端点安全产品测试报告.docx

1、端点安全产品测试报告端点安全是目前网络界非常火爆的话题，思科，微软分别推出了NAC、NAP，国内本土厂商华为3com也推出了EAD计划，每家网络厂商也都有类似的解决方案。各个解决方案虽然叫法不同，但是实现的目的、大体的网络架构都是非常类似的。此次本报编辑选编的美国网络世界一篇测试报告就是关于端点安全产品测试的，每家测试产品都可以完成上述端点安全功能。在编辑这篇文章的过程中，编辑也查阅了大量的相关资料，发现生产此类产品的小公司在美国非常多。 在除了思科这样的网络大鳄之外，小厂商的产品往往也有他的独到之处。对于公司网络的安全一致性审计要求来说，在端点上设置和强制执行安全策略，非常至关重要。在我们的

2、端点安全产品测试中，这些产品可提供策略强制执行功能，每一款产品都可以识别出系统是否符合策略一致性要求并且可以采取行动来补救不符合策略的系统。我们制定了一系列产品所应该提供的策略强制清单，这其中包括产品可以识别出未打补丁的操作系统、是否符合安全策略一致性、对不符合策略要求系统进行限制访问、分析并得出客户端的报告和对不符合安全策略要求的系统采取补救行动使之和整体安全策略相一致。 我们非常理解没有一家产品可以全部满足我们的安全策略要求，我们会尽可能地让厂商展示他们所有的功能特性。 如果没有在网络中增加安全产品则会引起很大的安全灾难，我们也检查了端点安全产品自身的安全架构特性。 我们对此领域内的13家

3、厂商发出了测试邀请函，最终CheckPoint、Cisco、Citadel、InfoExpress、Senforce、Trand Micro和Vernier/PatchLink Networks同意参加测试。Elemental Security，EndForce，McAfee，Sygate，SecureWave和StillSecure则拒绝参加了此次测试。Vernier/PatchLink因为在所有测试项目中有着不错的表现，所以最终最终赢得了这次测试。例如此产品可阻止网络访问并且自动修补不符合安全策略的系统，它的安全检测功能最富有弹性。 Senforce获得了第二名，但是与第一名的测试分数非常

4、相近。Senforce有着最为强大的主机坐镇网络中央，它们仅仅使用客户端软件，不用其他在线设备就可以实现端点安全功能。Trend Micro公司总体上表现也非常好，仅仅是在满足我们的策略管理要求方面栽了一马。 Citadel是一款强大的产品，但是在策略一致性功能方面需要投入更大的精力，这家公司说他们会在4.0版本中集成这项功能。从技术观点上来看，Cisco也表现得非常不错，但是需要在报告和总体可用性方面需要改善。Check Point是一款可靠的产品，但需要在报告和更详细的自定义策略检查功能上下足功夫。 和我们通常的安全测试一样，我们仍然会关注于当端点遭受攻击时，产品所应该采取的行为，我们感到

5、InfoExpress的产品仍然在这一领域中有着深厚的技术背景，但产品的可用性和文档说明仍然需要改善。 因为我们将注意力都投向了每款产品的测试要求上，所有我们不能测试每款产品的功能亮点。Vernier/PatchLink Vernier Networks和PatchLink所提交的产品包含了Vernier EdgeWall 7000i一款强制策略一致性的在线设备，PatchLink升级服务器和相应的端点代理软件可以方便地对客户端进行安全策略一致性检查。 产品的安装非常顺利，特备是在两家产品合作进行测试的情况下。测试过程中我们仅仅碰到了EdgeWall 7000i的一个问题在默认状态下，NAT功

6、能是打开的，然而我们并不需要这个功能，因为我们仅仅把这个产品当作了一个桥接设备。在非常轻易地关掉NAT功能后，以下工作就非常顺利地进行下去了。 虽然客户端依靠EdgeWall 7000i本身就可以进行易受攻击性检查扫描，但我们的测试却非常依于PatchLink升级服务器。PatchLink升级检查包括检测反病毒软件包的数量和所有Windows安全升级。对于间谍软件检测，EdgeWall 7000i可以识别出一些恶意流量，并且通过一种方法可以识别出我们在测试中所用的间谍软件。此外，PatchLink提供了一个间谍软件模块来识别间谍软件所运行的端点系统，但是我们并没有这个功能。 用Vernier/

