域(zone)是防火墙上的重要概念,防火墙通常放置在网络的边界,路由器通过接口来连接不同网段,防火墙则通过域来表示不同的网络。
安全策略:通过将接口加入域并且在安全区域之间启动安全检查,从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查包括基于ACL和应用层状态的检查, 华为防火墙默认有5个安全区域,并且每个安全区域均设置了安全优先级。分别是:
(1)虚拟区(Vzone)是虚拟防火墙所支持的区域,安全优先级为0;
(2)非受信区(Untrust)是低级的安全区域,其安全优先级为5;
(3)非军事化区(DMZ)是中级的安全区域,其安全优先级为50;
(4)受信区(Trust)是较高级的安全区域,其安全优先级为85;
(5)本地区(Local)是最高级的安全区域,其安全优先级为100。
当然,用户也可以自行设置新的安全区域,定义其安全优先级别,系统最多支持包括5个保留区域在内的16个安全区域。
除Local区域外,使用其他安全区域前,都需要将安全区域分别与防火墙的特定接口关联,即将接口加入安全区域。并且一个接口只能加入到一个安全区域,该接口既可以是物理接口,也可以是逻辑接口,一个安全区域能够支持的最大接口