Los firewalls modernos casi siempre vienen con más de dos interfaces. Un Fortigate 40c , por ejemplo, uno de los dispositivos de seguridad de clase empresarial más baratos del mercado, destinado a Aplicaciones SOHO, viene con 7! (Cinco de ellos se pueden configurar en un conmutador ... ¡en realidad viene configurado de esta manera de fábrica! Puede volver a configurarlo en interfaces independientes, aunque).
Cada interfaz puede ser protegida por firewall desde las otras: usted controla qué tipo de tráfico y desde quién puede pasar de una interfaz a otra. Ese es el trabajo del firewall. Además, la mayoría de los firewalls modernos también hacen un trabajo creíble como enrutador ... puede configurar redes separadas para su DMZ y su servidor de base de datos, y enrutarlas entre ellas, mientras filtra el tráfico.
Entonces, la respuesta es comprar un firewall basado en la carga de tráfico esperada y dedicar un puerto a Internet, un puerto a la DMZ y un puerto a su servidor de bases de datos, configurar su política de firewall y enrutar para controlar el tráfico. entre ellos.
Puede ser tentador tratar de separar el tráfico mediante VLAN en el conmutador, pero esto es un mala idea si se trata de su estrategia de seguridad, hay formas de atravesar las VLAN.