǎn)中。

完整性報(bào)告功能還需要改善?；A(chǔ)報(bào)告通過Wen界面進(jìn)行觀看，但是報(bào)告卻不能被輸出。你可以得到不符合安全策略一致性系統(tǒng)的報(bào)告，但卻沒有系統(tǒng)總體的報(bào)告。完整性檢查沒有提供警報(bào)功能。

InfoExpress

InfoExpressCyberGatekeeper服務(wù)器坐鎮(zhèn)網(wǎng)絡(luò)中央，它提供策略到端點(diǎn)系統(tǒng)上的CyberGatekeeper程序上并且可以通過Web界面生成報(bào)告。通過產(chǎn)品所支持的某一類型模塊，服務(wù)器可以處理策略強(qiáng)制，產(chǎn)品支持局域網(wǎng)（可以使交換機(jī)的某個端口處于一個補(bǔ)救VLAN中）網(wǎng)橋（根據(jù)定義好的策略阻止/允許流量）、RADIUS協(xié)議。

為了新建和修改策略，管理員要使用策略管理器，策略管理器運(yùn)行在一臺電腦上并和服務(wù)器分離。管理員策略到中央服務(wù)器上并分發(fā)到客戶端上。對于我們的測試，我們利用局域網(wǎng)上的某臺服務(wù)器和網(wǎng)橋一致性模式。我們根據(jù)匹配這個產(chǎn)品的升級文檔進(jìn)行設(shè)置，設(shè)置工作非常簡單易行，但是在文檔中仍然有一些重大問題。

CyberGatekeeper的主要關(guān)注點(diǎn)是審計(jì)和策略一致性檢查，不像我們測試的其他產(chǎn)品，它的軟件沒有一個內(nèi)置的防火墻，雖然沒有防火墻，但是它的設(shè)計(jì)卻富有彈性并可以適應(yīng)測試，所以你可以在環(huán)境中運(yùn)行任何你想要的防病毒軟件或者以主機(jī)為基礎(chǔ)的安全保護(hù)。

強(qiáng)制策略也可以在VPN連接中進(jìn)行設(shè)置工作。當(dāng)沒有連接到網(wǎng)絡(luò)時，策略強(qiáng)制是不能工作的。策略管理者提供了很多地彈性，但是設(shè)置卻比較復(fù)雜，尤其是許多設(shè)置屏幕需要上載新的策略到服務(wù)器上。

一旦不符合策略一致性的系統(tǒng)被識別出來，在終端用戶上就會顯示出一條消息，終端用戶可以被重新定向到一個URL上，或者系統(tǒng)可以被置于不同的VLAN中，而所被劃到的VLAN依賴于你運(yùn)行的強(qiáng)制策略模塊。用戶被重定向的URL地址可以下載沒安裝的軟件，但是安裝過程卻是手工的。

報(bào)告功能也需要改善。一些基礎(chǔ)的報(bào)告是以Web形式輸出的，但是也可以輸出為CSV文件格式進(jìn)行離線觀看。補(bǔ)救歷史報(bào)告并不實(shí)用。你可以得到系統(tǒng)狀態(tài)報(bào)告，在狀態(tài)報(bào)告中可看到一個系統(tǒng)為什么處于策略拒絕狀態(tài)，但是閱讀起來有些困難。

結(jié)論

我們測試的端點(diǎn)策略強(qiáng)制產(chǎn)品，大部分都包含了基本的功能。但是要成為一家企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的核心組件，這些產(chǎn)品仍然需要很長的路要走。我們高興的看到，這些產(chǎn)品可以解決擴(kuò)展的策略一致性需求，功能可以滿足當(dāng)前的安全和網(wǎng)絡(luò)基礎(chǔ)需求。

應(yīng)該指出的共同一點(diǎn)是，產(chǎn)品缺乏警報(bào)能力和經(jīng)常存在的需要改善報(bào)告技術(shù)要求。這些組件在策略一致性產(chǎn)品中非常關(guān)鍵，順便提一句，審計(jì)追蹤能力也非常關(guān)鍵。

此外，一些產(chǎn)品也應(yīng)該包括依據(jù)文件或者進(jìn)程名來進(jìn)行策略一致性檢查的能力。我們看到有些產(chǎn)品應(yīng)該包含一些種類的校驗(yàn)和檢測。我們也看到當(dāng)終端用戶不符合策略一致性時，系統(tǒng)使終端用戶意識到是哪些方面出現(xiàn)了問題的能力所有改善。大部分產(chǎn)品都在Web瀏覽器中提供了重定向功能，但是假如用戶是通過其他不同應(yīng)用訪問網(wǎng)絡(luò)時，Web重定向功能就有點(diǎn)不合時宜了。

除了基本功能之外......

