我一直在寻找OpenStack环境下防火墙虚拟机的最佳使用方式，也一直在不断尝试和验证，不达目的誓不罢休。标准是什么？我不动任何命令行，在仪表盘上操作，在租户路由器和租户服务子网之间透明插入防火墙虚拟机，不能对环境造成影响。

上次练习的一个方法是禁用租户服务子网(防火墙引流子网除外)的网关，将子网中防火墙接口的默认主机路由添加到租户服务子网。当时遗留的问题是，租户服务子网中现有的虚拟机需要重启，而在租户路由器上为租户服务子网配置的静态路由被删除后，子网中现有的直接路由无法自动恢复。虽然不动命令行，但也是全仪表盘操作，防火墙虚拟机透明地插在租户路由器和租户服务子网之间，但对环境有影响，不太理想。

这一周，整个事情更美好了。这一次，应该是大结局了。还是这个拓扑。租户路由器在外部网络上进行SNAT，服务子网连接到路由器。服务虚拟机绑定弹性IP后，路由器做DNAT，防火墙虚拟机通过互联网连接到路由器，内网接口延伸到租户服务子网。

或者这两个测试虚拟机，一个业务虚拟机和一个防火墙虚拟机，

这一次，我们没有禁用服务子网的网关，而是关闭了网关接口的管理状态。

此时路由器上的服务子网网关地址仍然存在，但不起作用。

防火墙虚拟机可以无障碍的使用这个网关地址，当然也要关闭接口的安全检查。

仍然为路由器上的服务子网配置静态路由。

不需要在防火墙上配置任何nat和路由规则，只需要配置访问控制策略。

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码代理官网：www.chenqinet.cn。