**
** 1.安全策略都基于区域实施 2.在同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3.一个接口只能属于一个区域,而一个区域可以有多个接口。 **
** 1.两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 2.服务器 内 外网都可以访问,但还是与内网隔离. 就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络.起到安全的策略 **
** 可信任的接口.是局域网的接口.此接口外网和DMZ无法访问. 外部不能访问trust口 DMZ不能访问trust口 **
** 不信任的接口,是用来接internet的,这个接口的信息内网不接受 可以通过untrust口访问DMZ,但不能访问trust口**
**
重点:
**
扩展: 1、域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。 2、域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的。 3、域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发。 4、当域与域之间有inbound和outbound区分,华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound
