2.2 安全域

安全域可以理解为由一组具有相同安全防护需要的并且互相信任的系统组成的逻辑区域，系统一般预定义3个安全域，分别为可信任的安全域、不可信任的安全域和非军事区（DMZ）。

1）可信任的安全域受信任的程度高，一般用来定义内部网络。

2）不可信任的安全域一般代表不受信任的网络，通常用来定义Internet等不安全的网络。

3）非军事区（DMZ）的受信任程度中等，一般用于定义对外提供服务的服务器所在的区域。

不同安全域之间的通信通过安全策略进行控制，安全域内部默认不受任何安全策略控制，管理员也可根据需要加以限制。

防火墙通过接口来划分不同的网络区域，将接口划分到安全域后，自然就将对应的网络和安全域关联起来。如图2-8所示，根据接口划分不同的安全域，将接口1和接口2划入可信任（Trusted）安全域，将接口4划入不可信任（Untrusted）安全域，将接口3划入DMZ。默认接口1和接口2相连的网络可以互相访问，不受策略控制。

图2-8 根据接口划分安全域