防火墙部署

1.防火墙支持几种模式

答：防火墙支持 nat（路由模式）、透明模式两种模式，不支持混合模式。

2.透明模式和 nat (路由模式) 有什么区别

答：透明模式不支持路由功能、不支持接口模式 ipsec vpn、不支持 sslvpn、l2tp、pptp、gre 功能，仅仅为二层转发。

3.如何实现混合模式场景需求

答：如果需要实现混合模式的场景需求，需要采用 VDOM 方式来实现，把防火划分成两个虚拟域，一个虚拟域做透明模式，另外一个虚拟域做路由模式。

4.什么是 VDOM（虚拟域）模式

答：虚拟域 (VDOM)，可以理解为虚拟防火墙，是一种将一个 FortiGate 设备分为两个或两个以上虚拟设备的技术，它能起到多个独立设备的作用。VDOM 可提供单独防火墙策略。在 NAT/路由模式下，它可完全分开配置，从而为各连通网络或组织提供路由或 VPN 服务，同时 VDOM 之间也可以互访。设备的系统资源可以手动分配给不同的 VDOM。一般常用于需要完成独立分割的多个网络，比如云环境；当存在多个区域，即有透明模式又有路由模式的混合环境，由于 FortiGate 只支持透明模式和 NAT/路由模式，所以这种环境必须用 VDOM 功能来解决。

5.防火墙是否支持旁路部署模式？

答：支持旁路部署模式，接口开启 sniffer 模式，做数据分析之用，使用场景较少，可以用于 ips 测试回访攻击包使用 。

6.wan 口可以单做内网口使用吗？

答：wan 口可以做内网口使用，接口的名称只是一个代号，不具有特殊特性。可以按照自己习惯以及现场环境灵活使用。