微隔离防火墙的总体技术架构由两部分组成，一部分是集中的蜂后安全计算中心QCC（Queen Compute Center，以镜像方式提供），一部分是安装在主机上的蜂群安全管理终端BEA（Bee Enforcement Agent，由QCC获取安装命令）。BEA持续的监控主机context和一些运行时统计信息并将这些信息不断传送给QCC。QCC根据来自BEA的context持续进行策略计算，并将生成策略下发给BEA，由BEA完成对主机的策略更新。

产品技术架构图

• 微隔离：Micro-segmentation，Gartner定义的一种云安全技术，又译为微分段。主要解决软件定义数据中心中主机间的访问控制与可视化。

• 南北向流量：进出互联网边界的流量称为南北向流量。

• 东西向流量：数据中心中不同服务器之间的流量称为东西向流量。

• 授权码：指安装客户端时所验证匹配的校验码。

• 工作负载：泛指承载业务的主机，包含物理机、虚拟机、容器等一系列计算主机的统称。

• 工作组：通过“位置“，”应用“，”环境“三维标签来确定一个工作负载的集合。

• 连接线：工作负载之间互相访问的路径，通过计算引擎计算后显示在web 界面的线。

• 策略：针对工作负载之间，工作组之间的访问流量设置白名单的方法。

• 策略状态：指创建策略应用至工作负载或工作组的状态，分别为建设状态，测试状态，防护状态。

• 建设状态：只在管理中心生效的策略状态，用于策略制定，该状态下策略不会应用至工作负载。

• 测试状态：策略下发至工作负载，但不生效，会记录所创建的策略，不对业务产生影响，该状态下适用于测试策略是否正常的情况。

• 防护状态：在工作负载上应用，且只允许创建的策略通过，未指定策略的访问流量将无法通过。

• 角色标签：对工作负载的业务或其他条件定义的标签，弱化IP 的依赖，从业务的角度赋予工作负载的名称，方便后期策略的制定和使用。

• 组标签：组标签用于定义一个工作组，分别是位置，应用，环境。

• 访问者：指访问的发起方，即访问来源。

• 提供者/服务者：指提供服务的工作负载，与访问者一同理解。

• 预阻断日志：在切换成测试状态时，工作负载记录到的不符合策略（未阻断）的流量日志。（工作负载需开启日志收集）

• 阻断日志：在切换成防护状态时，工作负载记录到的不符合策略（被阻断）的流量日志。（工作负载需开启日志收集）