如今无线网络接入、移动便携设备以及基于VPN的远程接入在传统企业内网中得到了广泛的应用,原本仅限于内网中使用的,受各类内网安全设备保护的主机有了更多暴露在外部无防护的网络中的机会,这使得攻击者可以通过感染远程接入或移动办公中主机作为跳板,进一步入侵整个企业内网。网络准入控制技术通过评估所有接入企业内网的主机的安全防护状态,确保只有防护措施较为完善的——即被攻击者感染、操纵的可能性较低的主机才能访问整个企业内网,限制防护措施不完善的主机对网络的访问能力,从而降低了潜在的安全风险,尤其对于存在VPN互联应用的分布式企业网络,能够鉴别使用VPN通过Internet远程接入的主机的潜在风险,从而保护整个企业内部网络。本文针对VPN互联的网络环境,研究设计了三层结构的状态评估协议,分别是状态属性层,状态信息汇聚层和状态信息传输层,为其设计了对应的网络准入控制体系框架,实现了这样一种评估流程:客户端各个状态属性层收集各项主机信息,利用汇聚层组装信息,通过状态信息传输层提交给评估服务器,评估服务器分解汇聚信息,并根据得到的各项信息进行评判,从而决定授予主机的访问权限。本文在该系统的基础上针对一般VPN互联的网络环境,对于网络中的主机,通过动态VLAN划分的方式隔离不合格的主机;对于VPN接入的主机,通过动态配置VPN接入服务器的访问控制策略,隔离不合格的VPN接入主机。通过协议与系统设计的研究,本文总结了准入控制评估协议设计要点,针对评估过程中各个对象信任关系模型和用户隐私保护两方面需要注意的内容提出了一些建议。通过搭建一个简单的VPN互联的网络环境,本文验证了所设计的准入控制系统的主机评估与隔离功能。对于内网主机和VPN接入的远程主机,系统都能完成准入控制评估过程,并采取对应的措施,限制不合格主机的访问。