天清入侵防御系统白皮书——部署结构

　　4.1 常规部署模式

　　典型部署位置如下图所示：

常规部署模式

　　A类型的部署：边界防护，放置在防火墙的外面。所有想要进入网络内部的数据都将通过检测引擎，可以将所有的恶意行为阻拦在整个网络之外。

　　B类型的部署：内部防护，放在防火墙设备的后面，对经过防火墙过滤后的数据进行分析，作为第二道大门存在。

　　边界防护部署可以让用户了解网络的最真实状况，什么时间有什么人对企业网络做了什么事情，而不论这些行为是否能进入到网络当中来。同时，大量的报警信息可能会使管理员陷入难以完全分析的境地。内部防护部署则避免了这一现象的产生，更加专注于检测能够通过访问控制设备进入到网络中来的数据信息。

　　4.2 双重链路部署

　　天清支持双重链路的部署方式（C类型的部署），一台检测引擎上可以串接两路防御。在有设备冗余备份的环境中，可以使用一台设备就完成冗余备份的需求。

双重链路部署模式

　　4.3 多层结构部署

　　天清入侵防御系统同时也支持大规模跨地域的管理部署模式，控制中心可以下接防御引擎，也可以挂接子控制中心。

多层结构部署模式

　　总控制中心可以同时管理子控制中心和防御引擎，而子控制中心也可以同时管理自己的下级控制中心和防御引擎。可灵活设置成与行政业务管理流程紧密结合的集中监控、多层管理的分级体系。通过策略下发机制，使上级部门能够统一全网的安全防护策略；通过信息上传机制，使上级部门能够及时了解和监控全网的安全状态。