客戶、供應(yīng)商和分析家常常會問：哪些安全功能屬于端點層面?而又有哪些安全功能屬于網(wǎng)絡(luò)層面?雖然無法為這兩類安全功能劃清界限，但當(dāng)公司在構(gòu)建其端點及網(wǎng)絡(luò)安全體系架構(gòu)時，卻需要考慮以下關(guān)鍵要素：

以我們所使用的反病毒(AV)為例。 AV長期以來大多被部署在終端部分：筆記本電腦、臺式機、服務(wù)器等。

之所以這樣，主要出于以下原因：

強烈的處理和隔離要求(如對大型文件，甚至某些圖像等)使之變得困難重重。如果非要在高流量網(wǎng)絡(luò)設(shè)備上這樣做，那么無疑會影響很多用戶的流量(而用戶流量則在不斷變化) 。另一方面，將其分散并做成小塊，(如，通過由每臺電腦/臺式機或服務(wù)器來針對各個用戶或應(yīng)用程序的具體內(nèi)容)將非常實際可行。

當(dāng)員工需要在家中或在路上使用電腦上網(wǎng)，您的企業(yè)網(wǎng)絡(luò)中沒有任何網(wǎng)絡(luò)設(shè)備能由此幫助您阻止病毒從該系統(tǒng)進(jìn)入公司網(wǎng)絡(luò)。相反，你必須依靠端點AV ，然后借助訪問控制解決方案，以幫助用戶接入企業(yè)網(wǎng)絡(luò)。

加密，許多連接到第三方網(wǎng)站的行為不受公司控制，這些連接通過HTTPS加密，因此，最好的并且唯一的選擇是對端點進(jìn)行掃描。

這并不意味著網(wǎng)絡(luò)設(shè)備不需要防御病毒。這是因為你對端點做反病毒并不意味著你可以對網(wǎng)絡(luò)反病毒置之不理(反之亦然)。例如，許多公司認(rèn)為在前端郵件服務(wù)器方面(尤其是考慮到電子郵件的存儲和轉(zhuǎn)發(fā)特性)，采用AV的強大的專用電子郵件網(wǎng)關(guān)配合防垃圾郵件等網(wǎng)絡(luò)設(shè)備，是一種很有意義的方式。

對那些您允許分流(直接互聯(lián)網(wǎng)接入，比如承包商、訪客等)，但又無法控制其使用何種設(shè)備接入公司網(wǎng)絡(luò)的分支機構(gòu)而言， 很有必要在分支機構(gòu)使用內(nèi)嵌式AV以及訪問控制解決方案，以防病毒潛入網(wǎng)絡(luò)。這使得在分支機構(gòu)以廣域網(wǎng)連接速度進(jìn)行AV掃描，變得很有意義。

另一個產(chǎn)生關(guān)于“網(wǎng)絡(luò)安全與端點安全”問題的例子出現(xiàn)在對遠(yuǎn)程訪問和局域網(wǎng)接入解決方案的討論方面，如SSL VPN和網(wǎng)絡(luò)訪問控制(NAC) 。關(guān)鍵在于，當(dāng)選擇訪問控制解決方案時需要考慮兩個端點和實時數(shù)據(jù)網(wǎng)絡(luò)安全(除終端用戶的“身份”和“位置”以外)，以決定“哪個用戶/角色能夠訪問我的網(wǎng)絡(luò)，并能夠接入何種級別的應(yīng)用程序/服務(wù)?！?/P>

瞻博SSL VPN以及UAC解決方案是兩個不錯的例子。這兩種方案能夠以一種開放標(biāo)準(zhǔn)的形式為客戶提供檢查并評估端點安全狀態(tài)，以及從IPS獲得實時網(wǎng)絡(luò)威脅數(shù)據(jù)的能力。AV網(wǎng)絡(luò)裝置能為用戶提供接入。通過允許雙方-無論您的主機是否基于IPS或者基于網(wǎng)絡(luò)IPS(或者基于二者)，無論該設(shè)備是否由一個不在你控制范圍的實體所有(如，合作伙伴、承包商、客戶)，亦或在你控制之內(nèi)(雇員使用固定筆記本電腦) ，等等--企業(yè)現(xiàn)在可以使用從端點和網(wǎng)絡(luò)全方位安全數(shù)據(jù)來進(jìn)行正確接入。