7、PatchLink可以禁止USB拇指驱动器（编者注：在这里指小型的U盘产品）访问。当我们利用EdgeWall 7000i产品进行应用控制测试时，成功地阻止和控制了我们所指定的应用流量。 PatchLink开发工具允许你制定自定义策略和补丁包，提供了在我们所测试的产品中最富有弹性的自定义检查功能。 这些产品也可以在VPN连接上强制策略一致性，此功能的考虑是基于你假如有一个移动地工作站的话，就必须要保证移动接入的安全性。但此功能也有致命的缺陷：假如某个端点在线，而Vernier/PatchLink此时又发生故障，那么端点就不能连接到总部网络了。 Vernier要求你设置多个安全配置级别你必须设置多

8、个不同的安全文件、身份文件、连接文件和访问策略，从而你可以追踪这些配置文件。在管理GUI界面中，一个不同的设置过程布局可以让你更多的凭直觉来进行设置工作。 当一个系统将要访问网络时，这个系统就会立刻被进行扫描和置于一个统一的网络访问策略下。对于我们的测试来说，我们设置了三个访问策略符合安全一致性策略的系统可以进行全部访问、对于不符合策略的系统限制访问并且把这个系统链接到Internet上进行打补丁工作、限制没有安装PatchLink代理软件的组系统访问，对于没有安装PatchLink代理软件的一组系统来说，利用EdgeWall 7000i的URL重定向功能可提供这些系统一个链接来下载安装代理软

9、件。 当EdgeWall 7000i包含了网络强制组件时，PatchLink升级服务器可利用强制的基本默认配置提供及时的补救行为。当我们让一个没有安装PatchLink代理软件的系统连接到网络时，我们打开浏览器，浏览器被重定向到一个链接上，下载和安装PatchLink代理软件。 一旦代理软件被安装和运行时，通过PatchLink升级服务器中默认配置，没有打上补丁的系统和安全设置就会被自动部署在系统内。一旦系统满足了一致性要求，就会被允许访问全部测试环境正如事先所期望的。 当不符合一致性要求的系统将要上线时，Venier/PatchLink并不能提供警报机制，但是它提供了许多的报告选项。通过Pa

10、tchLink升级服务器，你可以得到一个系统完整的打补丁历史，EdgeWall 7000i则提供了所有在线系统总体的一致性状态报告。Senforce Senforce端点安全套件有5个主要的部件。在Windows服务器上运行的分布式策略服务、和其通信的客户端、策略部署、策略收回（retrieve policy）和从分布式客户端收集来的注册数据。管理服务功能控制了用户策略、策略存储和生成报告。策略编辑器的用户界面可以用来进行策略的生成和管理。用密码加密过的客户位置确信服务可以确保一个系统是否确实在网络上，此举可以使系统免受用户欺诈攻击。最后，全面的Senforce安全客户端包括一个以主机为基础的

11、防火墙程序，这个防火墙程序在受监控的端点上运行，它用来强制策略实施和控制系统的补救过程。 对于安全测试过程，我们感觉非常艰难。我们第一次尝试进行分布式安装，但是所利用SSL的组件之间却不能进行适当的通信。然后我们运行了单个服务器安装，但是数据库却不能正常使用并且错过了产品运行所需要的关键数据安装。Senforce的技术支持对于这个问题并不能解释，但却很快帮助我们完成了工作，在第三次尝试以后，我们最终才得以继续测试。一旦安装完成，我们并没有遇到其他的服务器操作问题。文档非常充足，但是双列的文字布局，使得用户阅读起来非常麻烦。 策略的制定过程表明了系统如何检查反病毒特征库、打上错过的补丁和应用控制

