Eu pessoalmente tenho um firewall físico separado (Netscreen ou qualquer que seja o seu conforto) que lide com a VPN separadamente e invista em um sistema de gerenciamento fora de banda (como o DRAC da Dell) para fornecer acesso de baixo nível seu servidor (e porta do console do firewall se / quando você quiser atualizar seu firmware) em caso de suspensão ou falha (confie em mim: isso acontecerá) VMs ou host, ou quando você quiser fazer atualizações do Windows sem preocupações, etc. / p>
O Netscreen deve oferecer suporte ao acesso VPN via IPSec com um benefício adicional de dois fatores (certificados e senhas) para autenticação. Já faz um tempo desde que eu usei um, mas acredito que eles têm várias opções de VPN disponíveis.
Usar um firewall de hardware (ou, na verdade, um appliance "Unified Threat Management" como firewalls com todos os recursos que a maioria deles tem hoje em dia) também lhe dará alguma flexibilidade no que diz respeito à proxy SMTP / DNS solicitações, DMZs etc. quando você se muda para um ambiente de hospedagem na Web de produção.