八楼说得很对，“达到要求，设备最小负载”。

所以，大家在担心访问服务器数据经过AC，降低AC性能的同时，也要考虑，内网上网数据，经过了AF，同样是增加了AF的负载。而用户上网流量，不见得比内网访问服务器流量小，这样对比，内网上网数据消耗掉AF的性能，要比内网访问服务器消耗AC的性能，要高。（如果说，内网访问服务器的流量，远比内网上网流量要大，那另说）

除此之外，让上网数据经过AC、AF，在日常使用中，设置策略、用户认证等，要经过两个设备，如果出问题要排查时，同样要排查2个设备，也是一个麻烦事。而访问服务器经过AC的lan-dmz过滤规则，其实挺简单的，没有太多策略可以设置，排查简单，三层转发影响性能也较少。

AF放在AC的DMZ口，网桥部署，在服务器之前，对AF而言，就一前一后的两个区域，和AF网关部署对比，网关部署要定义3个接口或区域，逻辑不是更简单么？AF要起到保护服务器的作用，对于内网用户来访问，本身就应该把内网用户，也看作外网过来访问那样设置，所以，AF网桥部署，一前一后两个区域，简单而清晰，不用管你将来是内网还是外网用户过来访问的，策略和规则是一致的。

围观学习

建议第一种。
原因：
第二种部署图，到服务器流量会经过AC，而AC本身对流量比较敏感的，这样部署，无疑增加了AC的压力，不建议这么做。
如果这个地方是个防火墙，可以的  

相比而言，第一张拓扑图的防护比较合理一点，针对内网和外网的防护都有了

相对而言，上面那个比下面那个部署要好一些

楼主只要抓住客户需求的重点，就简单多了。    达到要求，设备最小负载。

第一个方案比较靠谱，分区比较清晰。

针对服务器的审计，AC没必要管，在AF上为服务器专门划分一个区域这个才是合理的，AF放在出口是最合理的，第一个图吧，第一个图比第二个好。

AC功能重点是上网行为管理，AF功能重点是服务器防护。所以，
AC做网关，LAN接内网交换机，DMZ口接AF的wan，然后AF的lan接服务器区。

1、内网用户走交换机，AC，就出外网了，满足上网行为管理的需求。
2、内网用户走AC的LAN，然后DMZ出来，经过AF，到服务器，这样即使内网用户访问服务器，也是可以防护的。现实中，内网用户中木马或被控制，扫描或者渗透内网服务器的例子不在少数，这样可以发挥AF的最大价值。
3、关于性能，内网用户访问服务器，经过AC的lan和dmz，只是简单的三层转发，损耗性能很少的。

图3不足地方在于，上网数据其实没必要经过AF，一是AF起不了太多作用，二是损耗AF更多性能（AF偏检测防护，会耗费较多性能）。
图4不足地方在于，如果将来服务器对外开放了，又不幸被黑，内网就基本不设防了，放在AC的DMZ，起码AC还可以在LAN->DMZ设个单向访问规则，而放通DMZ<->WAN，这也是DMZ区放服务器区的惯常做法。

您好 这个得看需求，比如：如果要针对服务器做防护，那就使用第一种拓扑（客户端pc访问服务器的数据需要经过af设备）；如果只是保证内网pc正常上网并且可以访问服务器，那么就使用第二种拓扑，这样访问服务器的数据就少一次转发，直接在内网之间就可以完成交互
谢谢