2.5　访问控制

作为新兴架构，SDP加强了访问控制管理，并为实施用户访问管理、网络访问管理和系统验证控制等设定了标准。SDP可以通过阻止来自未授权用户和设备的网络层访问来实施访问控制。SDP部署了Deny-All防火墙，可以控制网络数据包在IH和AH之间的流动。SDP使企业能够定义和控制自己的访问策略，决定哪些个体能够从哪些被批准的设备访问哪些网络服务。

SDP不尝试替代已有的身份和访问管理方案，其对用户的访问控制进行加强。SDP通过将身份验证和授权与其他安全组件集成，显著缩小了攻击面。例如，用户Jane可能没有企业财务管理服务器的登录密码，但该服务器只要在网络上对Jane的设备可见，就存在风险。如果Jane所在的企业部署了SDP架构，则财务管理服务器对Jane的设备隐藏，即使攻击者入侵Jane的设备，SDP也能阻止其从该设备连接到财务管理服务器。如果Jane有财务管理服务器的登录密码，在她的设备上安装SDP客户端也可以提供保护，攻击者会被多因子身份验证和强身份验证拒之门外。