一般單一 NIC DMZ 部署

最簡單的 Unified Access Gateway 部署是使用單一 NIC (eth0)，其中的所有網路流量會結合在單一網路上。來自網際網路對向防火牆的流量會導向至其中一個可用的 Unified Access Gateway 應用裝置。然後 Unified Access Gateway 會經由內部防火牆將授權流量轉送至內部網路上的資源。Unified Access Gateway 會捨棄未經授權的流量。

從後端和管理流量區隔未經驗證的使用者流量

單一 NIC 部署 (eth0) 的替代選項為指定兩個 NIC。第一個仍會用於網際網路對向的未經驗證存取，但會將後端驗證流量和管理流量區隔至不同的網路 (eth1) 上。

在兩個 NIC 部署中，Unified Access Gateway 必須授權流量透過內部防火牆進入內部網路。未經授權的流量不會在此後端網路上。管理流量 (例如 Unified Access Gateway 的 REST API) 只會在此第二個網路上

如果在未經驗證的前端網路上的裝置 (例如負載平衡器) 遭到破解，則在這兩個 NIC 部署中便無法重新設定裝置略過 Unified Access Gateway。它會結合第 4 層防火牆規則與第 7 層 Unified Access Gateway 安全性。相同地，如果網際網路對向防火牆設定錯誤而允許通過 TCP 連接埠 9443，則這仍不會將 Unified Access Gateway 管理 REST API 向網際網路使用者公開。深度防禦原則會使用多層級防護，例如知道單一組態錯誤或系統攻擊不一定會產生整體的弱點

在兩個 NIC 部署中，您可以在 DMZ 內的後端網路上放置額外的基礎結構系統 (如 DNS 伺服器、RSA SecurID 驗證管理員伺服器)，以便讓這些伺服器無法顯示在網際網路對向網路上。在 DMZ 內放置基礎結構系統可防禦來自遭破解前端系統之網際網路對向 LAN 的第 2 層攻擊，並可有效減少整體攻擊面。

多數 Unified Access Gateway 網路流量為 Blast 和 PCoIP 的顯示通訊協定。利用單一 NIC，往返於網際網路的顯示通訊協定流量會與往返於後端系統的流量結合。使用兩個以上的 NIC 時，流量會遍及前端和後端 NIC 與網路。這可減少單一 NIC 的潛在瓶頸，並產生效能優勢。

Unified Access Gateway 也支援進一步的區隔，即允許將管理流量區隔至特定的管理 LAN。如此一來，通往連接埠 9443 的 HTTPS 管理流量僅能夠從管理 LAN 進行傳輸。