安全区域实验拓扑开始之前先通过一台主机和防火墙相连，设置主机的IP地址和网关，开启防火墙设置防火墙接口g1/0/1的IP地址为192.168.1.254，将防火墙设置为主机的网关，尝试能不能用主机ping通防火墙。尝试之后，发现失败，不能正常通信。学习之后了解到防火墙的安全区域，才知道不能ping通。

防火墙通过设置不同的安全区域对来自不同的网络流量加以区分，用来表达所连接的网络的安全程度。防火墙会通过将接口划分到一个划定的安全区域，表示这个接口所连接的网络属于一个安全区域。而这个接口本身处于一个Local的安全区域，其所连接的网络又表示一个安全区域。

例如，防火墙将接口4划分到安全区域C之后，表示的是接口4所连接的网络属于安全区域C，而接口4并不属于安全区域C。

防火墙默认的安全区域：Trust（信任区）比如内网公司的内部网络、Untrust（非信任区）比如互联网Internet外网容易受到攻击流量、DMZ（Demilitarized Zone）介于安全与非安全的一种区域比如服务器，既服务内网又服务外网，当被外网攻击的时候服务器容易变成肉鸡攻击内网，介于安全与非安全的区域。

注意，防火墙自己的接口也有安全区域，叫做Local，意味着防火墙的接口是属于Local的安全区域。如果防火墙的接口需要使用，就必须将这个接口划分到安全区域，才能使用，可以理解为划分到安全区域就是对这个接口进行管控，对这个接口通过的流量进行管控，只用防火墙的接口进行管控之后才能被使用。

在刚刚的试验中，因为只是对接口进行IP地址的配置，没有将接口划分进安全区域，所以不能使用，主机也就无法ping通防火墙。

在防火墙中通过命令来查看防火墙的安全区域的配置
命令：<FW01>dis current-configuration，查看当前配置有四个安全区域，分别是：Local安全程度是100、Trust安全程度85、Untrust安全程度5、DMZ安全程度50。可以看到在默认情况下g0/0/0口已经默认属于Trust区域，所以在防火墙上g0/0/0可以不用给g0/0/0划分安全区域，可以直接使用。

那将一个接口划分到安全区域，只要进入这个安全区域，然后添加接口就可以。
命令：[FW01]firewall zone trust，在系统视图下进入安全区域
命令：[FW01-zone-trust]add interface GigabitEthernet 1/0/1，在这个安全区域内添加接口
然后查看配置信息，g1/0/1接口已经添加进Trust安全区域。
现在接口已经划分了安全区域，试验测试一下主机能不能ping通防火墙发现主机还是不能和防火墙连接通信。
发现这个主机所在的网络是Trust的区域，而这个接口g1/0/1是属于Local的区域，在主机通信的时候，相当于从Trust的区域去访问Local的区域。但是每个Local的接口自身是包含一个访问控制安全策略，包括http、https、ping、ssh、snmp、telnet等权限的限制，只有开启这些权限接口才能为这些服务
命令：[FW01-GigabitEthernet1/0/1]service-manage all permit，打开接口g1/0/1的服务权限查看配置情况就已经打开了接口的服务权限。
开启接口下的服务权限之后，再用主机去ping防火墙，通信成功。
接口的服务权限是拦截两个安全区域之间流量来使用的。

注意系统的默认安全区域的优先级（安全程度）是不能更改的
命令：[FW01-zone-trust]set priority 80，设置优先级，后面加数字
提示错误，不能修改（modify）系统安全区域的优先级。

防火墙通过受信任级别来控制他的安全程度，收信任级别越高，其安全程度越高。

防火墙支持自定义安全区域。
命令：[FW01]firewall zone name test1，在系统视图下自定义安全区域后面跟上安全区域的名字test1
查看一下配置，在每个安全区域都有一个id，这个id（4-9）可以自己配置，
命令：[FW01]firewall zone name test2 id 5，创建防火墙区域名字是test2配置的id是5
查看配置。
然后对每一个创建的安全区域都要设置一个安全优先级
命令：[FW01-zone-test1]set priority 15，在之前创建的test1下设置优先级15查看配置情况。
设置好优先级之后，给定义好的安全区域添加接口

注意，一个接口只能设置在一个安全区域内。
命令：[FW01-zone-test1]add interface GigabitEthernet 1/0/1，这里是给自定义的安全区域添加接口为g1/0/1，但是在默认的Trust安全区域内已经添加了g1/0/1，意味着一个接口只能划分在一个安全区域。

这个时候就要undo掉之前设置的接口
命令：[FW01-zone-trust]undo add interface GigabitEthernet 1/0/1，在Trust安全区域下undo掉添加的接口然后查看配置信息，已经取消掉，g1/0/1在Trust区域上
然后在把G1/0/1接口添加到test1上。
命令：[FW01]firewall zone test1，进入到test1安全区域
命令：[FW01-zone-test1]add interface GigabitEthernet 1/0/1，将g1/0/1接口划分到test1查看配置信息

用命令：[FW01]display  current-configuration，可以查看当前防火墙配置的信息
接口g1/0/1的接口服务权限已经全部打开
自己添加的安全区域也能查看到test1和test2。

将test2安全区域删除
命令：[FW01]undo firewall zone name test2，在系统视图下undo掉安全区域 test2查看配置信息，test2安全区域已经被删除。