网络内的流量直接从主机到主机发送，因此您需要将每台主机放在自己的网络和 VLAN 中，以强制流量通过每台主机上配置的网关。在这种情况下，防火墙。

防火墙需要配置为一个单臂路由器，每个网络中都有一个子接口，以及路由器的不同接口或子接口。

路由器需要了解防火墙后面的所有网络，无论是静态配置（不扩展）还是通过路由器和防火墙之间运行的路由协议。

除非您使用 VLAN 将防火墙和路由器/网关之间的子网与网络的其余部分分开，否则您的物理设置是有缺陷的。当您希望终端节点使用防火墙时，您不能允许终端节点直接与路由器通信。防火墙必须是不同网络区域之间的唯一连接。

所以，要么

1. 在防火墙和路由器之间设置一个单独的 VLAN，并将端节点 VLAN 和路由器 VLAN 中继到防火墙
2. 使用类似于所需逻辑连接的单独物理连接

如果防火墙是透明的（桥接），它可能不支持变体 1。如果它正在路由，则此设置有时称为 router-on-a-stick。