经典防火墙的操作指导书

子网的判断就很困难，因此，当防火墙工作在透明模式之下，是依据系统IP和对应的子网掩码来判定是否添加ARP表项的，如果系统IP和掩码配置的不正确，肯定会造成网络某些应用无法正常使用的问题，必须要注意。为了防止针对防火墙的arp flood攻击造成过多的ARP表项，可以通过命令undo firewall arp-learning enable禁止防火墙动态创建ARP表项，此时为了访问系统IP，需要手工创建一个静态的ARP表项，访问才能成功。

由于透明模式的防火墙接口没有IP地址，对外表现为一个二层设备，因此不能支持NAT、IPSEC、路由协议等功能，当防火墙从路由模式切换到透明模式时，可能有些配置不能再起作用，或者有些动态生成的的信息（如路由表）需要删除，建议在切换之前手工删除无用的配置信息，保存当前配置（输入save命令），并且在模式切换之后将系统重启，以保证无用资源的释放。

透明模式的主要优点是可以不改动已有的网络拓扑结构

透明模式下，NAT、双机热备份以及攻击防范中的IP spoofing功能都不可用。

由于处理方法的不同，防火墙在透明模式下的转发能力低于在路由模式下工作的情况。

2.3.4 混合模式

顾名思义，混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。

在混和模式下，每个接口的工作模式是由接口上是否配置了IP地址来区分的。如果一个接口不配置IP地址，它就属于透明模式的接口，如果给它配置了IP地址，它就工作于路由模式。工作在路由模式下的接口可以配置VRRP，我们可以通过将真正提供服务的接口设置在透明模式，将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。

理论上我们可以支持报文在属于透明模式和路由模式的接口之间转发，此时，透明模式接口下面的网络，需要将网关地址设置为防火墙的系统IP。这一点在NS的设备上是不能做到的。但是，这种应用并没有考虑成熟，暂时也没有进行细致的测试，因此目前需要避免这种应用。在后期版本中，我们会考虑规划这个功能。

需要注意的一点，现在混合模式由于没能够实现STP协议，在进行双机热备份的时候有严重问题，因此双机热备功能不可使用。也就是说透明模式（混合模式）不能支持双机热备份，只有路由模式下有此功能。

2.4 访问控制策略和报文过滤

2.4.1 访问控制策略的异同