我們所測試的每款產(chǎn)品除了基線測試之外，有些產(chǎn)品其他的一些亮點(diǎn)功能也值得我們考慮。

例如，思科的CCA（CiscoCleanAccess）應(yīng)用可和Nessus軟件配合使用來掃描系統(tǒng)的漏洞，你可以根據(jù)自身的網(wǎng)絡(luò)環(huán)境自定義新建檢查策略，而不用依賴于標(biāo)準(zhǔn)的簽名特征。

CCA也提供了優(yōu)先級策略檢查能力，假如在你的網(wǎng)絡(luò)環(huán)境中，一條策略比另外一條策略更重要的話，你可以將較重要的策略附加在次重要策略之上。此外，CCA也支持移動用戶在CCA服務(wù)器之間進(jìn)行漫游而不用再次認(rèn)證。

InfoExpress也支持許多的策略強(qiáng)制模塊——大部分我們不能測試——例如RADIUSEAP（802.1X）和Airespace無線局域網(wǎng)，這些策略強(qiáng)制模塊可以在你的網(wǎng)絡(luò)中提供額外的方法來進(jìn)行認(rèn)證和授權(quán)。

對于策略強(qiáng)制，TrendMicro的NetworkVirusWall2500可以監(jiān)視你的網(wǎng)絡(luò)流量。此外，它也可以監(jiān)控網(wǎng)絡(luò)病毒感染。這家產(chǎn)品的網(wǎng)絡(luò)病毒爆發(fā)監(jiān)視器可以識別出一個攻擊要開始的征兆，例如它根據(jù)已知的病毒攻擊連接端口或者是某個網(wǎng)絡(luò)進(jìn)程的突然提升。當(dāng)產(chǎn)品觀察到一個網(wǎng)絡(luò)病毒將要爆發(fā)時，監(jiān)視器會觸發(fā)一個警報(bào)。

CheckPoint提供了第二種類型的軟件，稱作IntegrityFlexagent，這個軟件提供給終端用戶功能全面的管理界面，可以創(chuàng)建自己的策略，這個產(chǎn)品理念對于家庭電腦連接到公司網(wǎng)絡(luò)非常合適。此軟件目前版本是Integrity6.0，它包括了CheckPoint惡意代碼保護(hù)，一個內(nèi)置的主機(jī)入侵保護(hù)引擎，主機(jī)入侵保護(hù)引擎可以識別出已知的惡意程序和進(jìn)程，這些不錯的性能特點(diǎn)可以使管理員不需要檢測所有程序并且可以創(chuàng)建自己的策略。

在我們測試完成以后，Citadel公司了Hercules4.0版本。這個版本提供了很多數(shù)量的強(qiáng)制策略用以改善一致性審計(jì)、策略強(qiáng)制任務(wù)和引進(jìn)Hercules應(yīng)用。一個新引用的策略一致性檢查模式允許管理員接收端點(diǎn)的狀態(tài)報(bào)告而不用強(qiáng)迫終端用戶立刻采取補(bǔ)救行為。補(bǔ)救行為可以計(jì)劃在一定的時間段后執(zhí)行。一個儀表板加進(jìn)了管理界面中從而可以圖形方式快速觀察所有被監(jiān)視設(shè)備的策略一致性狀態(tài)。額外的報(bào)告功能也被添加到管理界面中以加強(qiáng)報(bào)告引擎。

Veriner公司的EdgeWall對于注冊登錄、訪客登錄、掃描過程和停止掃描Web頁面過程有許多的自定義選項(xiàng)。當(dāng)一些終端用戶不符合安全策略時，管理員可以自定義終端用戶所看到Web頁面上不符合策略的原因的描述。EdgeWall也可以在用戶退出登錄時彈出菜單。PatchLink可以列出所有運(yùn)行PatchLink軟件系統(tǒng)的詳細(xì)清單，清單包括硬件、軟件和服務(wù)信息。

Senforced提供了不少獨(dú)一無二的功能特點(diǎn)。一個是允許管理員通過Senforce策略控制無線連接選項(xiàng)，例如是可以允許/關(guān)閉無線連接、管理WEP的密鑰、指令網(wǎng)卡是否可以和AP進(jìn)行通信和一個系統(tǒng)應(yīng)該怎樣響應(yīng)信號強(qiáng)度級別。

