A camada de firewall / IPS triplo não faz muito sentido para mim, a menos que os vários dispositivos possuam conjuntos separados de funcionalidade. Se não houver oportunidade para código ou atividade maliciosa "entre" dois dos dispositivos, e eles realmente estão apenas conectados em back-to-back, parece um gigantesco desperdício de dinheiro.
Uma arquitetura mais tradicional seria algo como:
Internet- > Firewall / IDS- > Servidor Web tier- > Servidor de aplicativos Nível > (Firewall / IPS opcional) - > Banco de dados
Esse firewall opcional entre a camada do servidor de aplicativos e o banco de dados não é realmente útil, mas é exigido pela PCI e, potencialmente, por outras regulamentações. Controles de acesso simples ou um firewall de software no servidor de banco de dados faz mais sentido para a maioria dos ambientes do que para um firewall separado dedicado.
Uma configuração mais complicada, mas potencialmente útil, seria usar uma camada "host de bastion" de web / proxy:
Firewall / IDS- > servidor web / proxy- > Firewall / IDS- > servidores de aplicativos- > (firewall opcional / IPS) - > banco de dados.
Na minha opinião, a configuração acima só faz sentido se o firewall / IDS entre seu host bastion for capaz de fazer mais do que uma simples filtragem de pacotes de estado. Se a funcionalidade do IDS dentro desse Firewall / IDS puder olhar dentro de pacotes HTTP e permitir apenas um conjunto de comportamentos definidos entre a camada da Web / proxy e a camada do servidor de aplicativos, poderá valer a pena.
Observe que qualquer uma das camadas de firewall / IDS pode ser implementada como firewall de software em execução no host de destino. Isso simplifica muito a rede e dimensiona melhor do que as soluções de segurança de hardware. Você desiste do "ponto de estrangulamento" centralizado para monitorar todo o tráfego, mas isso geralmente é um requisito para aumentar a escala. Duvido que o Facebook ou o Google transmitam todo o tráfego por meio de qualquer camada de firewall - a funcionalidade de segurança simplesmente precisa ser distribuída nessa escala.