第一，从定义来看一台防火墙可以逻辑上划分为多台防火墙，所有的系统资源都按比例被分配到各个独立的虚拟防火墙中，当有攻击发生时，各个虚拟防火墙将抵挡各自的攻击，既便某个虚拟防火墙系统资源被网络攻击耗尽，也不会影响其他的虚拟防火墙系统，也就是说其它的服务器仍然可以正常运行，这大大提高了电信IDC的服务质量。

    第二，从硬件成本上大大降低了电信的资金投入，用一台防火墙就可以起到多台防火墙的防护水平。第三，而从托管用户方面来看，所属服务器受一台独立的防火墙来保护，其满意程度也会大幅提升，并会吸引更多的托管用户，从而间接的增加了IDC的营业额。第四，从管理维护的角度来说，网络管理员通过对一台防火墙的管理，起到了对多台设备统一管理的目的，大大降低了管理难度，减少了维护的复杂度。

    另外，面对企业的安全资金投入有限，仅能购买一台防火墙，但却又有对内部财务网络单独防护的需求的这种情况。东软可以利用NetEye防火墙的虚拟防火墙功能，将财务网络从内网中剥离出来，单独划分到NetEye防火墙的虚拟防火墙系统中进行单独的防护。这样不仅有效的避免由于内网的蠕虫爆发导致对财务系统的危害，更能保证财务系统的正常运行。具体部署如图4所示：

图4 NetEye虚拟防火墙部署图

    从上面的例子不难看出，虚拟防火墙功能是一个贴近用户需求，切实为用户带来很高的投入产出比而设计的安全功能。其最直接的好处即是帮助用户提高IDC的安全防护能力、简化对防火墙的管理、降低投入成本、赢得更高收入回报。