端點(diǎn)安全產(chǎn)品自身網(wǎng)絡(luò)漏洞

按推理來看，在你的網(wǎng)絡(luò)中加入端點(diǎn)安全系統(tǒng)，網(wǎng)絡(luò)就不應(yīng)該再遭受到攻擊了。在測試的最后，我們試圖利用黑客軟件、服務(wù)器組件和利用所生成的網(wǎng)絡(luò)流量把網(wǎng)絡(luò)安全撕開一個大口子，從而利用此手段評估每家產(chǎn)品的總體安全性。

在此測試項(xiàng)目的重磅轟炸下，沒有一家產(chǎn)品完全幸免于難，得分較高的產(chǎn)品是Vernier/PatchLink和Senforce。通過刪除客戶端軟件或者其他一些手段，我們都不能繞過策略強(qiáng)制機(jī)制。

為了強(qiáng)制客戶端執(zhí)行安全策略，客戶端軟件包含了本地系統(tǒng)的詳細(xì)信息，例如信息包括注冊碼、文件名稱/內(nèi)容/哈希校驗(yàn)值等。網(wǎng)絡(luò)攻擊者深知這個漏洞。

我們測試了終端用戶在客戶端被感染病毒或者試圖刪除客戶端軟件的情況下，所有產(chǎn)品的表現(xiàn)。這個測試項(xiàng)目非常復(fù)雜，因?yàn)槊考耶a(chǎn)品的實(shí)現(xiàn)方式非常不同，一些廠商提供了在線（in-line）策略強(qiáng)制設(shè)備（Cisco、TrendMicro和Vernier/PatchLink），一些是僅僅具有客戶端（CheckPoint、Citadel和Senforce），還有一些集成進(jìn)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施中（InfoExpress）。

對于CheckPoint、Citadel和InfoExpress產(chǎn)品，我們利用開發(fā)的代碼可以修改客戶端軟件所存放的目錄的名稱。一個系統(tǒng)重新啟動之后并沒有顯示客戶端軟件被刪除了。Senforce解決了這個問題，他們不斷地使數(shù)據(jù)和程序文件處于打開狀態(tài)，探測任何企圖刪除客戶端或其中組件的行為。

在另一個測試項(xiàng)目中，我們觀察了這些產(chǎn)品所生成的網(wǎng)絡(luò)流量是否會引起一個安全風(fēng)險，我們發(fā)現(xiàn)至少有兩種類型流量可以引起安全風(fēng)險。一個是在客戶端和服務(wù)器之間的網(wǎng)絡(luò)流量。另外一個是管理服務(wù)器接口所生成和接收的網(wǎng)絡(luò)流量，管理服務(wù)器接口是一個非常有價值的目標(biāo)，因?yàn)樗梢钥刂撇呗詮?qiáng)制機(jī)制。

一些廠商（InfoExpress、Senforce和Vernies/PatchLink）利用未加密的HTTP流量來進(jìn)行管理員和管理服務(wù)器或者其他的一些組件之間的通信。這種行為非常不安全。InfoExpress也用Telnet或者SNMPv2訪問網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，然而這會暴露密碼和其他一些信息。

所有產(chǎn)品之中，就是TrendMicro對客戶端和服務(wù)器之間的通信流量進(jìn)行了加密。假如不進(jìn)行加密，這些信息對于一個網(wǎng)絡(luò)攻擊者將會是可見的并且可能泄露信息，例如你所強(qiáng)制的策略、網(wǎng)絡(luò)的配置信息、或者是可能的用戶名和密碼。

我們必須從安全觀點(diǎn)來看服務(wù)器，因?yàn)檫@個小小的“盒子”（運(yùn)行著各種應(yīng)用或者客戶所支持的平臺）已經(jīng)成為關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分并且很可能成為攻擊目標(biāo)。這些服務(wù)器廠商受到探測成為潛在的受攻擊目標(biāo)。一些廠商（CheckPoint、Cisco、InfoExpress、TrendMicro和Vernier/PatchLink）使用TransportLayerSecurity（TLS）/SSL對管理界面或者客戶端到服務(wù)器的流量進(jìn)行加密。SSLv2本不應(yīng)該在產(chǎn)品中使用，因?yàn)镾SLv2非常易于受到攻擊。僅僅只有SSLv3和TLS才被認(rèn)為是足夠安全的。我們一般使用的Windows平臺通?？梢躁P(guān)掉SSLv2支持，但是對于端點(diǎn)安全應(yīng)用來說，你卻不能這樣做。

