对于一些网络环境较复杂的企业来说，通常在数据机房中会放置多台工作服务器；但出于对成本的考虑，很多时候不可能为每台服务器都通过硬件防火墙来实施安全保护，因此多数情况下所有服务器都是在一台防火墙的保护之下来共享资源的。但这对于多台服务器的安全保护、系统资源的利用等方面来说，都是有影响的；而虚拟防火墙的概念，则可较好的解决这一问题。
　传统防火墙是一个物理的实体,而虚拟防火墙是在这个物理实体里面可以划分多个虚拟的防火墙。虚拟防火墙的某些功能甚至比传统防火墙做的还要好。其简单的运行机制是：将资源分别独立分配给各个虚拟的系统，彼此之间互不干扰，因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候，另一个虚拟系统的资源却不受任何影响，从而有效保证网络其它应用的正常运行；其网络结构如图1所示。 

图1 虚拟防火墙网络结构图