作为国内领先的网络安全产品提供商，东软NetEye十一年来在安全领域始终从用户需求出发，坚持技术创新并在网络安全领域取得了很多喜人成果。虚拟防火墙功能就是其中之一。那么，什么是虚拟防火墙功能呢？虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
　　由于虚拟防火墙功能可将资源分别独立分配给各个虚拟的系统，彼此之间互不干扰，因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候，另一个虚拟系统的资源却不受任何影响，从而有效保证网络其它应用的正常运行。下面我们以NetEye防火墙在电信IDC(互联网数据中心)中的应用为例，详细了解一下虚拟防火墙的优越之处。
　　众所周知IDC是伴随着Internet不断发展的需求而发展起来的。IDC主要为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。通常按照分层网络模型划分为核心层（Core Layer）、分发层（Distribution Layer）和访问层（Access Layer）。
　　核心层的主要作用是为两个远程节点间提供足够的带宽资源，这一层是互联网的基础，也是最终用户流量的汇聚点。作为IDC而言，核心层通常位于电信主干网的入口，是IDC连接主干网的枢纽所在。分发层主要用来划分网络区域的层次，它负责区域内部的路由和网络流量处理，包括路由协议和路由更新。访问层用以连接最终网络用户，通常IDC租用用户所直接接触到的都是访问层的路由和交换设备。一般一个IDC网络的典型结构如图1所示：

图1 典型的IDC网络拓朴

　　在电信IDC机房中，由于出于对成本的考虑，很多时候不可能为每台托管服务器提高安全保护，因此多数情况下所有托管服务器是在一台防火墙的保护之下，共享其资源。如图2所示：

图2 普通防火墙防护

　　对于电信IDC来说，业务的稳定性是至关重要的，尤其对于服务器托管服务更是重中之重，因为，这项业务不仅关系着IDC机房的盛誉，更会影响到电信的营业收入。那么如何能够在安全方面投入最低，但却能够获得最高的安全回报呢？具有虚拟防火墙功能NetEye5200防火墙可谓是最佳选择。
　　在IDC机房中，并不是所有的服务器都会同时遭受黑客的攻击。通常，遭受攻击的只是其中的某台服务器，例如WEB服务器、邮件服务器等，一旦受用户托管的某台服务器遭受到攻击的时候，防火墙会耗费大量系统资源来抗击黑客的攻击流量，由于防火墙处在网络出口节点的位置，系统资源的大量消耗会严重影响其它服务器的正常应用，正所谓城门失火怏及池鱼，势必导致电信IDC的服务质量大大降低。
　　如何提高IDC的服务水平？NetEye 5200防火墙虚拟防火墙功能给出了很多好的答案。如图3所示：

图3 NetEye虚拟防火墙功能

　　第一，从定义来看一台防火墙可以逻辑上划分为多台防火墙，所有的系统资源都按比例被分配到各个独立的虚拟防火墙中，当有攻击发生时，各个虚拟防火墙将抵挡各自的攻击，既便某个虚拟防火墙系统资源被网络攻击耗尽，也不会影响其他的虚拟防火墙系统，也就是说其它的服务器仍然可以正常运行，这大大提高了电信IDC的服务质量。
　　第二，从硬件成本上大大降低了电信的资金投入，用一台防火墙就可以起到多台防火墙的防护水平。
　　第三，从托管用户方面来看，所属服务器受一台独立的防火墙来保护，其满意程度也会大幅提升，并会吸引更多的托管用户，从而间接的增加了IDC的营业额。
　　第四，从管理维护的角度来说，网络管理员通过对一台防火墙的管理，起到了对多台设备统一管理的目的，大大降低了管理难度，减少了维护的复杂度。
　　另外，面对企业的安全资金投入有限，仅能购买一台防火墙，但却又有对内部财务网络单独防护的需求的这种情况。东软可以利用NetEye防火墙的虚拟防火墙功能，将财务网络从内网中剥离出来，单独划分到NetEye防火墙的虚拟防火墙系统中进行单独的防护。这样不仅有效的避免由于内网的蠕虫爆发导致对财务系统的危害，更能保证财务系统的正常运行。具体部署如图4所示：

图4 NetEye虚拟防火墙部署图

　　从上面的例子不难看出，虚拟防火墙功能是一个贴近用户需求，切实为用户带来很高的投入产出比而设计的安全功能。其最直接的好处即是帮助用户提高IDC的安全防护能力、简化对防火墙的管理、降低投入成本、赢得更高收入回报。

