4.5.4防火墙安全域的管理

防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了4个安全区域，这些安全区域也称为“系统安全区域”，分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别，安全级别由高到低依次为Local、Trust、DMZ、Untrust。

(1)Local区域代表防火墙本地系统，所有发往防火墙自身IP地址的报文，都被看作是发往防火墙的Local区域。

(2)Trust区域代表用户网络中的私有网络。

(3)Untrust区域代表公共网络或不安全的网络，如因特网。

(4)DMZ区域是一个既不属于内部网络，也不属于外部网络的一个相对独立的区域，它处于内部网络与外部网络之间。例如，在一个提供电子商务服务的网络中，某些主机需要对外提供服务，如Web服务器、FTP服务器和邮件服务器等。为了更好地提供优质的服务，同时又要有效保护内部网络的安全，就需要将这些对外提供服务的主机与内部网络进行隔离，即放入DMZ区域中。这样既可以有针对性地对内部网络中的设备和这些提供对外服务的主机应用不同的防火墙策略，又可以在提供友好的对外服务的同时，最大限度地保护了内部网络。安全域详细配置如下: