网络准入控制(NAC)
网络准入控制系统评价指标分析
AD(Active Directory)是基于 windows 系统的强大有效的安全管理工具,由于在目录 中包含了有关各种对象 [例如用户、用户组、计算机、域、组织单位(OU)以及安全策 略] 的信息,网络准入控制系统可以从中获取到相比其他认证系统/接口更为详细的管理 信息,一套好的网络准入控制系统甚至应该能够提供 AD 环境下的单点登录功能,为机构 提供更多的管理便捷性。
7. 生物指纹认证
随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业/管理模式 中均得到了应用,如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性,且无 需人员进行预先设置和记忆,因此具有其他记忆/携带类认证方式所不具有的突出优点。 网络准入控制系统可以选择利用用户已有/采购中的的指纹识别系统作为入网人员身份 的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从 而更适合高端用户基于边界的用户认证管理需求。
设备识别。帮助用户对所有接入网络的终端设备进行迅速的识别,根据 ip、MAC、 操作系统、硬盘 ID 等指纹完整地给出接入设备的形态,从而帮助管理者区分内部 设备与外部设备,授权设备与非授权设备,已注册设备与未知设备等多种管理形态。
用户认证。依托于网络准入控制系统强大完善的认证系统,能够提供给管理者基于 用户的角色管理,赋予不同的用户不同的访问权限、所使用设备的安全配置要素及 网络行为准则。
系统补丁(patch)健康保障。如果操作系统不及时更新补丁,那么任何漏洞都会 变成 0day 威胁,从而对设备、使用者甚至是机构造成巨大的威胁和损失。网络准 入控制系统需要依托 microsoft 每月补丁更新,为用户提供更合适的补丁分级管 理机制,确保检测过的补丁具有更高的稳定性和安全针对性。最佳的处理方式则应 该是由网络准入控制系统自身集成补丁服务器,这样就不需要用户再额外搭建 WSUS 等补丁设施,从而有效降低内网管理的 TCO。
学校校园网络安全管理的网络访问控制
学校校园网络安全管理的网络访问控制随着信息技术的快速发展,学校校园网络已经成为学生学习和交流的重要平台。
然而,学校校园网络面临着来自内外的各种威胁和风险,如网络攻击、非法访问、信息泄露等。
因此,学校需要加强网络安全管理,其中网络访问控制是一项非常重要的措施。
一、网络访问控制的概念和作用网络访问控制,简称NAC,是指通过对用户设备的身份验证、授权和准入策略的检查,对进入学校网络的设备和用户进行管理和控制。
它的主要作用有以下几个方面:1. 防止非法访问和网络入侵:通过身份验证和授权的方式,只允许授权用户和设备接入学校网络,有效防止未经授权的设备和用户对网络进行非法访问和入侵。
2. 保护网络资源的安全:通过制定准入策略,限制设备和用户能够访问的资源范围,防止敏感信息被未经授权的人员获取,保护学校网络的安全和数据的完整性。
3. 管理网络带宽的合理分配和使用:通过优化网络访问控制规则和策略,对不同用户和设备进行带宽分配和限制,保证网络带宽的合理利用,提高网络性能和用户体验。
二、网络访问控制的实施方式1. 身份验证和准入控制:学校可以利用账号密码、数字证书或生物特征等方式对用户身份进行验证,并根据用户身份和权限设置不同的访问策略,以实现对网络的准入控制。
2. 网络防火墙和入侵检测系统:学校可以在网络边界和关键节点部署防火墙和入侵检测系统,对进出学校网络的数据包进行检查和过滤,防止恶意攻击和非法访问。
3. 网络流量监测和行为分析:通过网络流量监测和行为分析系统,学校可以实时监控学校网络的流量情况和用户行为,及时发现异常行为和网络威胁,并采取相应的措施进行应对。
4. 设备管理和漏洞修补:学校可以采用统一的设备管理平台,对接入网络的设备进行统一管理和漏洞修补,确保设备的安全性和合规性。
三、网络访问控制的挑战和解决方案1. 复杂多样的用户设备:学校面临着来自不同操作系统、不同设备类型和不同网络接入方式的用户设备,需要针对这些设备进行适配和管理,确保网络访问控制的有效性。
nac应用准入原理
"NAC" 是Network Access Control(网络访问控制)的缩写,是一种用于确保只有经过授权和合规的设备和用户能够访问企业网络资源的安全技术。
NAC 应用准入原理涉及到在网络上实施一系列措施,以保证网络的安全性和合规性。
以下是NAC 应用准入原理的基本概念和步骤:
身份认证:用户或设备在访问网络前需要进行身份认证,确保他们有权访问企业网络资源。
这可以通过用户名密码、证书、双因素认证等方式实现。
设备健康检查:在设备连接到网络后,NAC 系统会进行设备健康检查,以确保设备的操作系统、防火墙、杀毒软件等安全措施是最新且有效的。
