对用户而言，云上的组件具有“所需的功能会以所需的形式呈现出来”这样的特点。

在物理环境中，由防火墙设备负责过滤数据包，因此需要针对通过物理链路出入于防火墙的数据包指定过滤条件，如“只有发送到x台服务器上的xx类数据包才允许通过”。但是，从服务器管理员的角度来看，要过滤的并不是出入于防火墙设备的数据包，而是出入于自己所管理的服务器的数据包。

有点抽象......我也没见过物理环境的服务器啊。防火墙不是systecmctl enable firewalld，就是一个服务器本身的服务嘛。
然后我就去某东上找了找，看能不能买到实体的防火墙设备。

还别说，真有。真的有实体的防火墙设备来过滤数据包。而且还蛮贵的。我还以为都是systemctl start/stop firewalld开关防火墙服务的。

因此，云提供了无须在意防火墙设备部署位置的防火墙功能。使用时只需要先定义过滤规则的集合“安全组”，然后将其应用到需要启用过滤的虚拟机上，接下来就可以进行包过滤了。

我依稀记得以前买华为云有设置安全组的设定。但是腾讯云的服务器用了这么久，也没见过安全组的设置。直到我刚才去找了一下，发现轻量ECS是没有安全组设置的......只有云服务器才有。

如果不上云，那就是一条网线接到防火墙，然后其他服务器再连这个防火墙。防火墙的什么具体配置还需要自己配。
如果上云，那就是直接设置安全组就行，其他的云厂商都会帮你搞定，只需要用就行了。
总的来说，你想要系统实现防火墙的功能，上云之后你就只需要去思考开哪些端口，开哪些IP。不需要去想什么硬件怎么配啊，买什么防火墙设备比较好啊这些有的没的。