没有哪个网络是无懈可击的：恶意软件不断潜入，无论是通过移动员工、访客或者承包商的笔记本电脑，还是通过下载可疑内容的最终用户。网关处或者桌面电脑上的反病毒软件有助于你控制计算机，但访客和没有得到管理的服务器仍然问题重重。咱们还是实话实说吧：有时候，攻击者就是比我们聪明。可不，连遵循最佳实践的公司同样遭到袭击。

    我们所指的不仅仅需要安全方面的最佳实践。保护网络远离恶意主机最终是一项桌面管理功能。NAC的作用就是强制实施你的安全策略，提供一种执行机制，有助于确保计算机配置合理。如果IT人员权衡了众多因素，比如用户是否登录、他所用计算机的补丁级别；反恶意软件或者桌面防火墙软件是否安装、运行、版本最新，就能确定要不要根据情况来限制对网络资源的访问。如果某主机没有符合你定义的策略，就被引导到补救服务器，或者放到访客虚拟局域网（VLAN）上。

    还记得Slammer病毒吗？假若企业采取如下策略——一旦发现运行MSDE 2000的主机未打上补丁，就拒绝其访问网络，那么Slammer病毒带来的可怕后果就会小得多。

    虽然NAC大有希望，但它并非灵丹妙药。解决Slammer病毒的方案是要么给易受攻击的系统及时打上补丁，要么从网络上移除访问MSDE的权限。但如果你的NAC系统没有检查MSDE等应用系统及其补丁级别，就无法阻止易受攻击的节点访问网络。

    总体架构

　　所有NAC产品都有三个基本部分：访问请求者（AR）、策略决策点（PDP）和策略执行点（PEP）。请参阅下面的“总体NAC框架”图。厂商们对这些部分使用各自的名称，但我们使用可信计算组织（Trusted Computing Group）下属可信网络连接（Trusted Network Connect）工作组定义的术语，因为它们相当清楚。

框架总结