Настройка DMZ и ограничение пропускной способности межсетевого экрана

Я занимаюсь перемещением серверной комнаты в центр обработки данных, и сейчас хорошее время, чтобы проверить текущие настройки для зон безопасности. Мы используем Vsphere 4 Standard и межсетевой экран Cisco ASA 5510. На данный момент межсетевой экран является единой точкой подключения для всех зон DMZ, LAN, WAN и Backend, поэтому весь трафик между всеми зонами проходит через это устройство межсетевого экрана со скоростью 100 Мбит / с.

Некоторое время это работало, однако новые сервисы, которые мы развертываем, потребуют быстрого соединения между некоторыми зонами, т.е. запросы к базе данных и передача файлов, поэтому скорость 100 Мбит / с станет узким местом.

Одно из возможных решений, предлагаемых для DMZ:
- используйте отдельные VNIC для каждого узла DMZ, один для внешнего подключения, используемый клиентами, обращающимися к нему из WAN, другой для подключения к Backend / LAN зонам. - В результате VNIC1 подключается к брандмауэру для фильтрации внешних ненадежных соединений. Однако VNIC2 обходит брандмауэр, и вся фильтрация выполняется на уровне iptables или брандмауэре Windows 2008. Это решает проблему ограничений полосы пропускания между DMZ и Backend, налагаемых брандмауэром.

Однако этот дизайн устраняет централизованную модель безопасности, которую мы использовали с одним устройством, и создает головную боль управления с разрозненными настройками iptables, привязанными к серверам. Должен быть лучший способ сделать это. Что бы вы посоветовали? У меня есть ощущение, что здесь могут помочь функции Vsphere Enterprise Plus, например распределенный коммутатор и зоны vShield. Мы планируем получить его в следующем году, но даже если это поможет, нам все равно нужно какое-то решение.
Буду признателен за любой совет или материалы для чтения,

большое спасибо

Сергей