Junos-host zone 可用于添加额外的检查，以检查发往 SRX 的流量。如果您没有为区域 junos-host 配置任何安全策略，流量/数据包将host-inbound-traffic根据安全区域下的配置进行验证 。如果您将安全策略配置为区域 junos-host，则将对区域下指定的主机入站流量/服务进行额外的策略检查。

例如，如果您在接口 ge-0/0/0.0 下允许 SSH/Telnet/OSPF，但将安全策略配置为允许 SSH 的区域 junos-host，则 Telnet/OSPF 将无法工作。只有 SSH 可以工作。

更多阅读： Link-1 Link-2

入站数据包将按以下顺序通过：

1. 输入接口过滤器，如果设置
2. 区 host-inbound-traffic
3. 区域到区域策略

如果流量通过 1 步，它仍然可以在 2 或 3 被拒绝。假设：

1. 未应用界面过滤器
2. host-inbound-traffic 设置 system-services ssh
3. 从区域zone1到区域junos-host 的策略仅允许 ICMP ping

结果，不允许 ICMP ping，不允许 SSH。第 2 步将丢弃 ICMP ping；SSH 将在第 3 步中删除。