Anti-DDoS设备部署模式（直路部署、旁路静态、旁路动态）

Anti-DDoS设备部署模式（直路部署、旁路静态、旁路动态）
Anti-DDoS方案主要支持直路部署、旁路静态引流和旁路动态引流部署三种模式，如下图。

直路部署
直路部署组网简单，不需要额外增加接口，由于所有流量都将经过DDoS防护设备，在个别攻击防护上要优于旁路部署。但这也是对DDoS防护设备可靠性的考验，因此，方案采取了清洗设备外置Bypass卡或直路双机部署方式，保证清洗设备故障时业务流量能够正常通过，增强链路可靠性。这时，就出现了一个问题：如果用户组网复杂，难以使用直路部署，甚至不希望破坏原有组网的情况下，该怎么办？

旁路静态引流部署
于是，旁路部署应运而生，首先介绍旁路静态引流部署。所谓静态引流，就是将所有去往防护对象的流量都引流到清洗设备进行清洗，不论流量是否存在异常。这样虽然不用部署检测中心，但对清洗设备性能要求较高。如果清洗设备性能不足，有可能会影响客户的正常业务。
于是，又出现一个问题：
在大流量场景下，如果让DDoS防护设备对所有流量进行处理将耗费大量的转发性能，导致安全投资上升，同时仍可能面临影响客户的正常业务风险。问题
如何彻底解决呢？  
   
旁路动态引流部署
所谓动态引流，就是将去往防护对象的流量会先复制一份到检测设备进行检测，如果发现存在异常才会被引流到清洗设备进行清洗。动态引流的优点在于只有异常流量才会被引流清洗，正常流量会被正常转发。
旁路动态引流部署在保证原有组网不被破坏的基础上，实现了上行流量无需经过DDoS防护设备，下行流量按需牵引，使防护性能及可靠性都得到了保障。
不管是哪一种方式，都是存在管理中心。只能旁路在路由器或者三层交换机上，不能旁路在防火墙上。

ATIC管理中心部署
Anti-DDoS方案中，管理中心的Anti-DDoS采集器和管理服务器支持分布式部署和集中式部署两种方式。
集中式部署
Anti-DDoS采集器和管理服务器同时安装在同一台服务器上，适用于Anti-DDoS设备都集中在一个局域网内的场景。
分布式部署
Anti-DDoS采集器和管理服务器分别安装在不同服务器上，多台采集器可以共用一台ATIC管理中心服务器，适用于Anti-DDoS设备分布在广域网各处的场景。
DDoS攻击与华为ANTIDDoS防御功能对比