Takie urządzenia 'post-admission NAC' umieszczane są pomiędzy przełącznikami dostępowymi a przełącznikami dystrybuującymi i spełniają funkcje zarówno internetowej zapory ogniowej jak i systemu zapobiegania włamaniom.

Urządzenia te mogą określać, czy punkt końcowy próbuje dostać się do zasobów, do których nie ma uprawnień i wtedy zablokować im dostęp. Chroni to sieć przed robakami i wirusami, które mogą uszkodzić sieć, jak również przed osobami próbującymi uzyskać nie autoryzowany dostęp do zasobów. Klasyczne rozwiązania - 'pre-addmission NAC' - rozpoznają stan bezpieczeństwa urządzenie końcowego, w kontekście spełniania wymogów korporacyjnej polityki bezpieczeństwa, i używają tej informacji do określenie, czy może ono uzyskać dostęp do sieci. Cześć użytkowników preferuje urządzenie post-admission NAC z dwóch zasadniczych powodów.

Po pierwsze, nie wymagają one oprogramowania po stronie urządzenia końcowego, co zwalnia użytkownika z konieczności instalowania i utrzymywania dodatkowych zasobów programowych. Oprogramowanie 'pre-addmission NAC' ma swoją wartość - wykonuje ono bardziej gruntowną kontrolę urządzenia końcowego sprawdzając, czy jego skonfigurowanie spełnia wymogi polityki bezpieczeństwa. Jednak dla wielu środowisk te dodatkowe zabezpieczenia nie są konieczne i warte dodatkowych kosztów.

Na przykład, jeżeli oprogramowanie antywirusowe nie zostanie uaktualnione, to urządzenie końcowe może zostać zainfekowane. Przeważnie jednak ryzyko takiej infekcji nie jest aż tak duże, aby zablokować użytkownikowi dostęp do sieci.

Po drugie, post-admission NAC działa jako siatka ochronna, niezależna od wykonania w ramach organizacji procedur uaktualniania i łatania oprogramowania. Takie procedury mogą nie zapewniać pełnego bezpieczeństwa. W opinii wielu użytkowników post-admission NAC może przechwytywać bardziej poważne zagrożenia bezpieczeństwa, niż pre-admission NAC.