防火墙应用在saas环境部署

防火墙mpls现状：

总部和各分支机构采取mplsvpn互联，同时总部和各分支机构需要调剂已有防火墙，对访问互联网的数据做病毒过滤和ips过滤。

部份分支机构有独立的互联网出口，需要对访问互联网出口的数据进行病毒过滤和ips过滤。

部份分支机构没有独立的互联网出口，需要将所有数据通过mplsvpn转发至总部，通过总部的出口访问互联网。

防火墙mpls方案：

总部采取路由模式部署防火墙，一条线路连接互联网，在该连接互联网线路的接口上启用nat;另外一条线路连接mplsvpn的ce端路由器。

分支1有一台ce路由器，该路由器同时提供internet接入和mplsvpn的接入，在内部部署防火墙，使得通过mplsvpn访问总部资源，同时利用防火墙的av，ips等utm特性对访问internet的流量进行病毒过滤和ips过滤。

分支2没有自己的独立的internet出口，isp的ce端路由器只提供mplsvpn的接入，所以分支2不但需要通过mplsvpn访问总部内网资源，同时需要采取mplsvpn将访问互联网的流量转发到总部，通过总部的internet出口访问互联网。同时需要使用防火墙的utm功能对访问internet数据进行病毒过滤和ips过滤。

部署方案描写

对总部的网络，由因而三层结构，所以可以很容易地部署防火墙和mplsvpn.由出口防火墙进行分流，对访问internet的数据进行nat，对访问各个分支机构的流量转发至mplsvpn的ce端路由器，通过防火墙的utm功能实现trust区域到untrust等指定区域之间的病毒过滤和ips过滤。

对分支一和分支二的网络环境，和根据分支机构已用的防火墙功能的分析，需要采取非常规方式部署防火墙。

TikTok千粉号购买平台：https://tiktokusername.com/