“透明”模式:
安全设备会过滤防火墙的封包,不更改IP封包中的任何源或目的信息,所有设备运行起来像是在同一网络的一部分,作用类似于第二层交换机或桥接器,接口的IP地址为 0.0.0.0, 即为任意地址。
缺省情况相下 screenos会创建的区段:
一个功能区段
一个VLAN区段
三个第2层安全区段( V1-Trust, V1-Untrust和 V1-DMZ)
透明模式下安全设备不允许区段间任何信息流(例如 从 untrust 区段到 DMZ区段),若要区段间通信需配置策略
设备发送包(单点传送包,且不知道目的地MAC地址主机)会执行以下操作
1 根据策略确定允许接收源地址信息流区段后,将初始封包大量发送绑定此区段的接口,收到回复后任意接口继续,
缺省的Flood 选项
2 丢弃初始封包,将 ARP查询(和或 trace-route 封包 活动时间值为 1 的 ICMP 回应请求包)大量发送至所有接口(封包已到达的接口除外),再通过从路由器或主机(其MAC地址与初始封包目的地址MAC地址匹配)收到ARP或 trace-route 回复的任意接口发送后续封包