防火墙透明模式的配置包括：

    1 配置防火墙的工作模式

    2 配置防火墙的系统ip 地址

    3 启动/禁止arp 学习功能

    4 配置对未知目的mac 地址的ip 报文的处理方式

    5 配置基于mac 地址的访问控制列表

    6 配置在接口上应用访问控制列表

    7 配置mac 地址转发表的老化时间

    8 配置允许通过的报文类型

    8.2.1 配置防火墙的工作模式

    请在系统视图下进行下列配置。

    缺省情况下，防火墙工作在路由模式（route）下。

    当防火墙工作在透明模式时，系统自动启动桥接功能。仅secpath f 系列防火墙支持防火墙工作模式的配置。

    当防火墙工作在透明模式时，部分攻击防范特性和命令将不可用。

    8.2.2 配置防火墙系统ip 地址

    当防火墙工作在路由模式下时，其所有接口都工作在第三层，即可以为接口配置ip地址等第三层属性；当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即转换为交换端口，且不能为接口配置ip 地址等第三层属性。此时若要对防火墙进行管理或使其提供网络服务（例如telnet 或snmp），防火墙必须拥有ip 地址，可以为防火墙配置系统ip 地址用于代替接口ip 地址以解决此问题。

    请在系统视图下进行下列配置。

    当防火墙被配置为工作在透明模式下时，若此时系统中不存在loopback0 接口，则系统会为防火墙创建一个地址为169.0.0.1/8 的loopback0 接口，此地址将为缺省的系统ip 地址；若系统中已存在loopback0 接口，loopback0 接口的地址将被设为系统ip 地址。当修改loopback0 接口的地址或删除loopback0 接口时，系统ip地址也会被修改或删除。可以使用firewall system-ip 命令修改系统ip 地址。当防火墙工作在路由模式下时，不能配置系统ip 地址。

    8.2.3 启动/禁止arp 学习功能

    当防火墙工作在透明模式时，内部和外部网络之间跨越防火墙进行通讯，某设备对自身进行访问或发起某对外连接，这都需要产生arp 请求和arp 响应，防火墙会自动学习arp 表项以备将来的地址解析需求。

    由于系统维护的arp 表项总数目是有限的，当防火墙遭受arp flood 攻击时，可能会因为过多的无用arp 表项而影响防火墙正常arp 解析功能。为了防止这种情况的发生，建议先禁止防火墙arp 表项学习功能，并通过命令人工添加实际使用的静态arp 表项。

    请在系统视图下进行下列配置。

    缺省情况下，当防火墙工作在透明模式下时，防火墙启动arp 表项自动学习功能。

    8.2.4 配置对未知目的mac 地址的ip 报文的处理方式

    当工作在透明模式下的防火墙接收到未知目的mac 地址的ip 报文时，即不能根据目的mac 地址找到出接口，则防火墙根据配置情况可以用三种方式进行处理：

    1 直接丢弃该未知目的mac 地址的ip 报文。

    2 向除接收到该报文的接口外的其它所有接口（接口必须属于某一安全区域）广播arp 请求报文，并且丢弃原来的未知mac 地址的ip 报文。收到arp 响应报文后，保存mac 地址和接口的对应关系。

    3 将此未知目的mac 地址的ip 报文从除接收接口外的其它所有接口（接口必须属于某一安全区域）发送出去，待收到响应报文后，将建立mac 地址与接口之间的对应关系。

    请在系统视图下进行下列配置。

    缺省情况下，防火墙对单播ip 报文按照arp 方式进行处理，而对广播和组播报文按照drop 的方式进行处理。

    8.2.5 配置基于mac 地址的访问控制列表

    创建基于mac 地址的访问控制列表，acl 的序号为4000～4999。

    请在系统视图下配置acl 命令，在acl 视图下配置rule 命令。

    缺省情况下，未创建任何基于mac 地址的访问控制列表。

    8.2.6 配置在接口上应用访问控制列表

    请在接口视图下进行下列配置。

    缺省情况下，未在入/出接口方向上应用访问控制列表。

    要将基于mac 地址的访问控制列表应用到接口上，防火墙必须工作在透明模式下，否则系统会提示错误信息。

    8.2.7 配置mac 地址转发表的老化时间

    mac 地址转发表的老化时间是指在该表项在地址表中的生存时间，老化时间由老化定时器控制，若该定时器超时，就将该表项从地址表中删除。

    请在系统视图下进行下列配置。

    缺省情况下，mac 地址转发表的老化时间为300 秒。

    8.2.8 配置允许通过的报文类型

    可以配置透明防火墙是否允许bpdu（bridge protocol data unit，桥协议数据单元）、dlsw（data link switching，数据链路交换）和ipx（internetwork packet exchange，网际报文交换）报文通过。

    请在系统视图下进行下列配置。

    缺省情况下，防火墙不允许这些类型的报文通过。

    8.2.9 配置vlan id 透传

    vlan id 透传是指接口直接转发报文，不对该报文中的vlan id 做任何处理。即使出接口上有vlan id 的情况下，也不会改变报文原有的vlan id。

    请在接口视图下进行下列配置。

    缺省情况下，禁止接口的vlan id 透传功能。

    当以太网子接口配置vlan id 后，该子接口只会接收这个vlan 的数据，这就决定了该桥组负责传输哪些vlan 的数据。

    在使能vlan id 透传功能以后，系统不对报文的vlan id 做任何处理，两端相连的交换机可以看成是直接相连的。为了正常通信，用户需要给两端交换机的trunk口配置相同的vlan id。

    如果某个接口启用vlan 透传，那么这个接口对应的物理接口和相应的子接口必须配置基于接口的访问控制列表以过滤从本接口收到的报文，防止报文又被转发回去。