主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略，根据检查结果容许或拒绝其访问，并自动修复不达标的主机系统。另外安全代理能够根据连接类型和网络处所来调节策略，以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线，以太网，拨号和VPN。网络处所可能是家里、星巴克、酒店、会场还是公司。这样，安全保护的解决方案以自动化的方式保证不同处所下最安全的策略得以执行，防止移动设备受到黑客攻击，以防范最广泛的威胁。

    当前，仅靠单一、简单的防护技术已经难以保证企业的网络安全。企业需要多管齐下，实施多层次的安全防护策略。

                                    图1：多层次终端防护体系图

全面的网络准入控制（Network Access Control, NAC ）

  “网络准入控制（NAC）”是一个新定义的类别。为了解决传统的外网用户接入企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为所带来的安全问题，需要通过边界和接入层准入控制，来强制每一台接入企业网络的终端都符合企业安全策略的要求，从而保证企业网络的安全稳定运行。

    这些强制策略涵盖补丁级别，系统配置，防病毒、个人防火墙、入侵预防系统带的特征库版本是否正确和及时更新等。不符合企业安全策略的设备会为管理员隔离出来，阻止访问网络，或者仅授予访问修复资源的权限以便自动修复。

    在NAC方面，赛门铁克旗下的Sygate可谓当仁不让的先驱和领导者。其于2002年发布首个具备NAC功能的产品。第一款基于局域网的网络准入控制技术也是在2004年由其发布。该技术增强利用了IEEE 的802.1x准入控制协议，几乎所有的有线和无线以太交换机制造商都支持该协议。今天，赛门铁克通过率先实现VPN（IPSec及SSL）、局域网 (802.1x) 和代理自我强制技术，为网络准入控制指明了方向。

    NAC解决方案需要多种强制方法和高度的策略灵活性才能覆盖整个企业网络。客户应该仔细评估他们的环境和需求，权衡各种可行方案。当前已出现多个联盟和标准，旨在为网络基础架构、验证、端点安全和策略管理供应商建立可满足集成要求的 NAC 标准。

    赛门铁克已经与Cisco建立合作伙伴关系，这使客户在部署NAC技术时能够有更多的选择。由于赛门铁克的NAC解决方案包含所有连接点，并且与Cisco基础架构完全兼容，因此客户现在无需Cisco的NAC基础架构即可部署赛门铁克技术。采用这种方法无需在每个系统上都部署额外的代理 (Cisco Trust Agent)，并且降低了服务器后端基础架构的复杂性。

全面的入侵防护

    Gartner在2005 年，从行为、应用和网络三个层面，描绘了 9 种不同的主机入侵防御类型，以帮助企业决定哪种类型或类型组合能够最好服务于他们的需求。诸如赛门铁克这样的产品已经能使企业延伸其 NAC 保护：一种确保符合企业安全策略的可信设备才能访问网络的能力，胜任于每种类型的网络访问（ VPN、无线、路由器、DHCP 等），胜任于所有的端点（包括笔记本电脑、台式机、服务器、访客系统以及嵌入式设备）。其解决方案可以无缝的集成多层防火墙和主机入侵防护为终端提供保护，提供黑名单、白名单，以及行为方式去保护设备远离那些针对网络、应用及计算机操作系统层面的威胁。