华为防火墙安全区域

前言

安全区域（Securicty Zone），简称为区域（zone）。安全区域是一个或多个接口的集合，防火墙通过安全区域来划分网络、标识报文流动的路线。一般情况下，当报文在不同的安全区域之间流动时才会受到控制。
默认情况下，报文在不同的安全区域之间流动时受到控制，报文在同一个安全区域内流动时不受控制。但华为防火墙也支持通过安全策略对同一个安全区域内流动的报文进行控制。
防火墙将接口划分到某个安全区域后，该接口背后的所有设备以及产生的报文都被认为是这个安全区域的设备及报文。以下图为例：

安全区域最主要的作用是通过在防火墙上通过把接口划分到不同的安全区域中，在防火墙上划分出不同的网络，实现不同类型或安全等级的网络的隔离以及报文控制，方便对网络中的报文进行合理的规划和管控。
华为防火墙上已经设置了默认的安全区域分别为Trust、DMZ、Untrust和Local，除此之外我们也可以自定义其他区域供我们使用。

• Trust区域：受信任的区域，该区域的受信任程度高，通常用来定义内部用户所在的网络。
• DMZ区域：非军事区（又名隔离区），该区域的受信任程度中等，通常用来定义内部服务器所在的网络。
• Untrust区域：不受信任的区域，该区域的受信任程度低，通常用来定义Internet等不安全的网络。
• Local区域：指防火墙本地接口所在的区域，也就是防火墙本身。由防火墙本身发出的报文被认为是Local区域中发出的，需要防火墙相应并处理（不是转发）的报文被认为是由Local区域接收的。**需要注意的是Local区域不能添加任何接口，但是防火墙上的所有接口都属于Local区域，管理员是没有办法添加或删除Local区域内的接口的。**设定Local区域的好处是方便控制其他设备访问防火墙自身，也能明确Local区域和各个区域的域间关系。
  

报文在安全区域之间流动的方向

安全级别

因为每个网络的受信任程度不同，所以每个安全区域都必须设置一个安全级别，该安全级别是唯一的，用1-100的数字来表示，数字越大，则代表该安全区域内的网络越可信。对于上述提到的默认安全区域，它们的安全级别是固定的：Local（100）、Trust（85）、DMZ（50）、Untrust（5）。

报文流动方向

报文的流动方向被安全级别所影响，报文由低安全级别的区域向高安全级别的区域流动时为入方向（Inbound）；报文由高安全级别的安全区域向低安全级别的区域流动时为出方向（Outbound）。如下图所示：

防火墙划分了不同的安全区域，并且这些区域直接有了等级明确的域间关系。不同的安全区域就代表了不同的网络，防火墙成为了连接各个网络的节点。以此为基础，防火墙就可以对各个网络之间流动的报文实施管控。

防火墙如何判断报文的安全区域

防火墙怎么确定报文的目的安全区域？
防火墙通过查看报文中的目的地址或目的MAC，在路由表或MAC地址表中查找到对应的出接口，该出接口所属的安全区域就是报文的目的安全区域。
防火墙怎么确定报文的源安全区域？
源安全区域不能简单的根据收到报文的接口来确定，此时防火墙采用“反向查找路由表”的方式来确定原始报文的源安全区域。具体来说，防火墙会把原始报文中的源地址假设是目的地址，然后通过查找路由表确定这个目的地址的报文要从哪个接口发出，该接口所属的安全区域就是报文要去往的安全区域，即源安全区域。
特殊情况
在VPN场景中，防火墙收到的是封装后的报文，将报文解封装后得到原始报文，然后还是通过查找路由表来确定目的安全区域。
我的问题：

1.为什么源安全区域不能简单的根据收到报文的接口来确定？
2.如果源安全区域通过反向查找路由表的方法，那么如果查找路由表后并没有这条明细路由怎么办？难道就认为是默认路由的出接口的安全区域么？
3.文中也提到了确立安全区域分为三层模式或二层模式，那么三层模式下还好说，无论怎么样至少只有一个接口。但是二层模式下如果是全F的报文，我们怎么确定它的安全区域？
4.如果在路由表中没有找到相应的路由又该怎么办，我们认为它是哪个区域的呢？是不是有类似于默认规则，默认将查找不到的路由或MAC当作是untrust区域