Buenas,
A ver si me podéis dar vuestra opinión sobre la segmentación/securización de una aplicación web. El esquema es el siguiente:



La idea es que la aplicación normalmente sea accedida desde la LAN, y que haya algún usuario de fuera de esta LAN que tenga acceso (controlado), de ahí la VPN. Las dudas que tengo son las suiguientes:

- El servidor de Base de Datos es lo más importante y lo que más tengo que proteger. ¿Tiene sentido colocarlo detrás de un firewall? Sólo se podrá acceder a él desde el servidor web y desde el servidor VPN, con algún usuario con privilegios que estará fuera de la LAN.

- ¿Tiene sentido usar kerberos en este esquema teniendo en cuenta que no necesito confidencialidad de datos (puedo transmitir en texto plano) pero no quiero bajo ningún concepto que alguien se me conecte a la LAN y pueda acceder a la web? (también necesito integridad de datos... "me da igual que lo lean pero que no lo modifiquen" ¿Tendría más sentido para esto hacer filtrado por direcciones físicas (MAC) en la LAN que kerberos, dado que no estoy interesado en cifrar información?

Cualquier duda sobre el esquema o comentario es más que bienvenido.

Muchas gracias!

¿El servidor VPN tambien es el router? ¿Y como estan conectados los equipos? ¿Switch, Hub?