如果设备未能通过健康检查,可能会被引导到一个受限制的网络区域,以进行修复。
合规性检查:针对特定行业的合规性要求,NAC 可能会检查设备是否满足相关规定,如安全政策、数据保护法规等。
不满足合规性要求的设备可能会被阻止访问敏感数据或资源。
授权访问:一旦设备通过身份认证、健康检查和合规性检查,NAC 系统会为其分配适当的网络访问权限。
这可能包括访问特定资源、应用程序、子网等。
网络隔离:对于未通过健康检查或合规性检查的设备,NAC 系统可能会将其隔离到一个受限制的网络区域,以防止其影响整个网络的安全性。
监控和日志记录:NAC 系统会持续监控网络上连接的设备,记录其活动并生成日志。
这有助于及时发现异常行为和安全事件。
NAC 应用准入原理的目标是确保只有合法、合规和安全的设备和用户能够访问网络,以减少潜在的安全威胁和数据泄露风险。
它在企业和组织中广泛应用,特别是在需要高度敏感信息保护的行业,如金融、医疗保健等。
nac应用准入原理
NAC应用准入原理解析1. 什么是NAC应用准入原理?NAC(Network Access Control)应用准入原理是指通过对网络中的终端设备、用户和应用程序进行身份验证、授权和安全策略的检查,来确保网络安全,保护网络资源免受未经授权的访问和恶意活动的侵害。
NAC应用准入原理的核心目标是确保只有经过授权的终端设备和用户能够访问网络资源,并根据其身份和权限提供适当的网络访问。
2. NAC应用准入原理的基本原理NAC应用准入原理主要包括以下几个基本原理:2.1 身份验证身份验证是NAC应用准入原理的第一步。
终端设备和用户需要提供合法的身份信息,以便系统能够验证其身份的合法性。
常用的身份验证方式包括用户名和密码、数字证书、双因素认证等。
在进行身份验证时,系统会将提供的身份信息与预先存储的身份信息进行比对,以确定用户或设备的身份是否合法。
只有通过身份验证的用户和设备才能进一步进行访问控制和授权。
2.2 访问控制访问控制是NAC应用准入原理的核心环节之一。
经过身份验证的用户和设备需要受到严格的访问控制,以确保只有合法的用户和设备能够访问网络资源。
访问控制可以通过多种方式实现,如基于角色的访问控制(RBAC)、访问控制列表(ACL)、虚拟专用网络(VPN)、端口访问控制(PAC)等。
通过这些访问控制策略,系统可以根据用户或设备的身份、权限和安全策略来限制其对网络资源的访问。
2.3 安全策略检查安全策略检查是NAC应用准入原理的另一个重要环节。
通过对终端设备、用户和应用程序的安全策略进行检查,可以确保网络资源不受未经授权的访问和恶意活动的侵害。
安全策略检查可以包括以下内容:检查终端设备是否安装了最新的安全补丁和防病毒软件;检查用户的访问权限是否符合安全策略;检查应用程序的安全性和合规性等。
通过这些安全策略检查,系统可以及时发现并阻止潜在的安全威胁。
2.4 授权与管理授权与管理是NAC应用准入原理的最后一步。
网络准入准入控制系统解决方案
网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。
通过该系统,网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制,以确保网络环境的安全和稳定。
下面将详细介绍网络准入准入控制系统的解决方案。
首先,网络准入准入控制系统需要建立一个全面的用户身份认证系统,以确保只有经过身份认证的用户才能接入网络。
在该系统中,用户需要输入正确的用户名和密码来登录网络,从而获得网络访问权限。
此外,系统还可以实现多种身份认证方式,如使用指纹、虹膜识别等,来提高网络访问的安全性。
其次,网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。
这些设备包括电脑、手机、平板等终端设备。
通过在网络准入准入控制系统中注册设备的唯一标识符,如MAC地址或IMEI号码,可以对设备进行身份认证,并针对不同的设备类型设置不同的访问策略。
例如,可以禁止一些不受信任的设备访问网络,或限制一些设备只能访问特定的应用程序。
另外,网络准入准入控制系统还可以实现对网络中流量的监控和分析。
通过对流量进行实时分析,可以检测和阻止一些网络攻击,如DDoS攻击、入侵和恶意软件传播等。
同时,系统还可以记录网络中的访问日志,用于追踪和调查安全事件。
此外,网络准入准入控制系统还可以与其他安全系统集成,如防火墙、入侵检测系统等。
通过与这些系统的集成,可以实现多层次的安全保护,并提高整个网络的安全性。
最后,网络准入准入控制系统需要提供一个统一的管理平台,用于配置和管理系统的各项功能。
网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。
