1  背景概述

传统防火墙设备提供了两种工作模式：路由模式和透明模式。当防火墙处于路由模式时，防火墙作为三层设备，可以帮助解决内部网络使用私有地址问题，此时防火墙需要处理一些简单的静态路由，防火墙和用户网络也需要进行相关的调整和配置；当防火墙处于透明模式时，防火墙作为二层设备，对于用户网络透明接入，防火墙网络接口无需配置IP地址，用户网络也无需进行任何调整或者配置，但无法解决用户内部网络使用私有地址问题。

随着实际组网环境的不断变化，单纯路由模式或者透明模式的防火墙已经无法适应用户的组网需求，因此，SecPath系列防火墙引入了对防火墙混合模式接入的支持----即一台防火墙可同时工作在路由和透明模式下，便于SecPath系列防火墙接入各种复杂的网络环境以满足企业网络多样化的部署需求。

2  SecPath系列防火墙混合模式特点

SecPath系列防火墙支持业界最完整的混合工作模式，将防火墙工作模式的灵活性发挥到了极至，无论用户是多么复杂的网络环境，无论是什么样的安全隔离需求，都可以帮助用户轻松解决。

2.1  支持多个桥组

l         桥组范围为：1 - 255

l         同一桥组下支持的接口数最大256个

l         系统支持的属于桥组的接口数最大1000个

2.2  支持多种类型的接口

l         默认情况下接口不属于任何桥组，为三层接口，依据路由转发；当接口加入某个桥组，变为二层接口，依据MAC地址表进行转发。

l         可以加入桥组的接口：（1）以太网物理口；（2）子接口；（3）Tunnel口（只支持GRE封装）

2.3  支持桥组虚接口

l         路由转发

l         IP快转

l         GRE封装

l         防火墙包过滤

l         热拔插

l         双机热备

2.4  支持基于MAC地址表的二层交换

l         支持反向地址学习

l         依据目的MAC地址查找与入接口在同一桥组的出接口

l         支持地址老化

2.5  支持未知出接口的帧的防火墙控制

l         支持广播报文广播或丢弃

l         支持多播报文广播或丢弃

l         支持单播报文广播，ARP-Drop或丢弃

2.6  支持针对以太网帧头的过滤

l         依据入接口以太网帧头过滤规则进行过滤

l         依据出接口以太网帧头过滤规则进行过滤

2.7  支持VLAN透传

3  典型组网案例

图1 SecPath系列防火墙混合模式典型应用

对于企业内部网络，SecPath防火墙使用路由模式，解决内网使用私有地址并使用NAT访问Internet;对于对外提供应用服务(使用公网地址)的服务器，SecPath防火墙使用透明模式，无需对服务器相关设置进行任何修改即可正常运行，方便快捷。

                                        图2 SecPath系列防火墙混合模式典型应用

SecPath系列防火墙混合模式支持GRE 2层封装，帮助实现位于不同机构内网的设备进行互访。