Po skonfigurowaniu odpowiednich VLAN-ów definiuje się zestawy reguł dla kombinacji stanów klienta narażających jego bezpieczeństwo. Stany te mogą wyzwalać alarmy lub egzekwowanie polityki, a także ignorowanie naruszeń. Takie opcje są wygodne, gdy tworzy się nowe reguły lub brak jest wymogów określających stan systemów, przed wprowadzeniem nowych wymagań dla dostępu sieciowego.

Polityki mogą zawierać wiele reguł zgodności, opartych przede wszystkim na wersji Windows pracującej na kliencie. Dodatkowe parametry obejmują pracę produktów antywirusowych, ich stan, obecność zapory ogniowej na kliencie, biuletyny bezpieczeństwa dla systemów operacyjnych i aplikacji oraz infekcje.

Z chwilą wybrania stanu określa się akcje, które mają być podjęte w wypadku niezgodności. Graficzny interfejs użytkownika, wykorzystujący system kart, ułatwia wykonywanie zmian.

Policy Enforcer poprawnie obsługiwał wszystkie przypisane mu scenariusze testów. Nie umożliwia jednak podejmowania decyzji o dostępie w oparciu o tożsamość użytkownika, a jedynie na podstawie pomyślnego lub niepomyślnego uwierzytelnienia. Nie pozwala także na rozróżnianie pomiędzy uwierzytelnionym gościem a uwierzytelnionym użytkownikiem (pracownikiem). Nie rozróżnia też uwierzytelnionego niezależnego użytkownika i grupy uwierzytelnionych użytkowników.

System jest także ograniczony do określania stanu hosta, tak więc, odmiennie niż brama i rozwiązania bazujące na przełącznikach, nie może wymuszać polityki w oparciu o ruch pojawiający się z systemów, które już mają zagwarantowany dostęp. Ogranicza to zdolność reagowania na ataki dnia zerowego, chociaż McAfee oferuje dodatkowe produkty, które to zapewniają.

McAfee Policy Enforcer wyróżnia się przyjaznym, wizualnym interfejsem do zarządzania stanem hosta podczas dostępu do sieci. Używając standardowych przydziałów VLAN zapewnia dostatecznie szczegółowe definicje reguł. Dużym plusem jest zdolność zbierania informacji o stanie hosta z pomocą klientów antywirusowych innych dostawców.

Symantec Network Access Control

Symantec Network Access Control (SNAC) jest rodziną produktów obejmującą: Symantec Network Access Control 5.1 MR2, Symantec Sygate Enterprise Protection 5.1 MR2 i Symantec Network Access Control 6100 Enforcer Appliance. System używa do wymuszania polityki urządzenia bramowego i urządzenia wykorzystującego DHCP, kontrolowanych przez wspólny system zarządzania polityką (egzekwowania za pośrednictwem DHCP nie testowano).

Wdrożenie obejmuje Symantec Policy Management Console i jedno lub oba urządzenia: LAN Enforcer i Gateway Enforcer oraz opcjonalnie Sygate Protection Agent dla klientów Windows. LAN Enforcer wykorzystuje agenta kolektora stanu do określenia praw dostępu, z przydziałem VLAN na infrastrukturze przełączników jako metodą egzekwowania. Gateway Enforcer implementuje politykę w odniesieniu do ruchu przechodzącego przez nią.

Na potrzeby testu LAN Enforcer został ustawiony jako urządzenie w sieci, podczas gdy ruch pomiędzy przełącznikami brzegowymi a szkieletowymi był kierowany przez Gateway Enforcer.

Polityki są konfigurowane w Symantec Policy Management Console, która komunikuje się z urządzeniami Enforcer. Konsola pozwala tworzyć polityki w bibliotece polityk, z podziałem na polityki zapory ogniowej, polityki integralności hosta i polityki ochrony systemu operacyjnego.

Polityki zapory ogniowej to specyficzne połączenia, które są dopuszczane lub blokowane w oparciu o stan hosta lub inspekcję pakietu. Można np. utworzyć regułę polityki, która określa, że z wyjątkiem stacji roboczych programistów, z wszystkich pozostałych, do serwera webowego intrasieci dopuszczalny jest jedynie ruch na porcie 80.

Polityki integralności chronią system hosta przed atakami, zapewniając, że wymagane aplikacje ochronne są aktualne. Polityki ochrony systemu operacyjnego definiują aplikacje dopuszczane do pracy w systemie.

Nowe polityki można tworzyć, używając interfejsu kreatora w Policy Management Console, kopiując inne polityki i edytując je lub wypełniając szablony polityk od początku.

Reguły są definiowane niezależnie od polityk i są dostępne w edytorze polityk. I tak np. reguła "Dopuść VPN" może być zastosowana lub wyłączona dla dowolnej z polityk i jest widoczna w czasie edycji polityk. Reguły są tworzone, edytowane i usuwane w edytorze polityk.

Utworzone polityki można przydzielić do lokalizacji, gdzie będą zastosowane. W ramach każdej lokalizacji system administruje politykami opierając się na stanie uwierzytelniania użytkownika, stanie integracji hosta i aplikacjach pracujących na hoście.