根据客户前期需求沟通和深信服零信任设备特性，零信任控制中心 aTrust-SDPC 和代理网关 aTrust-Proxy 旁挂部署在核心交换机上。

部署零信任设备时建议分配管理网和业务网两个网段地址，管理网做设备运维和联动，业务网做用户认证和业务代理访问。

部署前需在核心交换机配置零信任网关 IP 地址，零信任设备配置设备 IP 地址和默认路由，出口防火前需准备公网 IP 地址做地址映射。

互联网出口防火墙需映射控制中心 aTrust-SDPC 设备的 443 端口（可更改）给用户做认证、鉴权、策略管理和处置结果下发。映射代理网关 aTrust-Proxy 设备 443 和 441 端口，其中 443 端口做 B/S 应用对外访问端口，可更改，441 做 C/S 应用功能对外访问端口。代理网关负责执行控制器下发的策略，代理访问各种资源，同时收集访问请求的原始数据反馈给控制中心。

内网的业务系统，需保证只允许代理网关地址访问，其它地址无法访问，保证所有用户访问业务系统时，必须经过我们的零信任设备才可代理访问。