VPN与虚拟防火墙

　　VPN实例与虚拟防火墙是一一对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。安全实例为虚拟防火墙提供相互隔离的安全服务，同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。

　　虚拟防火墙的引入一方面是为了解决业务多实例的问题，更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略，同时默认情况下，不同的虚拟防火墙之间是默认隔离的。对于防火墙系统接收到的数据流，系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。在各个虚拟防火墙系统中，数据流将根据各自系统的路由完成转发。

　　对于有多业务需求大中型的企业来说，该如何部署组建一张MPLS VPN专网？我们将一台具有这种功能的防火墙产品放在中、高端交换机上进行部署。可以根据大中型企业业务功能，那种业务有可能受到网络安全的危害，可以充分地利用交换机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的适应能力。充分利用基础网络平台，实现网络和安全的融合。可以有效的简化拓扑，方便管理。图2：

　　业务的稳定性是至关重要的，尤其对于服务器托管服务更是重中之重，因为，这项业务关系着企业经济利益。面对企业的安全资金投入有限，仅能购买一台防火墙，但却又有对内部财务网络单独防护的需求的这种情况。防火墙的虚拟防火墙功能，将a网络从内网中剥离出来，单独划分到防火墙的虚拟防火墙系统中进行单独的防护。

　　这样不仅有效的避免由于内网的蠕虫爆发导致对财务系统的危害，更能保证a系统的正常运行。如何能够在安全方面投入最低，但却能够获得最高的安全回报呢？结合企业网络结构及网络应用情况，来选择具有虚拟防火墙功能产品。