网络准入控制是自防御网络的第一步：

    网络准入控制是网络通过认证确定即将接入网络的计算机是否存在已知的安全问题(如病毒、木马程序等)，只有确定访问者是可信任的，才允许计算设备接入网络。

    其核心思想是，控制访问权限，有效阻止不符合安全条件的设备及访问进入网络，并将其置于某个隔离区域之外，或者仅获得对部分资源的有限访问权限。

    网络准入控制是一个分布式控制、集中安全策略的安全架构。由接入设备（如接入路由器、交换机、无线AP）完成分布式控制工作，允许通过认证的计算机进入网络。没有通过认证的计算机将不能进入网络。

    集中的安全策略依赖“思科策略服务器”和“反病毒策略服务器”组成，前者将生成安全策略，后者则用来完成反病毒策略评估，确定进入的计算机是否安全。PC安全软件包括：客户端反病毒软件、思科信任代理和思科安全代理软件。

    PC的反病毒软件（与思科合作的防毒软件厂商）将集成思科的信任代理。在计算机接入到部署思科方案的网络中时，思科信任代理将与思科策略服务器和反病毒厂商的策略服务器进行通信，交互信息，验证计算机上的反病毒软件是否存在，是否升级到了最新版本等。只有策略服务器认为PC可以信任才会被允许接入网络。

    思科的安全代理软件能够对计算机的日常操作进行监控，一旦计算机出现异常的行动（如某类流量突然增长）就会提供报警。这一软件可以对计算机提供主动性的防御，在新病毒出现而病毒厂商尚未提供病毒代码或操作系统相应的补丁程序没有发布之前，能够对各种非法操作提供警告。