需对客户网络环境做改造，主要改造如下：

1. 互联网出口防火墙需映射控制中心 aTrust-SDPC 设备的 443 端口（可更改）给用户做认证、鉴权、策略管理和处置结果下发。映射代理网关 aTrust-Proxy 设备 443 和 441 端口，其中 443 端口做 B/S 应用对外访问端口，可更改，441 做 C/S 应用功能对外访问端口。代理网关负责执行控制器下发的策略，代理访问各种资源，同时收集访问请求的原始数据反馈给控制中心。

2. 用户在内网访问业务时，只允许访问控制中心和代理网关地址，其它地址无法访问。保证所有用户访问业务系统时，必须经过我们的零信任设备才可代理访问。

3. 用户准备一个域名，用于用户接入aTrust，该域名在公网解析至控制中心公网地址，在内网解析至控制中心内网地址，保障用户在内外网环境下，访问的一致性。

4. aTrust设备对接AD域服务器，且配置辅助认证为TOTP动态令牌认证。将内网业务系统，使用隧道/WEB应用进行发布，同时配置安全策略保障终端安全。