　　东软集团董事长兼CEO刘积仁博士在2007年1月18日东软集团举办的媒体答谢会上，发表了一个精彩的即席演讲。在细述东软产业化15周年和东软股份上市10周年的巨大变化时，他提到，东软作为一个有远见的企业，注重战略性投入和前瞻性开发工作；人们看到市场上正在分享的成果和收获，基本上都是五、六年前所研发和投入产生的结果。
　　东软的网络安全正是这样一种战略性投入，而且至今已走过了十年的历程。按照刘积仁老师的观点，如今的东软网络安全正处在收获的季节。

　　东软安全走过2006
　　2006年，中国信息安全产业界风云变幻，市场排名前几位的安全公司几乎都遭遇了内部的人事动荡。人们担忧这种变化是否无可避免地蔓延开来，安全公司自身的安全性从来没有像现在这样紧绷着产业的神经。此时，那些流水不从、疾风不动的公司，就被人们寄寓了诸多的希望。东软在大变化中表现出来的稳健，正给人留下这样的印象。
　　在过去充满变化和转折的一年里，东软做了些什么？东软网络安全事业部总经理曹斌博士是这样总结的： 东软安全去年比较大的变化主要表现在内涵方面。从客户的类型上看，原以政府、国有企业为主，但去年在电信和包括一些非国有的大型企业方面的比例提升迅速；从产品的比例的划分来看，以前东软的防火墙、IDS等产品几乎占到了95%，但是去年新的产品比重有大幅度的增加，SOC、异常流量监控，包括安全服务、安全审计和专用的安全软件等方面的提升比迅速。这两方面的变化体 现了东软策略和战略上的进步。
　　东软在去年初发布了新产品和安全魔方架构，所有目标都是面向高端的、核心用户的安全解决方案，经过一年的努力，确实在新的领域有很好的表现， 东软的竞争力在提高。
　　更大的进展还在于，NetEye产品确实找到了具体的产品形态和切入的点，在与国外产品的竞争中NetEye的优势在加强。在业务的支撑上，东软不是靠单一的一两个产品，而是多方面跟进。这对于东软未来安全线的运作程度和发展空间会更大，此外去年年初提到的面向安全的大服务观的概念，在2006年也得到体现和进展。
　　总体上说，东软基本完成了既定的目标和计划，增长率大概在40%左右。
　　曹斌说，公司高层对网络安全业务线的策略与结果还是比较肯定的，东软网络安全与集团其它业务线的整体配合程度和认可度都相当高。安全已经成为公司的新业务形态，也成为其它业务线新的增长方向。这样的打法更适合东软营销体系和业务客户的基础。对这样的策略，从集团层面的推动力看，还是很强的。

　　东软安全的喜和忧
　　天下大乱，如何唯善其身？对国内安全环境的变化，曹斌分析认为：从长远来看，2006年应该是调整的一年。国内安全市场一些竞争对手出现了这样那样的波动，包括策略、人员的剧烈变动，这对安全市场来说又喜又忧。如果行业处于动荡过程，对产业发展客观说会带来不好的影响，也可以说是一种损害。因为动荡太多就会对人的心态产生影响，市场策略可能会更短线。这一点在去年产品市场上表现是比较明显的，有些公司为了短期利益以至于不惜代价去拼市场。一些竞争对手的急躁状态，带来了市场的急躁。
　　这一阶段，防火墙等产品的竞争更加残酷，要在这方面保持高速增长，每个厂家都更加困难，如果大多数公司度过了这一关键阶段，适时进行调整，形成一种好的管理体系，产品体系，就可能会成长出一些能够长期发展并有潜力的公司。在一个产业中，有好的竞争对手、市场格局，对整个产业发展起到积极的促进作用。
　　公司领导层希望安全事业部更加关注客户，更加关注公司内部的优化，更加关心业务线的成长质量，更加关心客户质量、技术积累和长线投入的规划，关心未来公司的可靠支撑。王勇峰总裁提出，对手出了问题不要着急去穷追猛打，更该做好自身的发展和坚定发展方向，把核心竞争能力、质量、品牌、技术发展到更好的程度，把内涵发展到更好的程度。因为一个公司的质量对用户有着直接的影响，是相互促进的过程。急迫、焦躁的心态会使经营脱离它的本质的内涵。如果投机的成份过多，无疑是杀鸡取卵，短期内通过销售的手段是可以获取一些项目，但长期来看并不利于公司竞争力的培养。
　　曹斌说，对于规模较大的安全公司，坚持策略的一致性很难。如果公司的高层没有认识到它在公司整体战略中的地位，只是把它作为一种投资行为来看，就很难保持业务的稳定性。在东软来说，更强调整体性和长期发展性，更具长远的眼光。
　　客户形态和业务内涵的转变对于东软安全的高速成长，意义非常大。可喜的是，我们看到高端客户的需求逐渐展现出来。就像安全界的老专家以前所说的，为什么大家都在抢防火墙的独木桥，那么多产品类型国外在做我们为什么不做？其实，那时候我们也想做，但一是不知道还有什么适合的产品，二是国内用户没有这种需求，购买力没有达到。2006年我们非常高兴的看倒客户对于多样性的需求呈快速上升趋势。另外，与以往不同的是，一些运营商和大型企业对安全的认识已经到了很真实、准确的程度，这种变化对国内安全市场的影响是相当深远的，如果把握住了机会，前景会非常可观。
　　2006年，东软安全接触到了更多优质客户，传递给我们的信息是安全还有很多问题，需要有实力的厂家来解决。这些问题并不是某个单一产品能解决的，它更为综合和复杂，安全越来越是多角度的渗透和扩展。这也引导了我们从更综合的方面来解决客户的问题，提供更为有效的解决方案。为此，东软在技术投入，服务体系和销售体系上更多地聚焦到那些对安全的需求相当综合复杂的用户身上，他们的需求已经超越了一两个产品的问题。
　　去年，东软在电信运营商那里遇到的竞争对手基本是国外厂商，这说明我们竞争对手在发生成份上的变化。和国外对手交锋和碰面，说明我们的品牌、认可程度、技术、产品已达到相互抗衡的层面，中国公司本土化的特征和优势以及逐渐被用户认可的技术、品牌，使得我们最终不需要靠价格去拼，它所带来的是我们的生存状态更加舒服。

