区域:Zone
·是一个或多个接口的集合
- 一个接口所连网络只能属于一个区域中
- 一个区域可以包含多个接口所连的网络
·通过区域来划分网络、标识报文流动的“路线”,当报文在不同的区域之间流动 时,才会触发安全检查
·每个区域具有全局唯一的安全优先级
·默认情况下
- 报文在不同的安全区域之间流动时,才会触发安全检查
- 报文在同一个安全区域中流动时,不会触发安全检查
- 同时,的也支持对同一个安全区域内经过防火墙的流量进行安全检 查,更加灵活实用
·大部分的安全策略都基于安全区域实施
默认区域:防火墙内置,无法修改安全级别,无法删除
| 名称 |
安全级别 |
场景 |
| 虚拟区(VZone) |
最低级别,安全级别为0 |
虚拟防火墙 |
| 非受信区(Untrust) |
低级级别,安全级别为5 |
外部网络 |
| 非军事化区(DMZ) |
中度级别,安全级别为50 |
公共服务器 |
| 受信区(Trust) |
较高级别,安全级别为85 |
内部网络 |
| 本地区域(Local) |
最高级别,安全级别为100 |
防火墙本身 |
PS:Local区域中不能添加任何接口,但防火墙上所有接口本身 都隐含属于Local区域。USG防火墙最多支持32个区域
区域方向
| 入方向(inbound) |
数据由低向高安全级别的区域传输的方向 |
| 出方向(outbound) |
数据由高向低安全级别的区域传输的方向 |
