1）根据客户前期需求沟通和深信服零信任设备特性，零信任控制中心 aTrust-SDPC 和代理网关 aTrust-Proxy 旁挂部署在核心交换机上，减少对网络架构的改动。

2）部署零信任设备建议分配管理网和业务网两个网段地址，管理网做设备运维和联动， 业务网做用户认证和业务代理访问。

3）部署前需在核心交换机配置零信任网关 IP 地址，零信任设备配置设备 IP 地址和默认路由，出口防火墙需准备公网 IP 地址做地址映射。

4） 互联网出口防火墙需映射控制中心 aTrust-SDPC 设备的 443 端口（可更改）给用户做认证、鉴权、策略管理和处置结果下发。映射代理网关 aTrust-Proxy 设备 443 和 441 端口，其中 443 端口做 B/S 应用对外访问端口（可更改），441 做 C/S 应用功能对外访问端口。代理网关负责执行控制器下发的策略，代理访问各种资源，同时收集访问请求的原始数据反馈给控制中心。

5）内网的业务系统，需保证代理网关能正常访问。