　　蓝海也在海外
　　说到2006年国内安全市场出现的急功近利、恶意竞争所达到的令人震惊的程度，以及它对国内厂商整体的打击和伤害，曹斌博士谈了很多，但这并不妨碍东软在新的一年扩大优势，稳步发展的决心，表现为对东软集团和国内安全产业两方面的贡献。
　　他指出，东软有几条业务线，外包业务、面向国内应用软件的业务。从形态上来说，突出的特点就是业务规模和人员规模成正比，一个亿的软件应该有相应匹配的人数来做。网络安全是东软业务特征相当明显的一块，从公司的业务发展的思路来说，很希望一两个产品线能有更多的贡献。在网络安全业务线上，除了继续发展我们核心客户、高端客户的产品以外，全球化也是很重要的主题。我们希望更快速地推进和国际优秀合作伙伴的业务发展。这一点是我们的业务线来在2007年很重要的事情，我们期望未来两、三年内，做到国际市场比国内市场还要大。几年以前国内市场的需求比国外要晚三、五年，那时候我们在做中国的产品，是别人成熟了三、五年的东西，当然打不过他，现在我们至少可以和国外公司打个平手，有些方面已经超出国外了。中国公司如果在产品线领域突破了技术和品质瓶颈和障碍的话，市场的机会是相当大的。
　　曹斌透露了东软安全2007年的计划的要点包括这样几个方面。一个是向大型企业、行业的发展，这是很重要的目标；二是希望渠道进展方面有大幅度的成长，根据渠道的声音和规模，投放适合他们的产品。东软整体的销售体系越来越聚焦到高端客户之后很难向低端发展了，东软的渠道伙伴面对的问题很综合了，不是说东软给代理商一个政策就能做好，而是需要各个业务线去配合，难度很高。今后整体销售体系越来越聚焦之后，渠道成长和环境会越来越好，包括我们的政策和支撑体系、配合程度、技术保障、资源投入等投入会更多；第三个方面是国外市场，东软希望能够有更大更强的进展。
　　东软稳健的作风使得他们不会为了进入一个新市场而去刻意改变自己，比如在去年热炒的像UTM等一些安全概念，东软虽然在技术上也在跟时，但并没有急于出手。这种沉稳，本身就是一种实力的象征。但是细心人可能注意到，以前东软对海外业务一直持较为慎重的态度，去年经营过程中对一些信息的综合分析加快了他们向海外市场扩张的决心。应该说，像东软这样的安全公司把注意力投向海市场，这对国内信息安全产业来说，是一个非常积极的信号。在安全界倡导蓝海战略的时候，他们告诉业界，信息安全的蓝海也在海外。

发布日期：2007年4月 东软NetEye攻防小组
摘要
　　2007年4月3日，微软发布07年4月份安全公告。
　　4月10日，微软发布了MS-017、MS-018、MS-019、MS-020、MS-021、 MS-022公告，其中前5个为紧急通告，MS-022为重要通告。
　　同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

紧急 (9)

　　　…详细内容请访问NetEye网站：2007年4月安全公告汇编