通常防火墙是一个路由器，所以路由器的正常配置是在不同的接口上有不同的子网。

在您的图中，正如我猜想的那样，暗示 LAN 是私有的，WAN 是公共 IP 空间，因此“防火墙”实际上不仅执行防火墙工作（过滤），还执行 NAT 路由器工作（路由和地址转换）。

但在某些情况下，将防火墙配置为透明网桥（交换机）而不会对子网架构产生影响是很有用的。

根据您的图表，防火墙内的网络正在使用私有寻址，因此需要 NAT 才能连接到 Internet。NAT 在防火墙上执行，因为核心交换机不太可能执行 NAT。核心交换机可能是第 3 层交换机，因此到防火墙的链路可能是路由链路。

给定防火墙和第 3 层交换机，您确实希望在第 3 层交换机而不是防火墙上进行路由。在防火墙上进行路由是可能的，但是如果您的第 3 层交换机可以执行这些服务，为什么要让防火墙上的处理器承担路由器可能提供的所有服务，例如路由、QoS、NetFlow 等.

该图似乎非常简单，但您真的很可能在核心交换机的 LAN 端有多个 VLAN/子网。

根据您的图表，没有直接优势。

但是，我怀疑内部网络比单个平面 LAN 更复杂。在这种情况下，“核心交换机”是内部（“inter-vlan”）路由器。这将是快得多比防火墙可以路由的任务永远是。首先，防火墙是一个单一的接口（“端口”），而交换机有几十个（如果不是几百个）端口。

在您发布的图表中，右侧引用了具有 10.10.0.0/24 网络的 Vlan10。根据该观察，您可以推断有一个管理网络 172.16.1.x，它将被设置来配置您的设备。

这可能是出于安全考虑，您不希望公司中的任何人都能够访问您的防火墙 web gui，或切换 SSH 端口等。