A resposta para a questão específica sobre configurar a arquitetura de rede existente para suportar balanceamento de carga entre os dois firewalls existentes é configurar um roteador de balanceamento de carga atrás dos firewalls e na frente de sua LAN, ou dois roteadores em HA se você precisa de failover de falha de hardware.
Isso é possível com um roteador Cisco que suporta SLAs IP. Por exemplo. nós fizemos isso com o Cisco série 800 antes. Usando vários gateways, o roteador pode distribuir as duas conexões (atingindo o requisito de balanceamento de carga) e, se necessário, pode usar roteamento baseado em diretivas para enviar todo o tráfego por meio de um link específico com base no IP de origem ou de destino.
O roteador pode ser configurado para monitorar dois endereços IP diferentes, um para cada ISP, e configurado para encaminhar o tráfego para esses IPs apenas para seus respectivos links. Se um desses IPs não puder ser acessado, o IP SLA poderá ser configurado para remover a rota por meio desse ISP, portanto, roteamento somente através do outro ISP que ainda estiver disponível (satisfazendo o requisito de failover). Quando o ISP com falha volta a ficar on-line, o roteador pode ser configurado para adicionar automaticamente a rota de volta e os links são balanceados de carga novamente. Esta é uma configuração relativamente complexa e uma configuração de amostra depende de vários fatores, incluindo a versão do IOS, os tipos de links, a latência, a confiabilidade dos links, a topologia da rede, os requisitos de tráfego de entrada, etc.
Essa configuração também requer um bom teste da lógica de failover e failback no caso de uma falha do provedor. Se o failover entre os links do ISP for muito sensível, você acabará com rotas agitadas e, se não for sensível o suficiente, levará muito tempo para fazer o failover e haverá interrupções de tráfego intermitentes nos dois casos. Note que este método não usa nenhum protocolo de roteamento sofisticado, é configurado com a lógica "roll-your-own".
Desviando-se da pergunta específica que está sendo feita, a melhor opção é desatribuir um ou ambos os firewalls existentes e substituí-lo por uma solução de firewall de alta disponibilidade que ofereça suporte a balanceamento de carga e failover de saída. É uma solução mais simples, e diferentes tecnologias de firewall são normalmente usadas em linha e não em paralelo, com a teoria de que os firewalls de vários fornecedores de camada dupla oferecem uma camada adicional de segurança. Há muitos fornecedores de firewall e tecnologias que suportam o balanceamento de carga de saída (por exemplo, PFSense, F5, muitos mais) e a determinação do melhor seria feita com mais investigação.
Você pode ler sobre Cisco IP SLAs aqui e sobre Rotinamento baseado em políticas do cisco aqui.