将G1/0/0划入TRUST区

firewall zone trust
 add interface GigabitEthernet1/0/0

将G1/0/1划入UNTRUST区

firewall zone untrust
 add interface GigabitEthernet1/0/1

在防火墙上配置放行策略

security-policy
 rule name 1
  source-zone trust
  destination-zone local
  destination-zone untrust
  service icmp
  action permit

在防火墙接口上开启所需要的服务

[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit

这样就能实现trust区域的设备能够访问untrust和local区域的设备。

当我们将防火墙放行策略删除到达UNTRUST之后

[USG6000V1-policy-security-rule-1]undo destination-zone untrust 

 TRUST区域无法访问UNTRUST区域

由于当前防护墙策略为单向的，所以UNTRUST区域的设备无法访问防火墙及TRUST区域的设备

所以我们还需要在防火墙策略中加上UNTRUST区域到TRUST区域的策略

[USG6000V1-policy-security-rule-1]source-zone untrust 
[USG6000V1-policy-security-rule-1]destination-zone trust 

同样需要在防火墙接口上放行ping服务

[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 

这样就能实现UNTRUST区域访问防火墙及TRUST区域设备