换句话来说，在SDP架构面前，每一个访问者都是不可信的，只有在验证后才会给予访问者访问相应服务器的“钥匙”。如果我们把服务器比作“门”，那么，对于访问者来说，如果没有钥匙，便找不到对应的门;即使拿着钥匙，也只能打开钥匙所对应的门。SDP将服务与不安全的网络隔离开，有效改善了企业面临的诸如容易被黑客通过钓鱼软件或木马入侵企业、移动办公等新型网络访问模式带来的安全风险、传统数据逐渐转移上云的过程中面临的威胁等等，协助企业实现安全过渡，使企业无惧在全面开展数字化建设的当下所面临的诸多挑战。

 

SDP的架构

 

在SDP中，传统的企业边界被打破，防火墙不再是企业唯一的边界，内网也通过逻辑进行划分;同样，公有云和私有云之间也需要建立新的边界。SDP适应软件定义网络架构，为云而生，尤其适应混合组网环境，与SD-WAN(软件定义广域网)结合，为企业组网赋予更深一层的安全防护能力。基于自研SD-WAN云网络服务平台，整合SDP控制器与SDP主机的能力，结合SD-WAN虚拟云网关、中心节点与多终端客户端的网络组建与控制能力，将SDP控制器的能力与中心云网关结合，云网关提供基于零信任模型的应用保护，根据用户进行具体的授权。同时，SDP客户端适应多终端操作系统，可以在不同终端上统一展示用户被授权访问的全部应用。

 

SDP的架构体系包括：

 

SDP客户端：做为C/S型客户端应用、B/S型Web应用提供统一的应用访问入口，支持应用级别的访问控制，支持跨内核控件调用、插件的安全管控，实现简约、快速和安全的一体化。

安全网关：作为用户授权访问内部应用的入口，安全网关将外网用户和内网资源隔离，过滤非法的访问。

SDP域控制器与策略服务器：提供网关设备的注册，隐藏网关地址，避开恶意威胁源的扫描与非法行为。

认证服务器：实现用户身份预验证、预授权，对接企业内部第三方认证系统，客户端的请求先经过认证服务器，得到认证授权再将结果返回给SDP域控制器。

SDP与组网结合的解决方案

 

在SDP的应用场景中，最常见的情况就是一个企业有一个总部和一个或多个地理上分散的分支机构，企业拥有的物理网络(内网)无法把这些机构连接在一起。外部地区的员工在执行工作任务时需要访问企业资源，可能是远程办公场景，或在企业外其他地区使用企业所有或个人拥有的设备进行访问。由于SDP的架构天然适应SD-WAN的网络架构，因此，依托自身的技术优势，将SDP与SD-WAN组网结合的解决方案，为更多的企业提供零信任安全的网络架构，受到越来越多客户的青睐。