随着计算机技术和网络通信技术的发展、融合，我们所理解的传统意义上的“终端”已经发生了变化，它不仅是网络中与网线连接的台式机和笔记本电脑，还包括手机、PDA”FONT-FAMILY: 宋体”>、PSP游戏机、电子阅读器等各类新式的移动设备。这些形形色色的终端给网络安全工作带来了巨大挑战：它们类型众多，以各种方式接入；并且，它们是网络中大部分事物的源头和起点——是用户登录并访问网络的起点，是用户访问应用系统并获取数据的起点，更是病毒传播、从内部发起的恶意攻击、内部保密数据盗用或失窃的起点。因此，终端安全管理对每个企业来说都是非常重要的，良好的终端安全控制技术能够保证企业的安全策略真正得到实施，有效控制各种非法安全事件，遏制网络中屡禁不绝的恶意攻击和破坏。

　　终端安全控制技术的最佳选择

　　在终端安全管理中，安全策略的控制与实施是实现所有终端管理功能的基础所在。采用安全策略控制技术能够对终端用户进行身份认证，对安全状态进行检查，将不合格的终端进行隔离、强制修复，从而有效促进内网的合规建设，减少网络事故。

　　从安全策略的实施点看，目前业界采用的终端安全管理技术主要有以下四种：

　　1. 出口准入控制

　　出口准入控制是部署上最容易实现的终端安全管理技术。其思路是先进入再控制，允许用户使用网络，在出口处部署安全控制设备（如防火墙、行为控制网关等）。用户上网时，必须在出口的安全设备处进行身份认证和安全检查，通过之后才能上网。

　　出口准入控制的优点是部署简单，不需要安装客户端，而且具备流量控制、上网内容审计等功能，因此应用较为广泛。其缺点是无法识别用户身份是否假冒（如IP、MAC、帐号等），无法控制病毒在内网的传播，而且无法控制外来用户偷偷接入内网的行为（比如U盘拷贝等），不能从源头上对终端安全进行控制，必须与其他终端安全控制技术结合，才能提供完整的终端安全管理解决方案。

　　2. 客户端准入控制

　　客户端准入控制是最常见的终端安全管理技术，往往与防病毒软件、个人防火墙等结合在一起。客户端准入控制的原理是认为来访用户都不可靠，因此必须在终端上安装客户端安全软件，时刻对其安全状态（如进程、注册表、引导区、网络连接状态、网页访问状态等）进行监控，一旦出现异常，就提示用户或者按预设策略进行处理。

　　客户端准入控制的优点是控制能力强，能够检查操作系统、网络和应用层的安全问题。其缺点是经常需要用户自行判断，对用户的安全知识有较高要求，占用系统资源较多；同时无法保证客户端的运行情况，当端户贝等），因此在企业内部使用时，无法避免客户端被卸载或重装系统、不运行等情况发生。

　　3. 服务器准入控制

　　服务器准入控制技术的原理是在应用服务器上安装准入控制软件，一般安装在DHCP服务器、DNS服务器或代理服务器上。当电脑终端访问服务器时，准入控制软件会弹出页面要求用户登录，检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。

　　服务器准入控制的部署比较简单，对网络设备环境基本没有要求，但是容易受到安全攻击的影响（如DHCP攻击），而且对源头客户端的病毒传播难以控制，无法解决外来用户的私自接入问题。

　　4. 网络准入控制

　　网络准入控制技术的原理是从网络入口进行控制，通过网络设备在接入端口处强制实施安全策略。用户接入网络时，必须运行客户端软件，经过身份认证和安全检查，认证通过后才能使用网络。由于网络设备不可绕开，因此客户端一旦被卸载或者操作系统被重装，用户将无法接入。

　　网络准入控制的优点是基于用户身份与网络设备紧密配合，安全策略可以得到强制实施。其缺点是实施成本较高，对网络环境和技术人员有一定要求，目前主要在大中型企业得到广泛应用。

　　以上四种控制技术各有其优缺点，但从安全策略的实施方面来看，基于网络的准入控制技术由于网络设备难以绕开、控制力度可达交换机端口等特点，保证了安全策略得到强制实施，实现了终端安全管理的不可抵赖性和不可逃避性，同时解决了外来用户与内网外联的问题，并且能够与传统的安全技术和桌面管理技术融合，可以说，它是终端安全技术的最佳选择。