【转】防火墙安全区域

今天我给大家介绍防火墙的安全区域（Security Zone），简称为区域（Zone）。

安全区域是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，当报文在不同的安全区域之间流动时，才会触发安全检查。

这里需要注意哦，默认情况下，报文在不同的安全区域之间流动时，才会触发安全检查，在同一个安全区域中流动时，不会触发安全检查。同时，华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查。

那么华为防火墙默认安全区域有哪些呢？
① Trust 区域，该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。
② DMZ 区域，该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。
③ Untrust 区域，该区域代表的是不受信任的网络，通常用来定义Internet 等不安全的网络。
④ Local 区域，代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local 区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local 区域接收。

Local 区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于Local 区域。也就是说，报文通过接口去往某个网络时，目的安全区域是该接口所在的安全区域；报文通过接口到达防火墙本身时，目的安全区域是Local 区域。

怎么来判断一个安全区域的受信任程度呢？
在华为防火墙上，每个安全区域都有一个唯一的安全级别，用1～100 的数字表示，数字越大，则代表该区域内的网络越可信。对于默认的安全区域，它们的安全级别是固定的：Local 区域的安全级别是100，Trust 区域的安全级别是85，DMZ 区域的安全级别是50，Untrust 区域的安全级别是5。

报文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound），报文从由高级别的安全区域向低级别的安全区域流动时为出方向（Outbound）。