防火墙安全区域

在本防火墙上创建不同的“小黑屋”去隔离不同人。（默认情况下把他隔离开）

默认情况下，防火墙上有四个小黑屋：（默认情况下，不同小黑屋之间的设备是无法互通的）

可以理解成为之前疫情的时候；正常人划分到trust区域，无状态划分到dmz区域，感染者划分到Untrust区域

不能将这几类人划分到同一个区域中（小黑屋中），如果划到一个区域（小黑屋）中，拿就扯淡了，全感染了

1.Local（本地）【特殊的小黑屋】

2.Trust（信任）

3.DMZ（非军事化管理）

4.Untrust（非信任）

5.自定义的情况（自己创建小黑屋）

防火墙上有众多安全区域，其中只有local这个和其他的都不一样（含义不一样）。

local区域是一个特殊的区域，是防火墙自身接口所在的区域。

local区域有啥用？

（"所有来找防火墙自身的流量，对于防火墙来说都是找local区域的）

trust、untrust、dmz、自定义这些区域表达的是**该接口下连接着的设备**属于哪个区域。

默认情况下，不同设备被关在**同一个设备**的同一个安全区域（小黑屋）时，是可以直接互通的。

安全区域，通俗来说就是若干个互相隔离开的“小黑屋”，我们需要把用户关到不同的小黑屋中才能够限制他们的通信。（好比把生病了的人和生病了的人关在一起，没生病的和没生病的关在一起，不混住，不然不安全）

胡老师，你把不同设备加入到不同区域中，然后他们不能通信我可以理解。

但是我现在没有把**他们关在不同的小黑屋里**（没有划分区域），为什么还是不通？

答：现在不通是对的！你不把设备加入到对应安全区域中，防火墙是没有办法相信他们都是安全的或者不安全的。

防火墙想要正常帮助业务转发数据包的话，**必须将对应的业务加入到对应的安全区域中**。

举个例子：为什么不把连接对应网络的接口加入安全区域，网络就不能互通

因为防火墙不知道哪个接口连接的区域是安全的，哪个接口连接的区域是不安全的，没办法通过安全策略进行隔离

设备被防火墙划分到同一安全区域时，无需过多配置，只要网络连通性正常，防火墙即可放行。

设备被防火墙划分到不同安全区域时，网络哪怕连通性正常，默认情况下流量也无法经过防火墙。

注意点：接口放ping应用场景：

正常情况下，接口下放ping只是用于区域内的网络设备或者用户主动访问防火墙是使用的

区域之内互访，接口下是不用放ping的，只需要接口划分区域，有路由，就可以实现区域内互访，区域内和区域间流程一样，只不过需要匹配策略路由

区域内或者区域之间转发时：正常情况下，防火墙从某个接口收到数据包之后，剥掉数据帧头部，然后查看IP头部中的目的IP地址，再查看路由表，根据路由表中的出接口来确定目的安全区域是哪个，如果是同安全区域之内互访，无需匹配安全策略，如果不同区域之间互访，需要匹配安全区域才可以

一句话如果开头加上了：“**默认情况下**” “原则性上来说”，那就是有办法咯。

那我现在在不同安全区域中的设备，万一有互访的需求怎么办？详情请看下一个知识点：