Os hosts não precisam estar em sub-redes separadas para ter um firewall entre eles.
Os firewalls vêm em diferentes tipos, como um firewall de roteamento ou um firewall de ponte. Quando os firewalls são mencionados sem especificar qual tipo, geralmente é assumido que você quer dizer um firewall de roteamento. Mas, para firewall tráfego entre hosts em uma única sub-rede, o que você precisa é de um firewall de ponte. Alguns firewalls são capazes de atuar como um firewall de roteamento e um firewall de ponte ao mesmo tempo.
Um firewall de roteamento é um roteador que pode filtrar pacotes com base em um conjunto de regras.
Um firewall de bridging é um switch que pode filtrar pacotes com base em um conjunto de regras.
O melhor desempenho seria alcançado se o switch que interconectasse os hosts pudesse atuar como um firewall de ponte. No entanto, assumir o desempenho não é uma alta prioridade e você precisa continuar usando o mesmo switch, você pode olhar para outras opções.
Ao colocar cada host em uma VLAN separada e marcar todo o tráfego na porta conectada ao firewall, você poderá configurar o firewall para atuar como um firewall de ponte. (Assumindo que seu firewall é capaz de agir como um firewall de ponte).
Essa configuração não exige mais nada do switch que o suporte a VLAN. Ele toca em um caso de canto de comutação de VLAN que é fácil ignorar no design, o que significa que é possível que alguns switches tenham uma falha de design que os impeça de funcionar corretamente com um firewall entre as VLANs. A parte complicada é que cada endereço MAC único ficará visível para o switch em portas diferentes, dependendo de qual tag de VLAN é usada. Se o switch usar apenas o endereço MAC de destino como chave ao procurar no CAM, ele não funcionará, um switch com capacidade de VLAN implementado corretamente usa a combinação de tag de VLAN e endereço MAC como chave para pesquisas de CAM.