VPN-шлюз перед брандмауэром

Размещение VPN-шлюза перед брандмауэром приводит к тому, что между ними нужно передавать как открытый, так и зашифрованный траффик. Брандмауэр обрабатывает весь траффик, причем фильтрация изначально зашифрованных данных выполняется после их дешифрования VPN-шлюзом. Недостаток такой схемы – открытость VPN-шлюза для атак со стороны публичной сети (он обязан пропускать транзитом через себя весь незашифрованный траффик, а именно с помощью такого траффика и предпринимаются атаки). При этой конфигурации никогда не известно, был ли поврежден VPN-шлюз после атаки. Схема обладает низкой надежностью, поскольку при выходе шлюза из строя нарушается единственная связь корпоративной сети с публичной.