作為國內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全產(chǎn)品提供商，東軟NetEye十一年來在安全領(lǐng)域始終從用戶需求出發(fā)，堅持技術(shù)創(chuàng)新并在網(wǎng)絡(luò)安全領(lǐng)域取得了很多喜人成果。虛擬防火墻功能就是其中之一。那么，什么是虛擬防火墻功能呢？虛擬防火墻就是可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備，可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。

　　由于虛擬防火墻功能可將資源分別獨立分配給各個虛擬的系統(tǒng)，彼此之間互不干擾，因此當(dāng)一個虛擬系統(tǒng)因抵御黑客攻擊耗費大量資源的時候，另一個虛擬系統(tǒng)的資源卻不受任何影響，從而有效保證網(wǎng)絡(luò)其它應(yīng)用的正常運行。下面我們以NetEye防火墻在電信IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)中的應(yīng)用為例，詳細(xì)了解一下虛擬防火墻的優(yōu)越之處。

　　眾所周知IDC是伴隨著Internet不斷發(fā)展的需求而發(fā)展起來的。IDC主要為ICP、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬以及ASP、EC等業(yè)務(wù)。通常按照分層網(wǎng)絡(luò)模型劃分為核心層（Core Layer）、分發(fā)層（Distribution Layer）和訪問層（Access Layer）。

　　核心層的主要作用是為兩個遠(yuǎn)程節(jié)點間提供足夠的帶寬資源，這一層是互聯(lián)網(wǎng)的基礎(chǔ)，也是最終用戶流量的匯聚點。作為IDC而言，核心層通常位于電信主干網(wǎng)的入口，是IDC連接主干網(wǎng)的樞紐所在。分發(fā)層主要用來劃分網(wǎng)絡(luò)區(qū)域的層次，它負(fù)責(zé)區(qū)域內(nèi)部的路由和網(wǎng)絡(luò)流量處理，包括路由協(xié)議和路由更新。訪問層用以連接最終網(wǎng)絡(luò)用戶，通常IDC租用用戶所直接接觸到的都是訪問層的路由和交換設(shè)備。一般一個IDC網(wǎng)絡(luò)的典型結(jié)構(gòu)如圖1所示：

　　
圖1 典型的IDC網(wǎng)絡(luò)拓樸

　　在電信IDC機(jī)房中，由于出于對成本的考慮，很多時候不可能為每臺托管服務(wù)器提高安全保護(hù)，因此多數(shù)情況下所有托管服務(wù)器是在一臺防火墻的保護(hù)之下，共享其資源。如圖2所示：

　　
圖2 普通防火墻防護(hù)
對于電信IDC來說，業(yè)務(wù)的穩(wěn)定性是至關(guān)重要的，尤其對于服務(wù)器托管服務(wù)更是重中之重，因為，這項業(yè)務(wù)不僅關(guān)系著IDC機(jī)房的盛譽，更會影響到電信的營業(yè)收入。那么如何能夠在安全方面投入最低，但卻能夠獲得最高的安全回報呢？具有虛擬防火墻功能NetEye5200防火墻可謂時最佳選擇。

　　在IDC機(jī)房中，并不是所有的服務(wù)器都會同時遭受黑客的攻擊。通常，遭受攻擊的只是其中的某臺服務(wù)器，例如WEB服務(wù)器、郵件服務(wù)器等，一旦受用戶托管的某臺服務(wù)器遭受到攻擊的時候，防火墻會耗費大量系統(tǒng)資源來抗擊黑客的攻擊流量，由于防火墻處在網(wǎng)絡(luò)出口節(jié)點的位置，系統(tǒng)資源的大量消耗會嚴(yán)重影響其它服務(wù)器的正常應(yīng)用，正所謂城門失火怏及池魚，勢必導(dǎo)致電信IDC的服務(wù)質(zhì)量大大降低。

　　如何提高IDC的服務(wù)水平？NetEye 5200防火墻虛擬防火墻功能給出了很多好的答案。如圖3所示：

　　
圖3 NetEye虛擬防火墻功能

　　第一，從定義來看一臺防火墻可以邏輯上劃分為多臺防火墻，所有的系統(tǒng)資源都按比例被分配到各個獨立的虛擬防火墻中，當(dāng)有攻擊發(fā)生時，各個虛擬防火墻將抵擋各自的攻擊，既便某個虛擬防火墻系統(tǒng)資源被網(wǎng)絡(luò)攻擊耗盡，也不會影響其他的虛擬防火墻系統(tǒng)，也就是說其它的服務(wù)器仍然可以正常運行，這大大提高了電信IDC的服務(wù)質(zhì)量。

　　第二，從硬件成本上大大降低了電信的資金投入，用一臺防火墻就可以起到多臺防火墻的防護(hù)水平。第三，而從托管用戶方面來看，所屬服務(wù)器受一臺獨立的防火墻來保護(hù)，其滿意程度也會大幅提升，并會吸引更多的托管用戶，從而間接的增加了IDC的營業(yè)額。第四，從管理維護(hù)的角度來說，網(wǎng)絡(luò)管理員通過對一臺防火墻的管理，起到了對多臺設(shè)備統(tǒng)一管理的目的，大大降低了管理難度，減少了維護(hù)的復(fù)雜度。

　　另外，面對企業(yè)的安全資金投入有限，僅能購買一臺防火墻，但卻又有對內(nèi)部財務(wù)網(wǎng)絡(luò)單獨防護(hù)的需求的這種情況。東軟可以利用NetEye防火墻的虛擬防火墻功能，將財務(wù)網(wǎng)絡(luò)從內(nèi)網(wǎng)中剝離出來，單獨劃分到NetEye防火墻的虛擬防火墻系統(tǒng)中進(jìn)行單獨的防護(hù)。這樣不僅有效的避免由于內(nèi)網(wǎng)的蠕蟲爆發(fā)導(dǎo)致對財務(wù)系統(tǒng)的危害，更能保證財務(wù)系統(tǒng)的正常運行。具體部署如圖4所示：

　　
圖4 NetEye虛擬防火墻部署圖

　　從上面的例子不難看出，虛擬防火墻功能是一個貼近用戶需求，切實為用戶帶來很高的投入產(chǎn)出比而設(shè)計的安全功能。其最直接的好處即是幫助用戶提高IDC的安全防護(hù)能力、簡化對防火墻的管理、降低投入成本、贏得更高收入回報。

標(biāo)簽： idc idc租用 web服務(wù)器 安全 電信idc機(jī)房 防火墻 防火墻功能 防火墻設(shè)備 防火墻系統(tǒng) 服務(wù)器 服務(wù)器托管 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)數(shù)據(jù) 機(jī)房 媒體 企業(yè) 數(shù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。