接口

根据接口属性分为：物理接口、子接口、VLAN接口、聚合接口。
其中物理口可选择为：路由口、透明口、虚拟网线口、旁路镜像口。
根据接口不同工作层面，可以划分为：二层区域、三层区域、虚拟网线区域。
AF的部署模式是由各个接口的属性决定的。

部署模式

路由模式组网

在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，
相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网
段的IP地址。
此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。
需要修改原网络拓扑，对现有环境改动较大。
一般部署在需要进行路由转发的位置，如出口路由器或替换已有路由器、老防火墙等场景。

透明模式组网

1、接口定义
2、管理地址配置
3、配置路由，一般缺省路由用作防火墙上网，回程路由用作防火墙管理
4、不用配置地址转换
5、应用控制进行访问权限控制
6、安全防护策略实现用户安全防护需求

虚拟网线部署

虚拟网线部署是透明部署中另外一种特殊情况：
和透明部署一样，接口也是二层接口，但是被定义成虚拟网线接口。
虚拟网络接口必须成对存在，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

混合模式组网

用户需求：
某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。
内网用户使用私有地址，通过NAT转换代理上网。希望将AF设备部署在公网出口的位置，实现内外部数
据通信的同时，保护服务器群和内网上网数据的安全。
部署方式推荐：
推荐使用混合模式部署，AF设备连接公网和服务器群的2个接口使用透明access口，连接内网网段使用路由接口。

旁路模式组网

设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火
墙，实现对数据的分析和处理。
需要另外单独设置管理接口才能对设备进行管理。
启用管理口reset功能。
旁路部署支持的功能仅有（只是针对TCP的攻击流量）：
APT（僵尸网络）
PVS（实时漏洞分析）
WAF（web应用防护）
入侵防护系统
DLP（数据泄密防护）
网站防篡改部分功能（客户端保护）