深信服SG-3800网络结构变更后无法访问外网 100

原网络如图所示：访问外网等一切正常

在核心交换机和深信服SG之间增加防火墙设备做策略路由。

1.从内网ping和从深信服ping，都无法ping通外网。
2.但可以在内网访问深信服的172.16.11.254 管理页面；
3.查看深信服发现，流量可以从深信服的eth0转发至eth2；
4.查看深信服发现eth0转发至eth2的数据包，源地址全部都是防火墙的LAN4的IP；
5.防火墙LAN4的IP在深信服被认证成了一个单IP用户。

所有内网用户都无法访问到外网，那么深信服SG需要做哪些相应的修改才能解决问题。

估计可以结题了（有说错的地方不要介意）：
1.跟防火墙公司的人明确了，透明模式只能通过LAN3和4捆绑成网桥实现。
2.网桥走的流量无法通过策略路由分流到LAN2。
3.混合部署会形成两个隔离的局域网，但是新线路和深信服SH的返回数据，是进入同一个原有内网的。
4.题目描述的原方案中，防火墙的路由模式造成防火墙之于内网和深信服的不透明，防火墙相当于将内网用户都做了NAT，引起作为用户认证的深信服只能识别到单IP用户，内网用户从而无法上网。
5.在不迁移网关的情况下，防火墙为新线路转发的方式应该不能实现。
6.现在只能通过更改核心交换机的路由模式让其支持策略路由，或者直接用深信服SG的DMZ口接新线路做策略路由。
7.采纳@zhb的答案的原因，是该同学最先指出了这个问题的关键，并且比其他同学更加认真明确了我提出的需求，也很中肯的认为混合模式不一定能解决问题。
8.也特别感谢@kkk  和@qinpeng 两位童鞋的认真回答。
谢谢！