上一篇文章《防火墻入門基礎(chǔ)之登錄Web配置界面》已經(jīng)簡單的介紹了關(guān)于華為防火墻的如何配置Web登錄，也開始接觸了關(guān)于防火墻安全區(qū)域的基本概念。其實防火墻安全區(qū)域是一個非常重要的概念，簡稱為區(qū)域（Zone）。安全區(qū)域是一個或多個接口的集合，是防火墻區(qū)別于路由器的主要特征。

防火墻默認情況下為我們提供了三個安全區(qū)域，分別是Trust、DMZ和Untrust。

Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。
DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。
Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)

除了以上三個安全區(qū)域外，我們可以根據(jù)自身的業(yè)務(wù)來規(guī)劃不能安全區(qū)域，可以通過以下命令添加。

[USG6000V1]firewall zone name yewu

添加完需要對安全區(qū)域設(shè)置優(yōu)先級，可以執(zhí)行如下命令，優(yōu)先級的范圍為0-100。

[USG6000V1-zone-yewu]set priority 30

我們還可以通過web頁面添加安全區(qū)域，以華為USG6000為例，如下圖

安全區(qū)域的優(yōu)先級的作用

每個安全區(qū)域都有自己的優(yōu)先級，用1-100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。報文在兩個安全區(qū)域之間流動時，我們規(guī)定：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向（Inbound），報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向（Outbound）。報文在兩個方向上流動時，將會觸發(fā)不同的安全檢查。

下面通過一個案例，來看看安全區(qū)的數(shù)據(jù)的流動。

關(guān)鍵配置

把GE1/0/0接口添加到trust安全區(qū)域，并配置接口IP地址為192.168.1.1

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

把GE1/0/1接口添加到untrust安全區(qū)域，并配置接口IP地址為192.168.2.1

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24