【IT168专稿】在各行各业越来越重视网络安全的今天，面对层出不穷的网络安全事件，为业务系统提供安全保障迫在眉睫。应用安全是对网络应用的安全保障，这些应用包括：信用卡号码、机密资料、用户档案、财务等信息。那么什么是保护这些应用不受恶意攻击的困难所在呢？什么样防火墙可以对这些攻击进行发现及封阻？

　　过去，每个业务需要一台硬件防火墙来做业务支撑，为了更好适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务的独立安全策略部署，来实现多台防火墙的功能。    
     
　　什么是虚拟防火墙功能呢？虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

　　从定义来看一台防火墙可以逻辑上划分为多台防火墙，所有的系统资源都按比例被分配到各个独立的虚拟防火墙中，当有攻击发生时，各个虚拟防火墙将抵挡各自的攻击，既使某个虚拟防火墙系统资源被网络攻击耗尽，其它虚拟防火墙的资源却不受任何影响，从而有效保证网络其它应用的正常运行，也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后，对用户来说其部署模式如图1：

　　利用逻辑划分的多个防火墙实例来部署多个业务的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展，当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的网络设备。简化了网络管理的复杂度，减少了误操作的可能性。

　　虚拟防火墙是一个逻辑上的概念，每个虚拟防火墙都是VPN实例和安全实例的综合体，能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN子接口和二层Trunk接口+VLAN。默认情况下，所有的接口都属于根防火墙实例（Root），如果希望将部分接口划分到不同的虚拟防火墙，必须创建虚拟防火墙实例，并且将接口加入虚拟防火墙中。根虚拟防火墙不需要创建，默认存在。