作为国内微断绝市场的主要开拓者，我们经常被问一个问题，那就是我们的系统上都装了防火墙，为什么还需要微断绝呢？我们通过自动化脚本配置主机防火墙计谋不是也可以做到点到点白名单控制么？

首先，我们必需认可这个看法自己还是有必然的原理的，在对照小对照静态的网络中（小于20台处事器）也根基是可以事情的。但是如果我们讨论的是一个界说为“云”或者“软件界说的数据中心”的中等规模以上的计算系统，那么我们就有一些对象要和您分享一下了。

软件界说的断绝
“微断绝”这个词是一个对照商业化的市场用语，而这个技术事实上还有一个越发学术一点的名字——软件界说的断绝（Software Defined Segementation）。事实上这个名字才越发素质的说出了这个技术的内涵。就像软件界说的网络（SDN）一样，软件界说的断绝的特点就是断绝点（enforcement point）与计谋控制（policy）相疏散，从而让断绝越发灵活，越发智能，进而有可能对由海量事情负载组成的庞大而多变的虚拟化网络进行断绝打点。

在过去，我们主要通过防火墙来做断绝这个工作，在阿谁时候，计谋的打点和断绝的行动都是产生在防火墙设备上的。就算是主机防火墙也是如此，它的计谋也是配置在主机上的。这些计谋一般是在防火墙上线部署的时候配置上去的，然后在整个防火墙的生命周期内根基不做调解。然而，进入到云计算时代之后，如此多分手的独立事情的控制点变得非常难以维护和过于的僵化。进而导致了云的使用者只能在安适与业务之间做一个二选一的选择。要安适，业务就无法快速交付，要业务就无法进行有效的安适打点。这种场所排场呼唤了软件界说断绝这种技术形态的呈现。软件界说断绝与传统防火墙最素质的区别在于它把计谋从每一个分手的控制点上给拿出来了，放在一个统一集中的处所进行设计，打点和维护，原则上，安适打点者不须要了解下面的控制点在哪里，也不必再对每一个控制点进行计谋配置和维护，这些事情都将由计谋打点中心来自动完成。

  而这种计谋打点事情，不是基于预界说脚本的简单的自动化过程，而是一个基于实时网络环境监听的，基于高条理安适计谋的一种实时计谋计算与计谋更新过程。对每一个接入系统的控制点，按照实时产生的特殊事件，同时参考其他控制点的变革情况，做出奇特的，得当的计谋计算，这个过程就是软件界说断绝的核心打点过程。
 
主机防火墙与微断绝的关系
讲清楚了微断绝技术的界说，再来回答用户关于“主机防火墙”与微断绝的关系的问题就对照简单了。简单地说，主机防火墙相当于SDN网络中的白牌交换机，而计谋计算中心相当于SDN控制器。

在微断绝的安适体系中，具体的访谒控制是通过主机防火墙来做的，但是计谋不在主机防火墙上，而是配置在计谋计算中心。这个计算中心从全局收集信息，然后按照预先界说好的高级安适计谋去做具体的计谋计算，然后生成主机防火墙能够看得懂的五元组计谋，并配置回去。

所以，主机防火墙自身无法完成微断绝成果，一个强大的计谋计算中心才是微断绝体系的灵魂。事实上主机防火墙有着悠久的成长历史，无论是iptable还是wfp都是久经考验的好产品，他们在不变性，兼容性，性能上都非常超卓。微断绝以这些老兵士为数据面的控制点事实上也是一种非常稳妥的选择，而微断绝的核心技术应该放在计谋计算能力上。
 
微断绝技术的硬核究竟在哪里
如果说主机防火墙不是微断绝技术的核心的话，那么微断绝技术的硬核究竟在哪里呢？我们说围绕着安适计谋的生命周期，微断绝技术主要就是三个处所展现技术含量。

首先是业务分析
要做断绝就需要具体的安适计谋，所谓“安适计谋”就是允许或者拒绝哪些流量的具体法则。微断绝要解决的是内网的点到点的访谒控制问题，一般来说都是给与的白名单计谋。那么问题就来了，这个计谋应该怎样设计呢？在内网充满着大量庞大且私有的应用协议，除了业务开发者没有人了解他们使用了什么端口和协议，于是无论是运维团队还是安适团队都缺少设计安适计谋所必需的业务常识。

所以要做计谋打点，首先要分析业务，要把对象向的具体的通信关系给找出来，最好是以可视化的方法泛起出来，这样安适团队才华够在此根本上设计出正确的对象向安适计谋。如果没有这个能力，你有再多的防火墙也注定只能是放置。