上一篇文章《防火墻入門基礎(chǔ)之登錄Web配置界面》已經(jīng)簡單的介紹了關(guān)于華為防火墻的如何配置Web登錄，也開始接觸了關(guān)于防火墻安全區(qū)域的基本概念。其實(shí)防火墻安全區(qū)域是一個(gè)非常重要的概念，簡稱為區(qū)域（Zone）。安全區(qū)域是一個(gè)或多個(gè)接口的集合，是防火墻區(qū)別于路由器的主要特征。

防火墻默認(rèn)情況下為我們提供了三個(gè)安全區(qū)域，分別是Trust、DMZ和Untrust。

Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。
DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。
Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)

除了以上三個(gè)安全區(qū)域外，我們可以根據(jù)自身的業(yè)務(wù)來規(guī)劃不能安全區(qū)域，可以通過以下命令添加。

[USG6000V1]firewall zone name yewu

添加完需要對(duì)安全區(qū)域設(shè)置優(yōu)先級(jí)，可以執(zhí)行如下命令，優(yōu)先級(jí)的范圍為0-100。

[USG6000V1-zone-yewu]set priority 30

我們還可以通過web頁面添加安全區(qū)域，以華為USG6000為例，如下圖

安全區(qū)域的優(yōu)先級(jí)的作用

每個(gè)安全區(qū)域都有自己的優(yōu)先級(jí)，用1-100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。報(bào)文在兩個(gè)安全區(qū)域之間流動(dòng)時(shí)，我們規(guī)定：報(bào)文從低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域流動(dòng)時(shí)為入方向（Inbound），報(bào)文從由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域流動(dòng)時(shí)為出方向（Outbound）。報(bào)文在兩個(gè)方向上流動(dòng)時(shí)，將會(huì)觸發(fā)不同的安全檢查。

下面通過一個(gè)案例，來看看安全區(qū)的數(shù)據(jù)的流動(dòng)。

關(guān)鍵配置

把GE1/0/0接口添加到trust安全區(qū)域，并配置接口IP地址為192.168.1.1

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

把GE1/0/1接口添加到untrust安全區(qū)域，并配置接口IP地址為192.168.2.1

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24