华为防火墙技术漫谈学习总结：一、安全区域

关于是防火墙local区域的定义：

凡是由防火墙主动发出的报文均可认为是从local区域中发出。凡是需要防火墙响应的而不是转发均可以认为是由local区域接收。

报文在区域之间的流动方向：

报文从高区域向低区域方向流动为出方向；

报文从低区域向高区域方向流动为入方向。

如何判断报文在哪两个安全区域之间流动？

①三层模式下：防火墙是由路由表确定报文将要从哪个接口发出，该接口所属的安全区域就是报文的目的区域；

②二层模式下：防火墙是根据MAC地址表确定报文将要从哪个接口发出，该接口所属安全区域就是报文的目的区域；

关于，源区域：接口在哪个区域接口到报文，该接口所属的安全区域就是报文的源安全区域。

③在×××场景中，防火墙收到的是封装报文，将报文解封装后得到原始报文，然后还是通过路由表来确定目的安全区域；而源区域此时防火墙会采用"反向查找路由表"的方式来确定原始报文的源安全区域。

安全区域的基本配置：新建安全区域是没有级别的。

firewall zone name test

set priority 10-------------------------------创建优先级

add interface g0/0/1

FAQ:一个物理接口下可以配置多少个子接口？

逻辑支持1~4094个；实际没有测试过!!有经验的大侠可以提前告知一下。