深信服行为管理设备的几种部署模式

部署模式	路由模式	网桥模式	旁路模式	单臂模式
功能支持	支持设备所有功能，如防火墙、NAT、路由、流量管理、上网行为管理、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能、VPN、DHCP 等	可实现大部分功能，不支持 NAT、VPN、DHCP、端口映射等部分网络层功能	主要用于上网行为审计和基于 TCP 应用的控制，不支持流量管理、准入系统、NAT、VPN、DHCP 等功能，对 UDP 协议的应用控制有限	能实现大部分功能，可实现权限控制和审计功能，支持上网代理功能
数据流向	所有经过设备的流量都要经过其路由转发，根据路由表进行数据转发	流量直接通过网桥转发，设备对流量进行监控和过滤，数据在二层网络中传输	设备通过镜像口获取内网用户的上网数据，对镜像数据进行分析和处理，不直接处理实际流量	内部 PC 通过代理服务器（设备）访问互联网，上网数据经过设备，设备对数据进行控制和审计
设备故障影响	设备故障可能导致网络中断，因为它是网络中的关键路由设备，如果没有备用设备或冗余链路，会影响网络通信	如果设备故障，可开启硬件 bypass 功能，恢复网络通信，不影响正常网络使用，前提是硬件 bypass 功能正常工作5	设备故障或重启不影响内网正常通信，因为它不直接参与数据转发，只是监控流量	设备故障时，内部 PC 若未配置其他代理服务器或直接访问互联网的方式，将无法访问外网，但不影响内部网络通信
适用场景	需要使用设备的 NAT、VPN、DHCP 等功能时；网络出口需要一个网关设备，替换原有防火墙、路由器等网关设备时；对网络进行重新规划和建设，需要设备充当路由功能时	不方便更改原有网络拓扑结构，希望在不影响现有网络配置的情况下，平滑接入设备实现上网行为管理和控制功能时；客户内网有 VRRP 或 HSRP 等冗余备份环境时	主要用于对网络行为进行审计，对网络控制功能要求不高，且希望不影响现有网络架构和稳定性的场景；对网络可用性要求极高，不允许设备故障影响网络通信的场景	适用于希望通过代理服务器实现上网控制和审计功能，且不希望改变网络拓扑结构的场景；当网络中已有路由器、防火墙等设备，只需增加代理上网和行为管理功能时