同时,该管理平台还需要提供实时的监控和报警功能,以便网络管理员能够及时发现和应对安全事件。
综上所述,网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。
nac方法
nac方法NAC方法是一种用于网络流量分析和安全管理的技术。
它可以帮助组织监控和分析网络流量,并及时发现潜在的安全威胁。
本文将介绍NAC方法的基本原理、优势、应用场景以及一些实际案例。
NAC,即网络准入控制(Network Access Control),是一种用于保护企业网络安全的技术。
它通过验证用户和设备的身份和合规性,对其进行授权和访问控制,从而实现对网络资源的安全管理。
NAC方法的基本原理是将网络用户和设备纳入统一的访问控制框架中,通过身份认证、合规性检查和访问控制等手段,确保网络资源只能被经过授权的用户和设备访问。
具体来说,NAC方法可以实现以下功能:1. 身份认证:NAC方法可以对用户进行身份验证,确保只有经过授权的用户才能接入网络。
常见的身份认证方式包括用户名密码、数字证书、双因素认证等。
2. 合规性检查:NAC方法可以检查用户设备的合规性,包括操作系统补丁、防病毒软件、防火墙等安全配置是否符合要求。
如果设备不符合要求,可以限制其网络访问权限或提醒用户进行修复。
3. 访问控制:NAC方法可以根据用户身份和设备合规性,对其进行访问控制。
可以根据用户的角色和权限,限制其对特定网络资源的访问。
同时,NAC还可以监控用户的网络行为,及时发现异常活动并采取相应措施。
NAC方法具有以下优势:1. 提高网络安全性:NAC方法可以有效防止未经授权的用户和设备接入网络,减少网络攻击的风险。
它可以识别并隔离潜在的威胁,保护网络资源的安全。
2. 简化网络管理:NAC方法可以集中管理用户和设备的访问控制策略,提供统一的管理界面。
管理员可以根据实际需求,灵活配置访问控制策略,简化网络管理操作。
3. 提升用户体验:NAC方法可以根据用户的角色和权限,自动为其分配网络资源。
合法用户可以快速接入网络,享受良好的网络体验,提高工作效率。
NAC方法在各种场景下都有广泛的应用,特别是对于对网络安全要求较高的企业和组织。
网络准入控制V10
网络准入控制(NAC)目录1.网络准入概述 (1)2.准入方式 (1)2.1. 802.1x准入控制 (2)2.1.1. 802.1X的工作过程 (2)2.2. CISCO EOU准入控制 (3)2.3. DHCP准入控制 (3)2.4. ARP准入控制 (4)2.5. 网关型准入控制 (4)2.6. H3C Portal准入控制 (4)2.6.1. Portal系统组成 (4)2.6.2. Portal原理 (5)3.准入技术的比较 (5)1.网络准入概述网络准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。
借助NAC,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。
NAC系统组件:终端安全检查软件;网络接入设备(接入交换机和无线访问点);策略/AAA服务器。
NAC系统基本工作原理:当终端接入网络时,首先由终端设备和网络接入设备(如:交换机、无线AP、VPN等)进行交互通讯。
然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。
当终端及使用者符合策略/AAA服务器上定义的策略后,策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。
通过网络准入一般可以实现以下功能:◆用户身份认证从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全。
◆终端完整性检查通过身份认证的用户还必须通过终端完整性检查,查看连入系统的补丁、防病毒等功能是否已及时升级,是否具有潜在安全隐患。
◆终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。
◆非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。
2.准入方式目前常用的准入控制:➢802.1x准入控制➢CISCO EOU准入控制➢DHCP准入控制➢ARP准入控制➢网关型准入控制➢H3C Portal准入控制2.1.802.1x准入控制802.1x准入控制:802.1x协议是基于Client/Server的访问控制和认证协议。
网络准入控制背景
北京艾科网信科技有限公司
创新更安全
艾科网信
各厂商市场分布率 项 目 规 模
大
华为
H3C
北京艾科
CISCO
深圳联软
杭州盈高
小 少
画方
客户数量和行业分布
多
北京艾科网信科技有限公司
创新更安全
