H3C的防火墙一配置举例

H3C的防火墙必须把接口加到域里面去

# 配置接口Ethernet 0/0/0 加入防火墙Trust 域。
[H3C] firewall zone trust
[H3C-zone-trust] add interface Ethernet 0/0/0

H3C 防火墙的域（zone）
区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高。

V3平台：安全域不存在两个具有相同安全级别的区域。中低端防火墙缺省有Trust、Untrust、DMZ、local 4个安全域，同时还可以自定义12个区域。
V5平台：安全域可以允许两个相同安全级别的区域，缺省有Trust、Untrust、DMZ、local和Management5个安全域，同时可以自定义256个区域，并且只能在Web页面进行配置。

 一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。