基于主机的准入控制原理

      基于网络的准入控制主要有EAPOL技术、EAPOU技术，而基于主机的准入控制主要有应用准入控制、客户端准入控制等等，由于基于网络的准入控制需要花费相对较多的时间来部署和管理，企业用户的网络设备也不一定全面支持网络准入，因此，易于部署的基于主机的准入控制是很多企业采用的首选，且这类部署适应性好，覆盖面广，不用像其他网络设备依赖庞大的配置，对网络的性能也没有较多影响，还能做到基于进程的访问控制及基于进程的带宽管理。

1、应用准入控制

      出口准入控制是部署上最容易实现的终端安全管理技术。其思路是先进入再控制，允许用户使用网络，在出口处部署安全控制设备(如防火墙、行为控制网关等)。

应用准入控制

      用户上网时，必须在出口的安全设备处进行身份认证和安全检查，通过之后才能上网。

服务器控制

      出口准入控制的优点是部署简单，不需要安装客户端，而且具备流量控制、上网内容审计等功能，因此应用较为广泛。其缺点是无法识别用户身份是否假冒(如IP、MAC、帐号等)，无法控制病毒在内网的传播，而且无法控制外来用户偷偷接入内网的行为(比如U盘拷贝等)，不能从源头上对终端安全进行控制，必须与其他终端安全控制技术结合，才能提供完整的终端安全管理解决方案。

客户端准入控制的特点

      系统及应用准入是在服务器的操作系统上安装准入控制软件，当电脑终端访问服务器时，准入控制软件会检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。而客户端准入控制是终端相互之间进行访问时，安装在终端上的软件也会检查对方的安全状态。基于主机的准入控制点一般安装在代理服务器、邮件服务器、内网Web服务器、DNS服务器上或DHCP服务器上。这些服务器是企业内部员工最常访问的服务器，因此准入效果较好，覆盖面广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的准入控制。

2、客户端准入控制

      客户端准入控制是最常见的终端安全管理技术，往往与防病毒软件、个人防火墙等结合在一起。客户端准入控制的原理是认为来访用户都不可靠，因此必须在终端上安装客户端安全软件，时刻对其安全状态(如进程、注册表、引导区、网络连接状态、网页访问状态等)进行监控，一旦出现异常，就提示用户或者按预设策略进行处理。

终端用户控制

      客户端准入控制的优点是控制能力强，能够检查操作系统、网络和应用层的安全问题。其缺点是经常需要用户自行判断，对用户的安全知识有较高要求，占用系统资源较多;同时无法保证客户端的运行情况，当端户贝等)，因此在企业内部使用时，无法避免客户端被卸载或重装系统、不运行等情况发生。

其他终端安全管理技术

      基于主机的准入控制其控制强度较弱，也是不可回避的，除此之外，从安全策略的实施点看，目前业界采用的终端安全管理技术主要还有：

1、服务器准入控制

      服务器准入控制技术的原理是在应用服务器上安装准入控制软件，一般安装在DHCP服务器、DNS服务器或代理服务器上。当电脑终端访问服务器时，准入控制软件会弹出页面要求用户登录，检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。服务器准入控制的部署比较简单，对网络设备环境基本没有要求，但是容易受到安全攻击的影响(如DHCP攻击)，而且对源头客户端的病毒传播难以控制，无法解决外来用户的私自接入问题。

2、网络准入控制

      网络准入控制技术的原理是从网络入口进行控制，通过网络设备在接入端口处强制实施安全策略。用户接入网络时，必须运行客户端软件，经过身份认证和安全检查，认证通过后才能使用网络。由于网络设备不可绕开，因此客户端一旦被卸载或者操作系统被重装，用户将无法接入。网络准入控制的优点是基于用户身份与网络设备紧密配合，安全策略可以得到强制实施。其缺点是部署繁复，成本较高，主要在大中型企业得到广泛应用。

准入控制的不同层次

      准入控制技术各有其优缺点，但从安全策略的实施方面来看，基于网络的准入控制技术由于网络设备可以实现强制安全决策，安全度较高，但管理及部署门槛也较高。