优缺点 技术综合 性能优越 终端安全功能强 终端安全功能强 与交换机兼容好 无线控制功能强 网关型设备要求高 影响网速 802.1x支持较好 要求交换机支持802.1x 新厂商、案例少
创新更安全
艾科网信
ACK支持多种准入技术同时 使用,有效的避免单一准入 技术的盲区,是业界兼容性 最好、整合实用功能最多的 准入产品。
艾科网信
网络准入控制背景
北京艾科网信科技有限公司
创新更安全
艾科网信
思考: 什么是网络准入控制?
北京艾科网信科技有限公司
创新更安全
艾科网信
网络安全现状
被动防御 功能单一
• 防火墙、防毒墙、IPS、垃圾邮件 • 杀毒、防毒等
创新更安全
艾科网信
网络准入控制的诞生
网络准入控制是实名制ID网络准入控制 (NAC)的简称。是指对网络的边界进行 保护,对接入网络的终端和终端的使用 人进行合规性检查。
2004年,思 科的NAC进 入市场;许 多厂商跟进, 如NAP, A10等等
2002年,思 科提出NAC 的概念
北京艾科网信科技有限公司
防火墙、IPS、防毒墙 反垃圾邮件、网络行为审计 负载均衡、带宽流量管理 UTM、VPN 围堵策略,头痛医头,脚痛医脚
根据CSI/FBI等权威机构公布的数据,超过 80%的安全事件都发生在内网环境中; 蠕虫、木马、ARP病毒、DoS攻击层出不 尽;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 网络准入控制(NAC)的需求与挑战
思科网络准入控制(NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。
但是,识别用户的身份仅仅是问题的一部分。
尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。
利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。
在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。
可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
IBNS 的作用是验证用户的身份,而NAC 的作用是检查设备的“状态”。
交换平台上的NAC 可以与思科信任代理(CTA) 共同构成一个系统。
思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。
应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。
思科和NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。
思科正在与McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。
NAC的主要优点包括:
1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;
2. 多厂商解决方案——NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro;
3. 现有技术和标准的扩展——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议(EAP) 、802.1X和RADIUS服务;
4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。
2. 网络准入控制(NAC)技术介绍
a. NAC系统组件
如下图所示,NAC系统共包括四个组件:
NAC系统组件
网络准入控制主要组件:
端点安全软件(Cisco Security Agent/防病毒软件)
Cisco Trust Agent
网络接入设备(接入交换机和无线访问点)
策略/AAA服务器
防病毒服务器
管理系统
端点安全软件——包括AntiVirus防病毒软件,个人防火墙软件或Cisco Security Agent-思科安全代理,这些软件负责端点安全,并与Cisco Trust Agent (思科信任代理)通讯,共同决定对终端的信任关系。
Cisco Trust Agent——Cisco Trust Agent 负责收集多个安全软件客户端的安全状态信息,例如Anti-Virus 和Cisco Security Agent软件客户端,然后将信息传送到思科网络,在那里实施准入控制决策。
对于未运行防病毒软件,或者没有适当版本的主机,按照预定策略,可以限制它对网络的接入范围,也可以其拒绝接入网络。
网络接入设备——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。
这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。
