安全区域（Security Zone），简称为区域（Zone），是防火墙的重要概念，一个 Zone 是防火墙若干接口所连网络的集合（注意，防火墙接口不属于安全区域）；是一个安全的概念，大部分的安全策略都基于安全区域实施；

防火墙大部分的安全策略都基于 Zone 来实施，一个 Zone 内的用户具有相同的安全属性；防火墙是针对区域来实施安全策略的，控制区域间的互访；

一个安全区域是防火墙若干接口所连网络的集合，这些网络中的用户具有相同的安全属性；
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护；

在一台防火墙上不允许创建两个相同安全级别（Priority）的安全区域；
防火墙的接口必须加入一个安全区域，否则不能正常转发流量；
防火墙的一个接口只能属于一个安全区域；
防火墙的一个安全区域可以拥有多个接口；
系统自带的缺省安全区域不能删除，用户可以根据实际需求创建自定义的安全区域；

安全区域特性

安全区域有以下特性：

1）华为防火墙确认已创建四个默认区域，名称均为小写字母，大小写敏感，不能删除，也不允许修改安全优先级；

2）用户可根据自己的需求创建自定义的 Zone；

3）每个 Zone 都必须设置一个安全优先级（Priority），值越大，则 Zone 的安全优先级越高；
在思科中，高优先级可以访问低优先级；
在华为中，区域完全隔离，无法互访，而优先级仅具有字面意义（并无实际用途）；

默认安全区域

华为防火墙确认已创建四个默认区域：

1）本地区域（local），Local 区域定义的是设备本身，例如设备的接口。Local 区域是最高安全级别区域，优先级为 100；
local 区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从 Local 区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由 local 区域接收。用户不能改变 local 区域本身的任何配置，包括向其中添加接口。由于 local 区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与 local 区域之间的安全策略；

2）受信区域（trust），较高安全级别区域，优先级为 85；
通常用于定义内网终端用户所在区域；

3）非军事化区域（dmz），中等安全级别区域，优先级为 50；
通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个优先级比 trust 低，但是比 untrust 高的安全区域中。DMZ（Demilitarized Zone）起源于军方，是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。DMZ 安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备，如 WWW 服务器、FTP 服务器等。上述服务器如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络；如果放置于外部网络，则无法保障它们的安全；

4）非受信区域（untrust），低安全级别区域，优先级为 5；
通常用于定义 Internet 等不安全的网络；

区域间（Interzone）

流量的源、目的地址决定互访的区域；

PC 访问 Firewall Interface 的流量实际上是从 trust zone 到达 local zone；
PC 访问 Internet 的流量实际上是从 trust zone 到达 untrust zone；