简单些，看图说话。图是别人画的，语言是ipbaobao组织的。

下面是传统意义上的防火墙用于云计算数据中心时的情况。一个用户的应用可能驻留在不同的VM上，每个VM可能驻留在相同或不同的服务器上。VM这对防火墙的最大挑战是：不仅ACL规则要发生重大变化，而且扩展性也要成问题了

和几乎所有解决扩展性问题的思路几乎一样，需要多防火墙进行分层，传统防火墙再加上针对不同用户的虚拟防火墙。每个虚拟防火墙，对于一个独立的用户，而不是独立的VM或物理的服务器。

Ipbaobao以为，这可能是解决防火墙规则扩展性问题，以及可以和传统防火墙保持继承性的最理想的方式之一了。

下一代的防火墙。也要虚拟化。