防火墙应用在saas环境部署

防火墙MPLS现状：

采用总部和分支机构MPLS VPN同时，总部和分支机构需要调整现有的防火墙，对访问互联网的数据进行病毒过滤ips过滤。

一些分支机构有独立的互联网出口，需要病毒过滤和访问互联网出口的数据ips过滤。

一些分支机构没有独立的互联网出口，需要通过所有数据mpls vpn通过到总部，通过总部出口访问互联网。

防火墙mpls方案：

总部采用路由模式部署防火墙，一条连接互联网的线路在连接互联网线路的接口上启用nat;另一条线路连接mpls vpn的ce端路由器。

分支1有一台ce同时提供路由器internet接入和mpls vpn防火墙在内部部署，使其通过mpls vpn同时使用防火墙，访问总部资源av，ips等utm访问特征internet病毒过滤和流量ips过滤。

分支2没有自己的独立internet出口，isp的ce端路由器只提供mpls vpn因此，分支2不仅需要通过mpls vpn需要同时采用访问总部内网资源mpls vpn通过总部将访问互联网的流量转发给总部internet出口访问互联网。防火墙需要同时使用utm功能对访问internet病毒过滤和数据ips过滤。

描述部署方案

对于总部的网络，防火墙和防火墙可以很容易地部署，因为它们是三层结构mpls vpn.对出口防火墙进行分流，进行访问internet的数据进行nat，转发到访问各分支机构的流量mpls vpn的ce通过防火墙的端路由器utm功能实现trust区域到untrust病毒过滤和指定区域之间ips过滤。

根据对分支机构使用的防火墙功能的分析，分支机构和分支机构的网络环境需要采用非常规的方式部署防火墙。