ASA: Como conectar o servidor com um endereço IP externo já atribuído?

A solução seria colocar um switch após o modem e conectar o ASA e o filtro de spam ao switch e, em seguida, colocar uma ACL para permitir que os dados do filtro sejam enviados para a rede interna?

Uma DMZ tradicional teria um firewall entre a DMZ e a internet, e uma entre a DMZ e a rede interna. Você pode fazer isso tudo em um ASA, mas isso depende do modelo e do licenciamento.

Internet
--------- Firewall
DMZ (with your spam filter)
--------- Firewall
Inside network

Você pode transformar esse primeiro firewall em um software, executado no servidor de filtro de spam.

Assim, você pode ter o servidor na rede da Internet no que diz respeito ao ASA. Se você tiver portas sobressalentes no seu ASA, basta atribuir uma à rede externa (para ter duas) e conectar seu servidor de spam a ela. Em seguida, crie uma regra de firewall que permita o tráfego do servidor de filtro de spam para sua rede interna, conforme necessário. Se você não tiver uma porta sobressalente, precisará de um switch antes do ASA.

Você pode ficar mais chique usando uma DMZ vlan no próprio ASA e usar o ASA para fazer o firewall do filtro de spam e da rede interna. Este é provavelmente o mais próximo do que o seu Sonicwall estava fazendo.

Não tenho certeza se isso funcionará para você, mas tenho um filtro de spam na nuvem que pode ser usado em meu servidor de troca interno para que pareça uma situação semelhante.

Eu tenho uma regra de acesso de entrada que permite que a fonte 24.172.x.132 fale com o destino x.x.x.x (fora do ip do seu servidor) para o serviço smtp.

Então eu tenho uma regra NAT estática na interface externa para a fonte 192.x.x.x (dentro do ip do seu servidor) para o serviço smtp com o endereço x.x.x.x (fora do ip do seu servidor)

exemplo:

access rule:

outside: 
source;24.172.x.132
destination;server-outside-ip 
service;smtp 
action; permit

NAT Rule:

type;static
no destination
source;server-inside-ip
service;smtp
interface;outside