大规模业务部署场景下，为了避免虚拟机之间的访问权限开放过大造成业务主机被入侵、数据丢失、数据泄露等安全事件，往往需要对各个业务系统进行细粒度的访问权限控制。微隔离策略可以根据30天内的业务应用访问关系自动生成业务虚拟机之间的访问控制策略。帮助运维人员更快速、轻松地梳理访问关系，配置控制策略。策略生成后，提供可视化的预发布效果预览，帮助用户识别策略错配或者漏配，通过预发布快速验证与调整，确保不对业务造成影响。同时策略生效后，持续监控业务访问情况，当业务出现访问异常时主动进行告警，帮助运维人员定位访问控制策略错配问题，及时恢复应用访问。

注意事项

平台需要学习一段时间的业务访问流量，才可以进行分布式防火墙策略推荐。
NAT场景，因NAT后IP可能无法对应到真实的虚拟机，导致推荐的策略不准。
DNS场景，当域名转换的IP发生变化后，会断网。因为流量是按IP上报的，新的IP没有学习到流量，会被封堵。
DFW本身不支持的场景，微隔离策略推荐也不支持。
预发布策略只能在流可视上看到，用户自己看不到。
虚拟机变更分组，或从分组中删除后，分组级别的流量视角无法及时同步变更，只能更新虚机到虚机的流量线。任何涉及分组的流量视角，都无法在虚机分组变更的第一时间更新，需要等待新的流量。
低版本升级到10.0后，由于网络域ID缺失，会导致网络拓扑查询时其他分组与当前展开分组的访问关系拓扑失效。
升级后9.0的外网中包含部分6.10.0的符合内网定义数据数据，全部作为外网展示（反之内网也是如此）。

操作步骤

创建策略，进入[网络可视化]页面，点击策略生成器，会根据30天内的业务应用访问关系自动生成业务虚拟机之间的访问控制策略。帮助运维人员更快速、轻松地梳理访问关系，配置控制策略。

策略审核验证，策略生成后，提供可视化的预发布效果预览，帮助用户识别策略错配或者漏配，通过预发布快速验证与调整，确保不对业务造成影响。

异常访问预警，策略生效后，持续监控业务访问情况，当业务出现访问异常时主动进行告警，帮助运维人员定位访问控制策略错配问题/风险访问，及时介入进行进一步的分析排查。