前面VPC模型中，虚拟化安全网关作为边界网关，对南北向流量进行防护，但对于东西向流量并不需要经过网关，应如何对该流量进行防护呢？

实际上，虚拟化安全网关作为一个特殊的虚拟机运行在虚拟平台中，正常情况下VM间访问流量直接经过vSwitch互访，当需要对其进行安全防护时，管理员要实现配置vSwitch中的引流策略， vSwitch根据流表内容对流量进行匹配，根据引流策略配置将需要防护流量引流到VFW中，由VFW对虚拟机间流量进行防护处理，最后经VFW处理过的流量再回到vSwtich中进行正常转发（如图所示）。通过部署虚拟化安全网关，管理员能够对服务器内部VM之间的流量进行管控，有效解决“东西向”流量安全防护问题，包括：

• 设置安全策略控制对VM虚拟机之间的访问，对VM之间的流量访问进行允许或禁止；
• 对VM之间的流量互访进行攻击检测，及时发现内部攻击行为。

http://www.h3c.com.cn/res/201410/28/20141028_1946649_image003_842426_30008_0.jpg

图 VM-VM安全防护模型