【IT168专稿】一个小小的硬件故障或误操作都有可能造成网络停滞或瘫痪，使业务遭受损失。安全性问题日趋严重，系统中断、信息的泄密、丢失、篡改、毁坏、盗用等等对所有的单位来说都是一种灾难。主机安全、电源安全、线路安全、设备安全是信息系统正常运行的基础，这就要求信息系统有越来越高的可用性。考虑高可用性的关键业务主机、冗余及备份的网络设备和线路外，作为信息流量集中地的防火墙也应该采用高可用性的解决方案。

　　传统防火墙弊端凸现

　　防火墙一般安装在网络的关卡。在关卡集中所有互联网流量，因此对安装在关卡的网络设备要求极高，即一般不发生故障，但一旦发生故障必须能迅速恢复。我们知道一旦发生大流量攻击事件时，往往最先失去抵抗能力的就是在这些网络关口，防火墙也必然成为主要攻击的对象。如果流量达到一定的程度可以将整个上层设备带宽堵塞，形成网络瓶颈和系统单点故障，导致整个网络中断。由此可见，打破网络瓶颈，方可利用防火墙虚拟化来提升设备可用性。

　　我们过去的组网方式，网络结构中一般具有两台防火墙，他们总是只有一台在运行，另一台则一直在做备用；只有在正常运转的防火墙出现问题的时候，备用防火墙才能接手，实施防火墙的功能。其弊端显而易见――资源严重的浪费与闲置。因为备用防火墙在正常情况下总是不干活，而主防火墙则担负着全部的防火墙任务。如图一

　　防火墙虚拟化让企业看到希望

　　我们可以假设将原由的单台防火墙体系升级成多台防火墙集群多层联路结构防护，升级后针对攻击防护能力将提升到一定的效果,并通过上层设备进行了一些重要设置，能够彻底防护任何类型的攻击。可以避免单点故障造成全网瘫痪。多台防火墙高额费用，可能会导致企业无法承担，防火墙虚拟化让企业看到希望。图二

　　采用的虚拟技术允许管理员将不同的“虚拟”部署到不同的网络分区或用户组，对整个系统进行管理。虚拟技术的本质在于模拟网络中拥有多部设备，而无需真正部署设备，从而节约了管理成本与部署成本所需的人力物力。

　　虚拟防火墙可以负载均衡，为冗余的防火墙部署提供了更高的可用性。流量通过公网路由器进入防火墙群组后，防火墙会进行一系列的底层数据包识别，保存连接特征，并通过集群交换机进行数据交互。当其中任何一个context防火墙由于负载过高或故障离线时，网络不会受到任何影响。

　　在新增加一个context防火墙的时候，会自动的从其他context防火墙系统中提取得相关的数据。形成一个整体的强大的无任何副作用的能够承受高负载高压力的保护体系。防火墙虚拟化是根据实际的网络负载量而定的。从真正的意义上实现了“高负载，高稳定，高性能”的防御网络体系。