上一篇文章《防火墻入門基礎之登錄Web配置界面》已經簡單的介紹了關于華為防火墻的如何配置Web登錄，也開始接觸了關于防火墻安全區域的基本概念。其實防火墻安全區域是一個非常重要的概念，簡稱為區域（Zone）。安全區域是一個或多個接口的集合，是防火墻區別于路由器的主要特征。

防火墻默認情況下為我們提供了三個安全區域，分別是Trust、DMZ和Untrust。

1. Trust區域，該區域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。
2. DMZ區域，該區域內網絡的受信任程度中等，通常用來定義內部服務器所在的網絡。
3. Untrust區域，該區域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡

除了以上三個安全區域外，我們可以根據自身的業務來規劃不能安全區域，可以通過以下命令添加。

[USG6000V1]firewall zone name yewu 

添加完需要對安全區域設置優先級，可以執行如下命令，優先級的范圍為0-100。

[USG6000V1-zone-yewu]set priority 30

我們還可以通過web頁面添加安全區域，以華為USG6000為例，如下圖

安全區域的優先級的作用

每個安全區域都有自己的優先級，用1-100的數字表示，數字越大，則代表該區域內的網絡越可信。報文在兩個安全區域之間流動時，我們規定：報文從低級別的安全區域向高級別的安全區域流動時為入方向（Inbound），報文從由高級別的安全區域向低級別的安全區域流動時為出方向（Outbound）。報文在兩個方向上流動時，將會觸發不同的安全檢查。

下面通過一個案例，來看看安全區的數據的流動。

關鍵配置

把GE1/0/0接口添加到trust安全區域，并配置接口IP地址為192.168.1.1

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

把GE1/0/1接口添加到untrust安全區域，并配置接口IP地址為192.168.2.1

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24

同一個安全區域的內，是否會觸發數據包的檢查？

PC1和PC2屬于同一安全區域的，而PC1、PC2和PC3屬于不同的區域的。在沒有配置任何安全策略的情況下，我們先看看同一個安全區域的是否能ping通。

PC1主機PingPC2主機

通過以上測試結果，我們發現PC1能正常Ping通PC2。這樣就說明了，在同一個安全區內，不會觸發安全檢查。

那么不同安全區域呢，又如何呢？

接著我們通過測試PC1和PC3的相互訪問，驗證不同安全區域的情況。

PC1主機Ping不通PC3主機

通過以上結果，證明了報文在不同的安全區域之間流動時，才會觸發安全檢查。

如果讓PC1能正常訪問PC3，我們可以通過配置安全策略來實現。

我們先配置允許trust區域流量去往untrust。

添加完這一條安全策略，PC1能訪問PC3嗎？我們先來看看效果

從上圖可以看到，PC1能正常PingPC3，說明這個策略是起作用了。我們還可以通過查看策略的命中率。

如果想讓PC3也能正常Ping通PC1，也需要添加一條untrust區域流量去往trust的安全策略。

關于安全策略可以做到很精細的匹配，我這里為了演示方便，就把策略放的很寬，在生產環境中，安全策略是嚴格把控的，所有在學習防火墻重點是在安全策略上。