大部分廠商用自己簽名的證書，這是非常危險的。假如通過手工確認(rèn)的16字節(jié)MD5哈希密鑰使用得非常不小心的話，一個黑客就可以利用此漏洞。一些產(chǎn)品應(yīng)該允許在服務(wù)器中置換自定義的簽名。

我們所測試的最后一項(xiàng)是產(chǎn)品可否利用現(xiàn)有最新的軟件對管理服務(wù)器進(jìn)行操作，這些現(xiàn)成的軟件包括Apache、OpenSS和PHP。我們的這項(xiàng)測試是非常有道理的，廠商對客戶端的軟件進(jìn)行升級監(jiān)視，他們也應(yīng)該對本身所使用到的工具有一個升級機(jī)制。我們非常失望的看到，一些產(chǎn)品用著非常老版本的軟件。例如Cisco的CCA使用的OpenSSH版本非常老，Vernier也在使用老版本的PHP。所有運(yùn)行在基礎(chǔ)設(shè)施上的軟件應(yīng)該有一個適合的升級機(jī)制，因?yàn)樘爬系能浖灿锌赡艹蔀橐资芄舻穆┒础?/p>

測試方法

因?yàn)槎它c(diǎn)安全廠商在具體實(shí)現(xiàn)的方法上有很大的不同，所以針對每家產(chǎn)品的測試方法也必須不同，這樣的測試結(jié)果才更有意義。

我們一開始估計(jì)了當(dāng)電腦接入網(wǎng)絡(luò)時，可能會遇到的強(qiáng)制策略執(zhí)行方面的麻煩。然后我們定義了電腦在訪問網(wǎng)絡(luò)被允許前，產(chǎn)品所應(yīng)采取的行動。

我們計(jì)劃了對于每家產(chǎn)品要求的最小任務(wù)清單。在最基本的層面上，每家產(chǎn)品必須能夠識別出不符合策略的系統(tǒng)并且能夠采取補(bǔ)救行動。我們也要求必須有中央化的管理和報(bào)告能力。

為了制定出更為詳細(xì)的測試要求，我們和安全管理者們談話并且基于自己的安全經(jīng)驗(yàn)對產(chǎn)品所應(yīng)該具有的安全策略強(qiáng)制做出了一份測試需求清單。從測試開始，我們就知道產(chǎn)品應(yīng)該滿足我們所有的要求，但是我們卻對所有公司提交的產(chǎn)品都持著非常開放的態(tài)度。

我們把測試需求分成了5個方面：策略管理、設(shè)置/部署、補(bǔ)救行動、產(chǎn)品彈性和報(bào)告/警報(bào)功能。

我們的策略管理評估將焦點(diǎn)集中于產(chǎn)品完成定義策略的能力。我們感到看了文檔以后，設(shè)置工作應(yīng)該是相當(dāng)簡單的。軟件部署的過程也應(yīng)該是一個簡單的過程，產(chǎn)品的使用也應(yīng)該非常簡易。

補(bǔ)救測試將焦點(diǎn)集中于產(chǎn)品應(yīng)該如何處理不符合策略的系統(tǒng)。是不是隔離了所有網(wǎng)絡(luò)訪問？我們可以指示終端用戶去下載相關(guān)沒有安裝的軟件或忘打得補(bǔ)丁嗎？補(bǔ)救行為是自動發(fā)生的嗎？

彈性測試我們看到了系統(tǒng)如何回應(yīng)網(wǎng)絡(luò)攻擊。所制定的策略會被易于繞過嗎？會非常容易地獲得全部網(wǎng)絡(luò)訪問權(quán)限嗎？我們可以非常簡單地卸載客戶端軟件從而不執(zhí)行策略強(qiáng)制嗎？

最后，我們評估了管理員會不會得到不符合策略系統(tǒng)的報(bào)告和警報(bào)，同時，我們測試了產(chǎn)品記錄和追蹤符合策略系統(tǒng)的狀態(tài)和補(bǔ)救過程的歷史的能力。此外，我們還看了產(chǎn)品能否生成管理報(bào)告從而易于理解當(dāng)前的安全狀態(tài)。

我們安裝了所有Windows2003的服務(wù)器部件，打上全部的補(bǔ)丁。假如Windows2003Server不支持的某些軟件（例如Cisco的CSA管理服務(wù)器和TrendMicro的OfficeScan管理服務(wù)器），我們就利用打上全部補(bǔ)丁Windows2000Server進(jìn)行測試。這些服務(wù)器全部安裝在VMware虛擬軟件上，這個虛擬服務(wù)器的配置是1G字節(jié)的RAM，Pentium3Shuttle服務(wù)器上。

