2.6　部署模式

虽然所有SDP实施方案都具有相同的工作过程，但是不同的应用场景在实现方式上存在差异。几种主要的部署模式如下。

1. 客户端—网关模式

在客户端—网关模式下，AH充当客户端与受保护服务器之间的网关。可以在企业网络中应用该模式，以弱化常见的横向移动攻击，如操作系统和应用程序漏洞攻击、中间人攻击、传递散列攻击等；也可以在互联网中应用该模式，将受保护服务器与未授权用户隔离，以弱化拒绝服务（DoS）攻击、数据库注入（SQL Injection）攻击、操作系统和应用程序漏洞攻击、中间人攻击、跨站脚本（XSS）攻击、跨站请求伪造（CSRF）攻击等。

2. 客户端—服务器模式

客户端—服务器模式的功能和优势与客户端—网关模式类似。但在该模式下，AH运行在受保护服务器上，而不是运行在位于服务器前面的网关上。通常基于受保护服务器的数量、负载均衡方法、服务器的弹性等因素在客户端—服务器模式与客户端—网关模式之间进行选择。

3. 服务器—服务器模式

在服务器—服务器模式下，可以保护提供表述性状态传递（Representational State Transfer，REST）、简单对象访问协议（Simple Object Access Protocol，SOAP）、远程过程调用（Remote Procedure Call，RPC）服务器或应用程序编程接口（Application Programming Interface，API）服务器，使其免受网络上所有未授权主机的攻击。例如，对于REST服务来说，启动REST服务的服务器为IH，提供REST服务的服务器为AH。部署SDP可以显著减小负载并弱化攻击。

4. 客户端—服务器—客户端模式

客户端—服务器—客户端模式可以用于IP电话、聊天和视频会议等应用程序。在这些情况下，SDP会混淆连接客户端的IP地址。如果用户也希望隐藏应用服务器，那么用户也可以进行客户端到客户端的配置。

除了上述部署模式，还有客户端—网关—客户端模式及网关—网关模式。将在第4章中详细介绍。