虚拟防火墙护安全

　　监控虚拟系统里的应用系统的虚拟防火墙是一个新生事物，其产品在国内还没有出现。为了对其有更多的了解，记者就以下问题询问了Stonesoft中国区经理张研。

　　一、虚拟防火墙产生的原因是什么?

　　张研向记者介绍，有三个原因促使虚拟防火墙的出现。

　　1、由于在虚拟系统里面需要部署很多的应用系统，需要对各个应用系统之间的安全进行防护和访问控制，同时，需要监控和限制各个应用系统之间的流量。

　　2、由于IDC或者MSSP(管理安全服务提供商)等服务商需要部署虚拟防火墙给不同的用户来使用，同时可以实现对用户的防火墙进行统一集中管理。

　　3、每个物理防火墙的投资成本比较高，而且维护费用高。

　　二、虚拟防火墙和传统防火墙的区别

　　传统防火墙是一个物理的实体,而虚拟防火墙是在这个物理实体里面可以划分多个虚拟的防火墙。虚拟防火墙的某些功能甚至比传统防火墙做的还要好。比如StoneGate的虚拟防火墙可以监控部署在虚拟系统中的各个应用系统之间的流量，实施访问控制。

　　三、虚拟防火墙部署在什么位置?

　　1、可以部署在核心交换机和主要服务器群的位置。

　　2、可以部署在物理网络和虚拟网络之间。

　　3、可以部署在两个虚拟网络之间。

　　四、软件虚拟防火墙和硬件虚拟防火墙有什么区别，应用环境和要求有什么不同?

　　硬件虚拟防火墙主要是指可以将一台传统防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

　　由于虚拟防火墙功能可将资源分别独立分配给各个虚拟的系统，彼此之间互不干扰，因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候，另一个虚拟系统的资源却不受任何影响，从而有效保证网络其他应用的正常运行。

　　软件虚拟防火墙支持的应用环境可以更灵活，像StoneGate软件虚拟防火墙目前主要支持VMware系统、VM Workstation和VM ESX Server。软件虚拟防火墙最主要的环境要求还是看硬件系统是否足够强大，包括：CPU、内存、硬盘等等。