防火墙安全域划分的依据和原则是什么？划为几个安全域合适？

一般就是内网和外网的划分，假如内网有很多网段可以进行细化

您好，参考

① 非受信区域 （Untrust）：低级的安全区域，其安全优先级为5。

② 非军事化区域（DMZ）：中度级别的安全区域，其安全优先级别为50。

DMZ（De Militarized Zone，非军事化区），这一术语起源于军方，指得是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用这一术语，指在一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时，将那些需要被公共访问的设备，例如WWW 服务器、FTP 服务器等放置于此。如果将这些服务器放置于外部网络侧他们的安全性无法保障；如果放置于内部网络，则外部恶意用户有可能利用某些服务器的安全漏洞***内部网络。因此，DMZ区域的出现很好的解决了这些服务器的放置问题。

③ 受信区（Trust）：较高级别的安全区域，其安全优先级为85。

④ 本地区域（Local）：最高级别的安全区域，其安全优先级100。

此外，如认为有必要，用户也可自行设置新的安全区域并定义其安全优先级别。

接口、网络和安全区域的关联

除了Local区域以外，在使用其他所有安全区域时，需要将安全区域分别与防火的特定接口相关联，即将接口加入到安全域。

值得注意的是，系统不允许两个安全区域具有相同的安全级别；而且同一接口又不允许分属于两个不同的安全区域。

具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙本身的访问都属于向Local区域发起的访问连接。

另外安全区域与各网络的关联遵循一些原则：

• 内部网络应安排在安全级别较高的区域；
• 外部网络应安排在安全级别最低的区域；
• 一些可对外部提供有条件服务的网络应安排在安全级别中等的DMZ区域。

域间的数据流方向

不同级别的安全区域间的数据流动都将激发防火墙进行按安全策略的检测，管理员可以为不同流动方向设置不同的安全策略。域间的数据流分两个方向：

• 入方向（inboud）：数据由低级别的安全区域向高级别的安全区域传输的方向；
• 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。

您好，请知：

安全域的划分需要根据现场情况来确认。

连接内网的一般是划分到trust区域内，连接外网的一般是划分到untrust区域内。

注意接口加入安全域并放通安全策略或域间策略。

1、安全域的划分是基于业务场景

2、比如最简单的出口，trust链接内网，untrust链接互联网