四种独立硬件：路由器、防火墙、IPS、ACG 标准串行部署顺序

通用标准串联（互联网出口最主流，推荐）

逐台作用与摆放逻辑拆解

1. 最外侧第一台：出口路由器 Route

   对接运营商线路，做公网拨号、静态路由 / BGP、多线负载、NAT 地址池、线路故障切换；

   只处理三层转发，不做深度安全检测，放在最外层隔离运营商。
2. 第二台：防火墙 FW（边界基础安全）

   域间安全策略、内外网隔离、基础源 / 目的 NAT、VPN、区域访问控制；

   所有进出流量先过基础访问放行，过滤大量非法连接，减轻后端 IPS/ACG 压力。
3. 第三台：IPS 入侵防御系统

   深度包检测 DPI，攻击特征库、漏洞防护、病毒、渗透攻击、蠕虫拦截；

   流量已经被防火墙放行，再做深度安全查杀，避免攻击流量直达内网。
4. 最靠近内网：ACG 上网行为管理

   应用识别、带宽 QoS、视频 / 下载限流、网页审计、员工上网管控、URL 过滤、日志审计；

   放在最内侧，只对合法进入内网的业务流量做行为管控，不浪费性能处理外网攻击流量。

补充两种特殊变体场景

场景 1：专线 / 政企固定公网 IP（无多线负载需求）

场景 2：需要流量镜像、旁路审计（不改变串行主线）

为什么不能调换顺序（常见错误说明）

1. IPS/ACG 放防火墙外侧：外网海量攻击流量直接打满 IPS、ACG 性能，容易死机、卡顿；
2. ACG 放 IPS 前面：未查杀的攻击流量先经过行为管理，挤占带宽，审计日志混杂攻击包；
3. 路由器放内侧：多线负载、线路切换、公网 NAT 无法实现，边界路由逻辑混乱。

极简记忆顺序