网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
策略服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。
Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器,它构成了策略服务器系统的基础。
它可以与NAC合作商的应用服务器配合使用,提供更强的委托审核功能,例如防病毒策略服务器。
防病毒服务器——防病毒服务器对防病毒软件客户端发送的状态报告进行检查,并将检查的结果返回策略服务器,对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。
管理服务器——思科管理解决方案将提供相应的思科NAC组件,以及监控和报告操作工具。
CiscoWorks VPN/安全管理解决方案(CiscoWorks VMS) 和CiscoWorks安全信息管理器解决方案(CiscoWorks SIMS) 形成了此功能的基础。
思科的NAC合作商将为其端点安全软件提供管理解决方案。
NAC通过了两项最严格的兼容性测试:防病毒软件状况和操作系统信息。
它不但包括防病毒厂商的软件版本、机器等级和签名文件等级,还包括操作系统类型、补丁和热修复。
以后还将继续扩大安全保护范
围以及工作地点应用检查的范围。
b. NAC系统基本工作原理
上图是NAC的示意图,当运行NAC时,首先由网络接入设备发出消息,从主机请求委托书。
然后,AAA服务器Cisco Trust Agent (CTA) 与主机上的Cisco Trust Agent (CTA) 建立安全的EAP对话。
此时,CTA对AAA服务器执行检查。
委托书可以通过主机应用、CTA或网络设备传递,由思科ACS接收后进行认证和授权。
某些情况下,ACS可以作为防病毒策略服务器的代理,直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。
委托书通过审查后,ACS将为网络设备选择相应的实施策略。
例如,ACS可以向路由器发送准入控制表,对此主机实施特殊策略。
对于非响应性设备,可以对主动运行CTA(网络或ACS)的设备实施默认策略。
在以后的各阶段,还将通过扫描或其它机制对主机系统执行进一步检查,以便收集其他端点安全信息。
3. 网络准入控制(NAC)部署方案
要部署NAC方案,需要安装上面提到的所有NAC系统组件,这包括由思科提供的产品以及思科的合作伙伴提供的产品。
思科提供的产品包括
执行准入控制的网络设备――包括路由器、交换机、无线接入点和安全设备。
各种功能通过软件增强集成到新老平台中。
Cisco Secure ACS――AAA RADIUS服务器,是用于确定接入权限的策略决策点。
为支持NAC,正在增强ACS功能。
Cisco Trust Agent――主机代理,由思科开发,将通过多种方式分发:作为独立代理直接从思科或NAC 合作商分发,与Cisco Security Agent一起分发,或者嵌入到NAC防病毒厂商的更新软件中。
Cisco Security Agent ――可以在主机上使用,同时为防止蠕虫和病毒提供零天保护,并为NAC提供操作系统补丁和热修复信息。
CiscoWorks VMS可用于在路由器上批量配置NAC设置。
防病毒厂商将为主机和AV策略服务器提供系统的防病毒组件,目前加入NAC计划的防病毒厂商包括:IBM、趋势科技、McAfee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。
为了部署NAC,我们一般需要建议以下的具体步骤:
升级网络设备上的的IOS
升级主机上的防病毒软件
安装主机上的Cisco Trust Agent (可以包含在防病毒软件升级过程中)
安装Cisco Secure ACS 服务器(在实施基于802.1x的IBNS时已经部署)
安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS
另外,还需要考虑以下操作问题:
确定管理权限模式,妥善管理系统,并相应调整管理组件
确定和实施网络准入控制策略
确定可扩展性和性能要求,保证系统可以应付高峰状况(尤其是ACS等策略决策基础设施)
确定和实施隔离和修复环境
思科网络准人控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如Pc 、服务器、PDA )接入网络,而不允许其它设备接人。
在初始阶段,当端点设备进入网络时,NAC 能够帮助思科路由器实施访问权限。
此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。