大家好，相信这个问题对于你们是很简单的，但是我一直到现在都不知道怎么处理，大家帮帮忙。

我公司有40多台电脑，用的防火墙是SSG5，这是我第一次使用它。
它有ETHER0/0--ETHER0/5 六个接口。默认的0/0是UNTRUST口。0/1是DMZ口。其他是TRUST口。
现在我自己新建一个ZONE，叫finance,,并把0/3这个接口添加到这个zone里，并且把0/3的IP设为192.168.2.1，其他trust口的IP都为192.168.1.1，服务器在trsut zone里，现在我希望是finance zone里的机器可以访问trust zone的机器。而trust zone 里的不可以访问finance zone的。 我看了说明书，似乎只要做个策略，from trust to finance any any any deny ,from finance to trust any any any permit就OK了，可是就是不行，两者还是没法通信。
那么我现在换个要求，就是两个zone都可以互相访问，就是把上面的策略都permit，但是还是不行，都PING 不通对方的机器。TRUST 区的机器IP都是192.168.1.0段的，而FINANCE区的IP则是192.168.2.0段的，这时我想是不是需要做ROUTE，但是我打开ROUTE 看了，路由似乎都默认添加好的，我晕了，不知道该怎么做了。难道需要额外的路由器？但是我看说明书好象不要啊。
对不起，我是新手，没能把自己的问题讲述清楚，总之，这个问题就是这样，在防火墙上自定义的不同zone之间怎么互相访问？谢谢大家。在线等待！

网络拓朴如何连的？
用来作测试的PC or Server设了网关没有？

首先二个区段的主机的网关要设成防火墙的端口IP，你的网络里是192.168.1.1 192.168.2.1  。第二，把策略里的日志选项打开，看一下数据有没有经过这条策略。BTW，禁卡的策略不用做，默认是全禁止的，没有策略就表示禁止所有流量。如果策略能产生日志，把日志帖上来看看

谢谢楼上2位高手，我接下来按你们的做，然后把结果发上来