Настройка новой DMZ для веб-серверов

Когда дело доходит до безопасности, VLAN ACL, политики межсетевого экрана DMZ и т. Д. Я новичок. Так что любая помощь будет оценена.

Мы пытаемся спроектировать нашу сеть для размещения всех наших веб-доступных серверов в DMZ. У нас есть Watchguard Firewall и Dell Layer 3 Switch. Все наши веб-серверы являются виртуальными и размещены в кластере Hyper-V.

Мы установили две новые VLAN на коммутаторе уровня 3, которые называются DMZ (VLAN 210) и CMZ (VLAN 211), каждая со своей подсетью в диапазоне 172.20.XX. Каждый из наших веб-серверов имеет два сетевых интерфейса, по одному для каждой из новых сетей VLAN. Мы пытаемся заблокировать весь доступ к нашей локальной сети с помощью правил ACL на коммутаторе уровня 3 и разрешаем доступ только к брандмауэру, который находится в его собственной VLAN 200. На брандмауэре мы настроили подсети VLAN. В VLAN 210 мы хотим иметь доступ к Интернету только для обновлений Windows, поскольку наши веб-серверы не будут присоединены к домену. В VLAn 211 мы хотим разрешить доступ к нужным внутренним серверам через брандмауэр.

Когда у нас нет никаких правил ACL для 210 и 211, мы можем пинговать все внутренние серверы и подключаться к Интернету на веб-серверах. Когда мы применяем ACL, который блокирует все внутренние подсети, но разрешает все другие подсети, кажется, что ничего не работает правильно. Мы попытались сделать некоторые "добавления маршрутов" на веб-серверах, чтобы они указывали на правильные внутренние серверы, но, опять же, с ACL на месте, похоже, ничего не работает.

Мои два начальных вопроса: кажется ли то, что мы пытаемся сделать, хорошим способом работы с имеющимся у нас оборудованием? И нам нужно сделать некоторую маршрутизацию на Коммутаторе Уровня 3, чтобы заставить это работать? Пока я ничего не сделал и не уверен, как.

Спасибо!!