回答

如果NAT地址池地址与公用网络接口地址不在同一网段上，则必须配置黑洞路由。

如果公共网络的用户主动访问NAT地址池中的地址，则FW在收到此消息后无法匹配会话表，而是根据默认路由转发到路由器，路由器在收到消息后此消息在前锋和路由器之间循环转发，导致路由组。 因此有必要配置黑洞路线。

如果NAT地址池地址与公用网络接口地址位于同一网段上，建议您配置黑洞路由。

在这种情况下，不会发生路由组。 但是，当公共网用户开始大量接入时，FW发送大量的ARP请求消息，也消耗系统资源。 因此，需要配置黑洞路由以避免FW发送ARP消息请求消息，从而节约FW的系统资源。

如果NAT地址池地址与公共网络接口地址匹配，则无需配置黑洞路由。

FW在收到公共网络用户的消息后，发现这是一条访问自身的消息。 此时，取决于公用网络接口所属的安全区域与本地安全区域之间的安全策略，当安全策略允许通过时，对其进行处理； 如果安全策略无法通过，它将被销毁，并且不会出现路由组。

必须为指定协议和端口配置NAT服务器，如果NAT服务器的全局地址和公共网络接口地址不在同一网段上，则必须配置黑洞路由。

如果公共网络用户主动访问NAT服务器的全局地址，则FW在收到此消息后将无法匹配会话表，并根据默认路由转发到路由器，路由器在收到消息后此消息在前锋和路由器之间循环转发，导致路由组。 因此有必要配置黑洞路线。

建议为指定协议和端口配置NAT服务器，如果NAT服务器的全局地址和公共网段中的公共网络接口地址相同，则配置黑洞路由。

在这种情况下，不会发生路由组。 但是，当公共网用户开始大量接入时，FW发送大量的ARP请求消息，也消耗系统资源。 因此，需要配置黑洞路由以避免FW发送ARP消息请求消息，从而节约FW的系统资源。

如果NAT Server的全局地址与公共网络接口地址匹配，则无需配置黑洞路由。

收到FW公用网用户的消息后，如果能匹配Server-map表，则转换目的地，转发给专用网； 如果与Server-map表不匹配，则表示您正在访问自己的消息。 在这种情况下，它取决于公共网络接口所属的安全区域和本地安全区域之间的安全策略，如果安全策略允许通过，将进行处理；如果安全策略不能通过，将将其销毁。 不会生成路由组。

使用NAT策略配置所需的NAT时，建议配置黑洞路由，以避免出现路由组等问题。