12、（例如允许或者禁止某些类型的应用流量）。在我们的测试中，Senforce安全套件成功地通过了所有支持的策略检查测试。 如果产品被直接置于终端点之后，在和VPN的连接过程上可以进行策略检查，但如果客户端不能直接连接到网络上时，策略的强制执行也是可以工作的。通过产品强有力的脚本引擎你也可以创造自定义的策略检查。 网络管理员可以在策略编辑器里新建策略，策略编辑器有着非常不错的界面并且可以凭直觉操作。当我们碰到问题时，文档可以迅速帮助我们解决。 在通过网络共享方式安装客户端软件时，我们碰到了问题。在安装过程中，网络连接被中断了，因为程序要求安装网络驱动程序接口规范（NDIS）驱动。其他的产品会有配置警

13、报，告诉你不要在网络上安装软件。Senforce也应该包含类似地警报。 我们更喜欢以主机为中心的解决方案，因为系统会识别出不符合策略的电脑，然后会由代理机上自己的防火墙来进行控制（Check Point和Citadel功能与时下流行的方法类似）。在我们的测试中，以主机为中心的工作方法工作得非常好。然而，假如主机受到攻击或者Senforce的客户端程序被关掉、删除，这些情况会带来很大的问题。在我们的测试中，一些客户端程序很容易被关掉。没有客户端程序，策略检查就不再工作。对于网络设备厂商来说，攻击者仍然会有一些方法绕过安全保护。 客户自己编写的策略脚本可以让产品具有更大的使用弹性。这些脚本甚至可以

14、让用户下载和执行必要的程序来弥补客户端电脑的缺陷。一个不符合策略的系统，我们可以对其做出如下动作：设置为阻塞其所有数据流、运行某个客户端隔离规则、仅仅让其访问定义好的资源、访问Internet或者是只能访问内部网络。 安全套件不包括警报功能。报告是以Web方式进行浏览的，但是你却不能输出这些报告或者另存为Web形式。默认的报告包括图形和汇报，但是我们更喜欢自由的客户订制能力。报告提供了很多的信息但是却不包括全局系统的打补丁历史和状态。Trend Micro 我们测试了Trend Micro Network的VirusWall 2500和OfficeScan 7企业版防病毒软件。VirusWal

15、l 2500是一款在线设备，它可根据在Trend Micro设备上预先定义好的策略来阻止或者允许网络访问。当一个系统尝试访问网络时，它会被扫描，看其是否易受攻击（例如没有打包或者是易受攻击）。 当端点没有直接连接到网络中时，你就不能新建自定义的策略或者进行策略一致性保护了。Trend Micro的系统可以在VPN上工作并且能和主要的几家VPN网关集成来进行防病毒检查。 这款产品易于设置并且可以凭直觉使用，在我们进行的所有测试中，这款产品给了我们愉快的使用经历。 假如一个不符合策略的系统上线，终端用户可以看见一个错误提示，打开浏览器被重定向到一个网络管理员预先定义好的URL上。我们非常喜欢这样一

16、个功能终端用户会看见一个弹出式消息框被告知：“打开浏览器获得更多信息”。 因为VirusWall 2500和它的策略强制能力与OfficeScan集成得很紧，所以一旦没有安装防病毒软件很容易的就被指向安装链接。另外，探测到的病毒会被自动删除。另外一些易受攻击的系统，例如没有及时打补丁也会利用其他方式来完成。 Trend Micro的报告和警报能力是我们所测试产品中表现最好的。我们可以简单的设置系统发送管理员E-mail或者SNMP警报，当不符合安全策略的系统上线时。我们可以一次生成或者预定系统打补丁的报告，也可以将这些报告以PDF格式或者其他一些文件格式进行输出。我们也可以生成一份关于离线或在

