本申请提供了一种访问控制方法及装置，涉及网络安全技术领域。该方法中，接收认证请求，所述认证请求包括访问用户的用户信息；将所述认证请求发送给认证服务器；接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的；若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。由此，解决了用户上线后网络访问的频繁策略配置的问题。