虚拟防火墙，又称为云防火墙，是专为难以或无法部署硬件防火墙的环境设计的网络安全解决方案，例如公有云和私有云环境、软件定义的网络 (SDN) 和软件定义的广域网 (SD-WAN)。

与硬件防火墙一样，虚拟防火墙会授予或拒绝对非信任区域和信任区域之间的流量的网络访问权限。与实际位于数据中心本地位置的硬件防火墙不同，虚拟防火墙本质上是软件，因此是保护虚拟环境安全的理想选择。

此外，还可将虚拟防火墙部署为新一代防火墙的虚拟化实例。  这些先进的虚拟防火墙可以检查和控制公有云环境中的南北向边界流量，以及对数据中心和分支机构的东西向流量分段，同时通过微分段插入先进的威胁预防措施，也就是将工作负载彼此隔离并单独保护它们。

为什么选择虚拟防火墙？

虽然虚拟环境有助于加快创新和降低计算成本，但它也带来了越来越多的安全和合规性风险，这在传统数据中心是没有的。

绕过标准边界安全方案的新类型攻击通常以分散的基础设施为对象，在这些基础设施中，应用、数据和工作负载是从多个端点部署的，而不是从单个专用资源部署，因此很难实现全面的可视性和安全性。

用户现在期望虚拟化环境提供服务的速度是另一个安全问题。安全专业人员必须兼顾 DevOps 的速度和现在跨越分散环境的安全挑战。

正确的新一代虚拟防火墙有助于在整个 IT 环境（包括私有云、公有云和分支机构位置）中提供一致的网络安全态势。在 3 个虚拟防火墙用例中阅读有关核心用例的更多信息。

考虑使用虚拟防火墙？考虑提出这些问题

调查虚拟防火墙选项的企业可能希望考虑：

• 虚拟防火墙是否提供全范围威胁防御？
  虚拟环境需要真正的威胁预防。期待的基本功能包括入侵防御、URL 过滤、SSL 解密、DNS 安全、文件阻止、网络反恶意软件和拒绝服务保护。
• 虚拟防火墙是否能减小攻击面？
  虚拟防火墙通常为私有云中的流量提供横向移动保护，这可以减小虚拟化环境中的攻击面。
• 虚拟防火墙是否提供以应用为中心的安全策略？
  虚拟化环境按需交付应用的能力意味着防火墙应该具有以应用为中心的安全策略功能，例如识别任何应用的能力，而不用考虑其类别、行为或位置如何。
• 虚拟防火墙是否能够自动配置和扩展？
  在某些情况下，可以自动配置虚拟防火墙，以符合持续集成和持续交付 (CI/CD) 的预期，甚至可以直接配置到 DevOps 工作流中。
• 虚拟防火墙是否允许跨环境的可视性？
  在多个虚拟化环境中管理虚拟防火墙部署的能力可以减少时间、工作量、错误和开支。

请访问我们的网站，进一步了解虚拟防火墙如何保护虚拟化环境以实现创新和敏捷性。