17、线电脑错过升级软件的报告。Cisco Cisco这次提交了两款产品，一款是Cisco Clean Access（CCA）服务器，这是一款在线设备，它与安装在客户端电脑上的Ciso Trust Agent软件配合使用可实现端点安全策略一致性功能。 另外一款产品是Cisco Secure Agent（CSA），CSA包含了管理服务器软件和客户一侧的代码，以主机为中心的代理技术可以监视系统的恶意活动。 安装CCA非常复杂。我们让在线设备以桥接模式运行仅仅是通过流量而不做任何NAT。相关产品设置的文档内容令人感觉非常含糊不清，设置要求管理服务器处于不同的子网。我们叫来了技术支持帮助解决这些架构方面的问

18、题。 对于我们的策略强制检查，CCA可以正确识别防病毒特征码，其中包括可以识别主要3种病毒的默认属性、没有打补丁的操作系统。通过我们定义好的策略可以控制网络流量。当一个端点设备上线时，从CCA应用服务启动的Nessus可以扫描操作系统的安全设置。 自定义的检查设置，允许你监测注册码、文件和进程，自定义检查可以通过CCA管理控制太设置。总体来看，自定义检查非常易于设置。 策略检查测试的其中一项是：确定端点是否运行了定义好的个人防火墙程序。在大部分产品中，这项功能实现的原理通常是确定某项应用是否在系统上运行。对于CSA 代理程序来说，Cisco支持策略检查和不确定某些参数值策略的编写。在CCA中也

19、可利用自定义检查把其他的个人防火墙加到策略强制中。然而，Cisco的策略检查还是需要改善的，它需要更加详细的脚本引擎。 Cisco的端点安全系统也可以识别出间谍软件、控制USB驱动接入、强迫执行更多的应用、注册码和进程安全，当端点进入或者离开网络时，Cisco都可以提供保护。 CCA也可以非常便利的当作VPN终端点来使用。未来发布的版本将会和Cisco VPN集中器整合得更加紧密。 一致性是由定义好的策略强制实行的，定义的策略在CCA中驻留。利用CCA管理界面，基于网络状态你可以设置很多数量的补救行为或者强制策略。例如你可以基于认证的用户、未通过认证的用户、在扫描结果中易受攻击的用户和没有通过

20、一致性检查的用户进行设置。 假如一个用户将要访问网络而没有通过CCA的认证，你就可以限制他仅仅只能访问一个特别的区域。通过认证的用户则可以经受更多的检查，通过检查后，则会授予用户更广泛的网络访问资源权限。CTA软件位于每台端点系统上，并且提供对于主机访问的权限。假如CCA识别出了问题，不符合策略的系统会有一个安装文件上传至CCA，然后会收到消息或者一个URL。 终端用户必须手工安装初始化软件，安装的软件可以保证端点用户的安全策略保持一致。当端点电脑在等待被验证安全策略一致性的时刻，除了一些指定的Windows升级连接外，服务器会阻塞所有的网络流量。 在CCA和CSA中，报告功能还应该有所改善。

21、就CCA来说，你可以观看服务器上关键事件的系统日志，但是却不能对整个系统生成报告。你可以观看每个端点系统的扫描结果和一致性检查结果。扫描失败的事件会被发送到CCA事件日志中，但是你却不能对所有在线电脑、历史的当前状态生成报告来显示。Citadel Citadel提交了软件产品来参加我们的测试，Citadel会把Hercules代理软件安装在端点电脑上，利用ConnectGuard模块探测端点是否是易受攻击的，ConnectGuard模块包含有客户和服务器端组件来强迫端点进行补救行为。Hercules代理程序在每一个端点系统上运行，基于自己收集来的扫描结果来分析端点是否易受攻击。策略检查包括识别

22、端点是否安装了防病毒软件、间谍软件、错过打补丁和检查操作系统的安全设置。 Hercules安装非常顺利，没有碰到任何问题。文档撰写也不错，管理界面易于使用并可凭直觉使用。 我们所测试产品的版本，Citadel可以探测千余种知名网络病毒的攻击，当然你也可以自定义病毒攻击检查和在管理界面中自定义补救所采取的行为。 对于不符合策略一致性的系统，ConnectGuard模块提供了强制机制，利用运行在端点的Citadel客户端可以阻塞不符合策略一致性系统的向外流量，直到符合策略一致性要求为止。在我们所测试的版本中，补救系统行为在策略一致性检查时就会发生。在Hercules 4.0版本中，管理员可以有选择

