虚拟化，硬件防火墙生死

    虚拟化是趋势，规模越大，虚拟化越能获得收益。将来大部分应用应该是虚拟化的。虚拟化带来了网络的虚拟化，网路流量被封装虚拟网络（VN）之内。这些流量是通过Host之间的Tunnel进行封装的，并且带有VN-ID以区分不同的网络。于是VN-ID + IP将成为网络上VM的标识。
硬件防火墙死就死在VN-ID之上，这个VN-ID是虚拟网络管理软件动态分配的，完全由虚拟化厂商控制，硬件防火墙无法标识网路VM实体。
这里有几种可能，第一，虚拟化厂商和硬件防火墙厂商合作，防火墙开放可以由虚拟化管理软件配置的接口，配合虚拟化厂商完成相关功能。第二，虚拟化厂商自己在Host软件上实现分布式防火墙。第三，防火墙自己实现虚拟Tunnel以及VN-ID分析。第四，硬件防火墙退守网络出口，负责南北向流量的安全。
第二种可能性最大，硬件防火墙只能退守网路出口，处理经过虚拟网关解开VN封装的PN网络数据包。但是，既然虚拟网关都做了这么多，不差做些Policy取代硬件防火墙了，也不需要考虑性能。
最佳的出路是第一种方案，但是即使可以，防火墙厂商也是成为虚拟化厂商的下游打工者。
想为虚拟化网络内部VM做硬件防火墙产品，死路一条。

换个思路，硬件防火墙厂商可以做什么？两种产品，
1. 物理主机和网络的防火墙
2. 性能强大的网络负载均衡设备。


云，虚拟化等的核心是计算能力出租，防火墙同样也可以成为计算能力的承租者，哪有守着大河还要另打井找水的道理？

传统防火墙应该尽快完成软件化，服务虚拟化，同时探索新的赢利模式。

1. 厂商也很难接受要冒风险投很多钱预研这方面的东西，大多会是浅尝则止，也只能利用现有的接口做点简单的事情。

   现在大家都只能靠直觉说话，不过如果很多人的直觉都觉得硬件防火墙在新的环境下会被淘汰，那么这个直觉就可能产生直接的后果。

   it技术产业受科技进步影响是最大的，如果硬件防火墙像录音带和软盘那样逐渐消失，或者像消费级数码相机那样逐渐被手机取代，我并不会觉得奇怪，各个厂商现在应该做的并不是去想这玩艺我做软件不赚钱，应该怎么说服客户去买硬件盒子放到虚拟环境，而是应该看看，是不是能跟上虚拟化这趟车，研发出真正有创新性的虚拟化产品，要知道，这里现在还什么都没有呢，要么这里没有任何机会，要么，就是一个大大的机会。