【IT168 编者按】 用户购买防火墙之后，由于各个部门对信息安全需求不同，导致一个企业统一的安全策略不能完全适用，其结果往往是相互就合，最终的安全策略则成为万金油，并不能起到真正安全防护作用。IDC也面临着同样的问题。

    应对上述用户安全应用问题，“虚拟化”或许是最好的解决方法之一。“虚拟化”是近来IT业界最为热门的词汇之一，目前“虚拟化”已经从服务器领域开始向网络以及安全领域迈进，而且这业己形成一种新的发展趋势。

    东软NetEye十一年来在安全领域始终从用户需求出发，坚持技术创新并在网络安全领域取得了一定的成果，虚拟防火墙功能就是其中之一。

    所谓的虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

    由于虚拟防火墙功能可将资源分别独立分配给各个虚拟的系统，彼此之间互不干扰，因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候，另一个虚拟系统的资源却不受任何影响，从而有效保证网络其它应用的正常运行。下面我们以NetEye防火墙在电信IDC(互联网数据中心)中的应用为例，详细了解一下虚拟防火墙的优越之处。

    众所周知IDC是伴随着Internet不断发展的需求而发展起来的。IDC主要为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。通常按照分层网络模型划分为核心层（Core Layer）、分发层（Distribution Layer）和访问层（Access Layer）。

    核心层的主要作用是为两个远程节点间提供足够的带宽资源，这一层是互联网的基础，也是最终用户流量的汇聚点。作为IDC而言，核心层通常位于电信主干网的入口，是IDC连接主干网的枢纽所在。分发层主要用来划分网络区域的层次，它负责区域内部的路由和网络流量处理，包括路由协议和路由更新。访问层用以连接最终网络用户，通常IDC租用用户所直接接触到的都是访问层的路由和交换设备。一般一个IDC网络的典型结构如图1所示： 

图1 典型的IDC网络拓朴