23、的接收到系统策略一致性报告和补救系统的任务计划。 对于报告来说，Hercules利用了以Web界面为基础的报告引擎，所以你可以输出为很多的文件格式。产品包含了相当强大的报告模块，包括了全部的补救行为历史和不符合策略一致性要求系统的状态。额外地报告功能已经被包含进了4.0版本中。Hercules不提供警报机制。Check Point CheckPoint的Integrity 6.0以软件完成了功能实现，它提供了个人防火墙、策略检查和强制实施的机制。 安装还是非常顺利的。对于客户端我们新建了一个默认安装包并且生成了自己的安全策略和强制检查。在默认设置下，Integrity就包括了主要的防病毒软件检

24、查。 你也可以在管理界面中新建策略强制检查，检查包括注册码、破坏文件或者是不允许的进程。没打补丁和操作系统升级在默认状态下是不受检查的，但是你可以定义检查这些选项。 通过标准的防火墙规则和应用控制机制你可以控制应用访问。利用Check Point的SmartDefense程序的Adivisor服务可以警告间谍软件的使用。不支持USB驱动器接入检查。 所有支持的策略测试都非常成功。 当没有连接到总部网络时，完整性检查提供了系统保护。 不符合策略一致性的系统可以被发现、警告或者是限制连接。管理员可以提供到关键文件的链接或者是上传文件到系统上以便用户下载进行补救行为。在这些功能特点的测试中，我们可以

25、被重定向到策略中事先定义好的站点中。例如，当系统探测到Windows没有打升级补丁时，我们被重定向到Windows升级站点中。 完整性报告功能还需要改善。基础报告通过Wen界面进行观看，但是报告却不能被输出。你可以得到不符合安全策略一致性系统的报告，但却没有系统总体的报告。完整性检查没有提供警报功能。InfoExpress InfoExpress CyberGatekeeper服务器坐镇网络中央，它提供策略到端点系统上的CyberGatekeeper代理程序上并且可以通过Web界面生成报告。通过产品所支持的某一类型模块，服务器可以处理策略强制，产品支持局域网（可以使交换机的某个端口处于一个补救

26、VLAN中）网桥（根据定义好的策略阻止/允许流量）、RADIUS协议。 为了新建和修改策略，管理员要使用策略管理器，策略管理器运行在一台电脑上并和服务器分离。管理员发布策略到中央服务器上并分发到客户端上。对于我们的测试，我们利用局域网上的某台服务器和网桥一致性模式。我们根据匹配这个产品的升级文档进行设置，设置工作非常简单易行，但是在文档中仍然有一些重大问题。 CyberGatekeeper的主要关注点是审计和策略一致性检查，不像我们测试的其他产品，它的代理软件没有一个内置的防火墙，虽然没有防火墙，但是它的设计却富有弹性并可以适应测试，所以你可以在环境中运行任何你想要的防病毒软件或者以主机为基础

27、的安全保护。 强制策略也可以在VPN连接中进行设置工作。当没有连接到网络时，策略强制是不能工作的。策略管理者提供了很多地弹性，但是设置却比较复杂，尤其是许多设置屏幕需要上载新的策略到服务器上。 一旦不符合策略一致性的系统被识别出来，在终端用户上就会显示出一条消息，终端用户可以被重新定向到一个URL上，或者系统可以被置于不同的VLAN中，而所被划到的VLAN依赖于你运行的强制策略模块。用户被重定向的URL地址可以下载没安装的软件，但是安装过程却是手工的。 报告功能也需要改善。一些基础的报告是以Web形式输出的，但是也可以输出为CSV文件格式进行离线观看。补救历史报告并不实用。你可以得到系统状态报

