经典防火墙的操作指导书

时候，称之为入方向（Inbound）。举例来说，当数据从属于DMZ的接口进入防火墙，从属于untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。

一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。

2.2.2 域间概念

任何两个安全域之间存在的关系，我们称之为域间关系。说明一个域间的时候可以将两个域的名字放在一起进行描述，比如，trust-untrust域间。前面描述的数据流的方向性，就是域间关系的一个属性。在Eudemon200防火墙上，绝大多数安全相关的配置都是在域间进行的。

不同于域，域间是不需要显式的创建的，用户每创建一个域，就会自动地同每一个已经存在的域产生域间关系。可见，域间关系实际上是一种全连接的结构。但是，由于我们为每个域间赋予了入和出两个方向的属性，域间AB和域间BA实际上是一样的。因此我们规定，对于全部域间，只使用高安全级别在前，低安全级别在后这样一种描述形式。无论用户输入的顺序如何，在处理的时候，都会对应到这种形式的域间关系下。也就是说，在配置的时候，只存在trust-untrust域间，不存在untrust-trust域间。

2.2.3 本地域（Local）

在域的概念中，比较不容易理解的是本地域（Local）。在其他所有预定义域和用户创建的域中，都可以使用添加接口的命令。可以将某个接口（目前只支持以太网接口，以后将会扩展）添加到这个域中，之后，同这个接口相连的网络就被赋予了这个域的属性，我们可以认为这部分网络就是这个域。要理解的是，这个操作真正添加到域中的并不是这个接口本身，而是同这个接口相连接的网络，只是通过添加接口这种形式来表现罢了。

Local域所保护的是防火墙自身，如果允许在local域下添加接口，根据前面的说明，这个接口所连接的网络就会被看作同防火墙本身在同一个安全域中，那么从这个网络发出的针对防火墙的任何访问都是被直接转发的，这大大降低了对设备的防护，同时从概念上也是无法理解的，因此在local域下面不能使用添加接口的命令。

任何访问防火墙自身的报文（包括访问接口IP地址和系统IP地址）都被看作是从入接口所连接的那个域访问本地域的跨域访问，因此会触发相应域间配置的安全策略检查。

举例来说，防火墙接口Eth0的IP地址为192.168.10.1，子网掩码为24位，所连接的网络为192.168.10.0，该接口位于防火墙的trust域。在此情况下，从子网192.168.10.0内任意一台主机向192.168.10.1发起连接，就产生了trust域到local域的入方向数据流，要根据local-trust域间配置的ACL和其他安全策略进行过滤，只有在安全策略允许情况下，连接才能成功。

由于有了本地域，从根本上解决了原来存在的安全控制措施只能针对设备连接的网络，对设