为了营造理想的安全的网络环境，在管理层面上需要实现两个目标：“技术管理化”与“管理技术化”。技术管理化要求对安全技术进行有效的管理，使其真正发挥作用。通过统一、集中、实时的集中管理，构建坚固的技术保障体系。管理技术化体现在对终端的策略和行为约束，把停留在口号阶段的“三分技术、七分管理”变成可操作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管理要求真正地落实下去。

　　终端准入控制方式

　　终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。

　　终端准入控制需要创建一个终端接入的可信尺度。典型的策略是强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当的配置。管理员也可以进一步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。

　　一旦策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”，来确保终端可信状态并授权。

　　终端准入控制的实现方法主要有如下几种。

　　1.手动隔离
　　手动隔离虽然不是自动化的隔离技术，但在管理实践中却是使用频率最高的手段之一。通过创建一个隔离组，然后为该组分配特定的隔离策略。当通过人工方式判断出一个终端处于高风险或者违规状态时，将这个终端手动方式移动到隔离组中，即达到了隔离效果。这种方式下管理员不需要去定位交换机端口，并拔出网线。更加省时，而且避免误操作。

　　2.本地隔离
　　利用主机防火墙规则和智能切换的能力实现本地隔离。这种方式最易实现，不需要和网络中其他强制服务器发生任何关系. 如果系统没有通过主机完整性检测, 将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作。

　　3.局域网准入与隔离
　　局域网的网络准入控制系统可以和支持802.1X功能的交换机完成对用户的接入认证。
　　当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是安全检查不合格时，局域网的网络准入控制系统可以通知交换机将该用户连接的交换机端口关闭，或者通知交换机将该用户的端口VLAN切换到修复VLAN，强迫用户完成安全修复后才将用户切换回正常VLAN。

　　4.边界准入与隔离
　　在用户通过IPSec VPN或、SSL VPN甚至是无线AP试图连接到企业内网时，又或者是从企业的一个内部子网试图访问另外一个内部子网时，Symantec强制网关实时检查这些用户的安全性。只有安全性达标的用户才能访问强制网关后的局域网。
　　当用户透过强制网关设备进行网络互访时，用户的访问方式(应用，受访资源等)也受到严格管理，非标准访问方式被禁止使用。

　　5.DHCP IP获取准入
　　当非园区网成员，或者是园区网成员试图通过有线局域网(如以太网)，或者是无线网络(802.11a、802.11b、802.11g)连接到局域网并试图自动获取IP地址时，网络准入控制系统会首先检查这些用户的安全状态，检查合格者分配其一个正常地址范围内的IP地址；不合格的用户分配另外一个修复区域子网的IP地址，用户此时只能去修复服务器执行自己的主机安全修复操作，其余网络访问均受到限制。当修复操作全部完成之后，网络准入控制系统才将该用户当前的修复区域IP地址释放掉，同时分配给其一个正常范围内的IP地址，用户此时的网络访问请求才被放行。