28、告，在状态报告中可看到一个系统为什么处于策略拒绝状态，但是阅读起来有些困难。结论 我们测试的端点策略强制产品，大部分都包含了基本的功能。但是要成为一家企业网络安全基础架构的核心组件，这些产品仍然需要很长的路要走。我们高兴的看到，这些产品可以解决扩展的策略一致性需求，功能可以满足当前的安全和网络基础需求。 应该指出的共同一点是，产品缺乏警报能力和经常存在的需要改善报告技术要求。这些组件在策略一致性产品中非常关键，顺便提一句，审计追踪能力也非常关键。 此外，一些产品也应该包括依据文件或者进程名来进行策略一致性检查的能力。我们看到有些产品应该包含一些种类的校验和检测。 我们也看到当终端用户不符合策略

29、一致性时，系统使终端用户意识到是哪些方面出现了问题的能力所有改善。大部分产品都在Web浏览器中提供了重定向功能，但是假如用户是通过其他不同应用访问网络时，Web重定向功能就有点不合时宜了。 除了基本功能之外.我们所测试的每款产品除了基线测试之外，有些产品其他的一些亮点功能也值得我们考虑。例如，思科的CCA（Cisco Clean Access）应用可和Nessus软件配合使用来扫描系统的漏洞，你可以根据自身的网络环境自定义新建检查策略，而不用依赖于标准的签名特征。 CCA也提供了优先级策略检查能力，假如在你的网络环境中，一条策略比另外一条策略更重要的话，你可以将较重要的策略附加在次重要策略之上

30、。此外，CCA也支持移动用户在CCA服务器之间进行漫游而不用再次认证。 InfoExpress也支持许多的策略强制模块大部分我们不能测试例如RADIUS EAP（802.1X）和Airespace无线局域网，这些策略强制模块可以在你的网络中提供额外的方法来进行认证和授权。 对于策略强制，Trend Micro的Network VirusWall 2500可以监视你的网络流量。此外，它也可以监控网络病毒感染。这家产品的网络病毒爆发监视器可以识别出一个攻击要开始的征兆，例如它根据已知的病毒攻击连接端口或者是某个网络进程的突然提升。当产品观察到一个网络病毒将要爆发时，监视器会触发一个警报。 Chec

31、k Point提供了第二种类型的代理软件，称作Integrity Flex agent，这个代理软件提供给终端用户功能全面的管理界面，可以创建自己的策略，这个产品理念对于家庭电脑连接到公司网络非常合适。此代理软件目前版本是Integrity 6.0，它包括了Check Point恶意代码保护，一个内置的主机入侵保护引擎，主机入侵保护引擎可以识别出已知的恶意程序和进程，这些不错的性能特点可以使管理员不需要检测所有程序并且可以创建自己的策略。 在我们测试完成以后，Citadel公司发布了Hercules 4.0版本。这个发布版本提供了很多数量的强制策略用以改善一致性审计、策略强制任务和引进Herc

32、ules应用。一个新引用的策略一致性检查模式允许管理员接收端点的状态报告而不用强迫终端用户立刻采取补救行为。补救行为可以计划在一定的时间段后执行。一个仪表板加进了管理界面中从而可以图形方式快速观察所有被监视设备的策略一致性状态。额外的报告功能也被添加到管理界面中以加强报告引擎。 Veriner公司的EdgeWall对于注册登录、访客登录、扫描过程和停止扫描Web页面过程有许多的自定义选项。当一些终端用户不符合安全策略时，管理员可以自定义终端用户所看到Web页面上不符合策略的原因的描述。EdgeWall也可以在用户退出登录时弹出菜单。PatchLink可以列出所有运行PatchLink代理软件系统的详细清单，清单包括硬件、软件和服务信息。 Senforced提供了不少独一无二的功能特点。一个是允许管理员通过Senforce策略控制无线连接选项，例如是可以允许/关闭无线连接、管理WEP的密钥、指令网卡是否可以和AP进行