只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。
　　
　　在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。
　　
　　目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术；基于主机的准入控制主要有应用准入控制、客户端准入控制。
　　
　　1.基于网络的准入控制
　　
　　EAPOL
　　
　　EAP是Extensible Authentication Protocol的缩写，EAP最初作为PPP的扩展认证协议，使PPP的认证更具安全性。无线局域网兴起后，人们在无线局域网接入领域引入了EAP认证，同时设计了专门封装和传送EAP认证数据的IEEE802.1x协议格式。802.1x协议除了支持WLAN外，也支持传统的其他局域网类型，比如以太网、FDDI、TokenRing。EAP与802.1x的结合就是EAPOL(EAP Over LAN)，或者称为EAPover 802.1x。作为一种标准局域网的数据包协议，802.1x几乎得到所有网络设备厂商的支持。
　　
　　EAPOL不仅能用来解决终端电脑身份认证的问题，也可以用来认证电脑的安全状态。在进行身份认证的同时，“顺便”检查终端电脑的安全状态，并能根据认证状态设置端口状态，动态切换VLAN，或者下载ACL列表。因为802.1x协议被网络厂商广泛支持，所以EAPOL是支持范围最广的网络准入技术。EAPOL的优点是它可以做到最严格的准入控制，控制点是网络的接入层交换机，最接近终端电脑，对不符合策略的电脑可以完全禁止其访问任何网络，使其对网络的危害最小。
　　
　　EAPOL除了需要网络设备支持以外，还需要一系列相关配套的软件，比如Cisco的NAC、H3C的EAD、启明星辰的天珣内网安全风险管理与审计系统等。
　　
　　EAPOU
　　
　　网络准入的概念是由Cisco普及的，Cisco的NAC除了包含前面讨论的EAPOL，还有EAPOU(EAP Over UDP)。与EAPOL国际标准协议不同的是，EAPOU是Cisco的专有协议，即独家技术。EAPOU是Cisco NAC技术的第一个实现版本，2003年最早在Cisco的路由器上实现，后来在Cisco的3层交换机上也实现了EAPOU。EAPOL是在网络接入层进行准入控制，而EAPOU则是在网络的汇聚层或核心层进行准入控制。