客戶端程序被安裝在了Windows2000SP4Professional和WindowsXPSP2Professional電腦上。這些客戶端所安裝的電腦上并沒有打上全部的補(bǔ)丁，除非客戶端軟件要求安裝。這些客戶端也都安裝了VMware虛擬服務(wù)器，它的配置是500M的RAM，運(yùn)行在Pentium3，3GHzShuttle服務(wù)器上。

對于策略一致性測試，我們要求所有客戶端都配置Sophos防病毒軟件和eEye的Blink個人防火墻。

網(wǎng)絡(luò)的核心運(yùn)行著Cisco3500交換機(jī)，配置了兩個VLAN。第一個VLAN測試產(chǎn)品所處的VLAN，第二個VLAN是不受信任網(wǎng)絡(luò)，是我們所要求的補(bǔ)救行為所在的VLAN。

在產(chǎn)品設(shè)置和客戶端部署的過程中，我們遇到了一些困難，例如，我們學(xué)習(xí)產(chǎn)品過程中的文檔質(zhì)量，支持分布式客戶端軟件的方法。我們也通過所有的測試階段看了產(chǎn)品的易用性。

測試策略管理時，我們在每款產(chǎn)品上都設(shè)置了策略，以驗(yàn)證產(chǎn)品是否識別出了Blink防火墻和Sophos防病毒軟件是否運(yùn)行在客戶端上，同時還驗(yàn)證了產(chǎn)品能否識別出防病毒軟件的病毒庫是否過期。我們還安裝了DloaderTrojan/間諜程序，看看產(chǎn)品能不能識別出并且做出停止/隔離行為。我們配置了一條策略來識別MS05-014（IE的安全補(bǔ)丁）是否安裝在系統(tǒng)上，看看產(chǎn)品支持的補(bǔ)救行為，例如發(fā)送一個鏈接，下載補(bǔ)丁文件是手工安裝或者自動安裝補(bǔ)丁。

對于應(yīng)用控制，我們不允許BT訪問，這通過應(yīng)用訪問或者網(wǎng)絡(luò)端口來限制，限制BT訪問所采取的行為依賴于產(chǎn)品所支持的類型。我們嘗試了阻塞通過USB拇指驅(qū)動器訪問網(wǎng)絡(luò)的流量。有的產(chǎn)品可以關(guān)掉端口或者阻止文件寫。我們?nèi)缓鬁y試了對于操作系統(tǒng)安全檢查的默認(rèn)支持，密碼策略、注冊碼和控制空會話的能力。

我們還測試了在遠(yuǎn)程VPN連接上下發(fā)強(qiáng)制策略的能力，這個測試項(xiàng)目利用了CiscoVPNConcentrator作為網(wǎng)關(guān)。

最后，測試了用戶新建自定義策略檢查的能力，創(chuàng)建一些默認(rèn)設(shè)置中沒有的策略。

在補(bǔ)救區(qū)，測試了對于不符合策略系統(tǒng)的全部阻塞網(wǎng)絡(luò)訪問或者訪問策略的能力，同時，我們還測試了限制訪問內(nèi)部服務(wù)器的能力。此外，我們還測試了瀏覽器重定向。

對于報(bào)告和警報(bào)能力，我們第一個測試了生成警報(bào)的能力，假如一個不符合策略的系統(tǒng)上線時，例如通過E-mail或者SNMP通知的能力。隨后我們看了報(bào)告能力，從基礎(chǔ)的系統(tǒng)日志開始看起。我們?nèi)缓罂戳松珊洼敵鰣?bào)告的能力，同時還察看了兩個方面輸出報(bào)告的能力：補(bǔ)救歷史（系統(tǒng)或者組）和展示不符合策略一致性系統(tǒng)的細(xì)節(jié)報(bào)告。

為了測試彈性，我們用了交換機(jī)的鏡像端口、hub和Linux下的ethereal軟件來檢查和監(jiān)視網(wǎng)絡(luò)流量。我們使用了OpenSSL來手工檢查一些我們發(fā)現(xiàn)的任何SSL連接。我們還用NMAP和NESSUS來掃描服務(wù)器從而發(fā)現(xiàn)易受攻擊的潛在部分。我們用基本的Windows文件維護(hù)工具來刪除客戶端軟件。