深信服零信任访问控制系统aTrust整体由控制中心、安全代理网关、客户端组成，其中控制中心与安全网关部署在服务端，客户端部署在终端设备上。

在服务端侧，控制中心是整个访问控制系统的大脑，在访问者与资源之间建立动态、细粒度的访问规则，并将访问规则下发给安全代理网关，安全代理网关依据规则对用户流量进行代理转发，控制中心建立的规则仅对被授权用户开放，极大缩小攻击暴露面。同时，控制中心提供的访问规则并非一成不变，会根据用户的访问行为、环境及业务系统本身的特性综合判断，通过对访问规则进行动态调整，防止对业务服务器的威胁。另外，aTrust提供开放API接口与其他安全组件进行联动，通过对安全组件上报信息进行统一处理，实现全方位立体的安全防护体系。

在终端设备侧，aTrust可实现终端安全风险上报及网络数据引流，客户端周期性检测终端环境并上报数据给控制中心，控制中心根据上报结果实时调整访问策略，规避终端出现安全问题时带来的业务风险。同时，客户端可将指定网络流量打上身份标签、访问进程信息到安全代理网关上进行处理，安全代理网关根据访问策略判断是否对流量进行代理。