上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录，也开始接触了关于防火墙安全区域的基本概念。其实防火墙安全区域是一个非常重要的概念，简称为区域（Zone）。安全区域是一个或多个接口的集合，是防火墙区别于路由器的主要特征。

防火墙默认情况下为我们提供了三个安全区域，分别是Trust、DMZ和Untrust。

1. Trust区域，该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。
2. DMZ区域，该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。
3. Untrust区域，该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络

除了以上三个安全区域外，我们可以根据自身的业务来规划不能安全区域，可以通过以下命令添加。

[USG6000V1]firewall zone name yewu 

添加完需要对安全区域设置优先级，可以执行如下命令，优先级的范围为0-100。

[USG6000V1-zone-yewu]set priority 30

我们还可以通过web页面添加安全区域，以华为USG6000为例，如下图

安全区域的优先级的作用

每个安全区域都有自己的优先级，用1-100的数字表示，数字越大，则代表该区域内的网络越可信。报文在两个安全区域之间流动时，我们规定：报文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound），报文从由高级别的安全区域向低级别的安全区域流动时为出方向（Outbound）。报文在两个方向上流动时，将会触发不同的安全检查。

下面通过一个案例，来看看安全区的数据的流动。

关键配置

把GE1/0/0接口添加到trust安全区域，并配置接口IP地址为192.168.1.1

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

把GE1/0/1接口添加到untrust安全区域，并配置接口IP地址为192.168.2.1

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.2.1 24

同一个安全区域的内，是否会触发数据包的检查？

PC1和PC2属于同一安全区域的，而PC1、PC2和PC3属于不同的区域的。在没有配置任何安全策略的情况下，我们先看看同一个安全区域的是否能ping通。

PC1主机PingPC2主机

通过以上测试结果，我们发现PC1能正常Ping通PC2。这样就说明了，在同一个安全区内，不会触发安全检查。

那么不同安全区域呢，又如何呢？

接着我们通过测试PC1和PC3的相互访问，验证不同安全区域的情况。

PC1主机Ping不通PC3主机

通过以上结果，证明了报文在不同的安全区域之间流动时，才会触发安全检查。

如果让PC1能正常访问PC3，我们可以通过配置安全策略来实现。

我们先配置允许trust区域流量去往untrust。

添加完这一条安全策略，PC1能访问PC3吗？我们先来看看效果

从上图可以看到，PC1能正常PingPC3，说明这个策略是起作用了。我们还可以通过查看策略的命中率。

如果想让PC3也能正常Ping通PC1，也需要添加一条untrust区域流量去往trust的安全策略。

关于安全策略可以做到很精细的匹配，我这里为了演示方便，就把策略放的很宽，在生产环境中，安全策略是严格把控的，所有在学习防火墙重点是在安全策略上。