在当前的网络安全领域，防火墙的配置方式多种多样，其中两种常见的组网模式是三层路由网关和二层透明网桥。这两种模式各有特点，适用于不同的网络环境。下面我们将详细介绍这两种模式的应用拓扑、模式特点以及配置方法。
首先，三层路由网关模式是一种常见的组网方式，它类似于传统的路由器工作模式。在这种模式下，防火墙的防火墙业务接口ip地址作为连接网段中设备的默认网关。这种模式的一个主要优势是可以替代路由器使用，实现内部不同网段之间的数据通信以及内网与外网的通信。防火墙能够启用路由和NAT功能，对网络安全防护能力较强。
### 应用拓扑
三层路由网关模式通常适用于需要严格管理和控制数据流量的网络环境。在这种拓扑中，所有流量都需要经过防火墙进行转发，因此可以确保数据的安全性和可靠性。
### 模式特点
1. 可替代路由器使用：通过设置防火墙的IP地址作为默认网关，减少了对传统路由器的依赖。 2. 报文处理机制完善：由于所有数据流量都经过防火墙，因此可以更好地管理和监控数据包，增强网络安全。
接下来，我们来看二层透明网桥模式。这种模式与传统的二层交换机类似，不会改变原有的网络结构，适用于需要保持网络稳定性的环境。
### 应用拓扑
在二层透明网桥模式下，防火墙的作用类似于一个二层交换机，它能够透明地转发数据流量，不影响原有网络的正常运行。
### 模式特点
1. 不改变原有网络结构：这种模式不会对现有的网络架构产生任何影响，保持了网络的稳定性和连续性。 2. 可以与路由模式共存：在实际网络环境中，三层路由网关和二层透明网桥模式可以同时存在，实现更灵活的网络配置。
### 配置方法
对于三层路由网关模式的配置，用户需要设置防火墙的IP地址作为默认网关，并启用路由和NAT功能。具体步骤可参考《【TL-FW6300】防火墙配置指南——三层路由网关实例设置》。
而对于二层透明网桥模式，配置过程稍微复杂一些，主要包括以下步骤：
1. **进入防火墙管理界面**：通过连接防火墙的MGMT接口，并设置电脑的IP地址，登录到防火墙管理界面。 2. **设置网桥接口**：在防火墙管理界面中，设置网桥名称、包含接口以及生成树（STP）等参数。 3. **划分安全区域**：根据接口连接的设备类型，将接口划分到相应的安全区域，如untrust、dmz或trust等。
通过上述步骤，用户可以完成防火墙的配置，实现数据的透明转发和有效的网络安全保护。不同的网络环境可能需要不同的配置策略，因此用户应根据实际情况选择最合适的组网模式。

目录

三层路由网关模式介绍... 1

1. 应用拓扑... 1

2. 模式特点... 1

二层透明网桥模式介绍... 1

1. 应用拓扑... 1

2. 模式特点... 1

两种模式的配置方法... 1

1. 三层路由网关模式... 1

2. 二层透明网桥模式... 1

TL-FW6300目前支持两种组网模式：1.作为三层路由网关接入网络；2.作为二层透明网桥接入网络。下面分别对上述两种组网模式进行介绍。

三层路由网关模式介绍

1. 应用拓扑

2. 模式特点

可替代路由器使用 防火墙业务接口的IP地址作为所连接网段中设备的默认网关，实际部署时可能需要改变现有的网络拓扑结构，可在防火墙上启用路由和NAT功能，内部不同网段之间数据通信通过路由进行转发，内网和外网之间通过NAT地址转换后实现数据通信。

报文处理机制完善 无论是内网不同网段之间的数据通信，还是内网与外网之间的数据通信，所有流量都需要经过防火墙转发，这种情况下防火墙的报文处理机制更加完善，对网络安全防护能力更强。

二层透明网桥模式介绍

1. 应用拓扑

2. 模式特点

不改变原有网络结构 使用二层网桥模式之后，原有网络中不同网段之间的数据转发还是依赖于网络中的路由器和三层交换机，但是只要数据流量经过防火墙的不同网络接口，就能够命中防火墙中的安全策略。

可以与路由模式共存 在实际网络环境中，三层路由网关模式与二层透明网桥模式是可以共存的，我们可以将防火墙的部分接口设置成网桥模式，部分接口设置成路由模式，根据实际需求，选择最合适的组合，最大程度减少网络拓扑变化与配置工作量。

两种模式的配置方法

1. 三层路由网关模式

详细请见文档：《【TL-FW6300】防火墙配置指南——三层路由网关实例设置》。

2. 二层透明网桥模式

二层透明网桥下，防火墙在安全策略的设置上与三层路由网关模式一样，在文档： 中已经详细介绍，故这里只介绍二层透明网桥的基本设置，并以如下拓扑为例：

基本设置分为三步：

第一步：进入防火墙管理界面

电脑连接防火墙MGMT接口，并给电脑固定IP地址：192.168.1.5/255.255.255.0，在浏览器输入192.168.1.1进入防火墙管理界面，如下图所示。

使用系统管理员身份登录，默认用户名admin，默认密码admin，登录后页面会提示修改防火墙密码，这里我们直接点击“确定”即可，如下图所示。

点击“确定”后，页面会进入快速向导，这里我们点击“取消”，直接进行下一步设置，如下图所示：

第二步：设置网桥接口

点击“网络”——“接口设置”——“网桥设置”，点击“新增”（注意，防火墙只有在出厂状态下才能进行网桥设置，如果已经进行了其他配置，则此处不显示“新增”的按钮），将需要用到的接口设置成网桥，如下图所示：

l 网桥名称：默认为LAN，不可编辑。

l 包含接口：选择要设置成网桥的各个接口，本例中需要用到三个接口，故选择“GE5,GE6,GE7,MGMT”。

l STP：生成树，本例中选择为“启用”。

第三步：划分安全区域

点击“网络”——“安全区域”，可以看到系统默认有四个安全区域，其中三个可以编辑，如下图所示。

GE5接路由器，故将GE5划分至untrust区域，如下图所示：

GE6接服务器，故将GE6划分至dmz区域，如下图所示：

GE7接三层交换机，故将GE7划分至trust区域，如下图所示：

通过上述三步，就完成了防火墙作为二层透明网桥的基本设置，后面还需要进行的安全策略设置、审计策略设置等步骤，与三层路由网关模式一样，详见文档：《【TL-FW6300】防火墙配置指南——三层路由网关实例设置》。