Eu moveria VPN para o firewall (qualquer Cisco básico pode lidar com isso muito bem)
Configure duas zonas, sua "zona segura", que contém seu banco de dados & servidores de back-end, qualquer coisa que armazene informações privadas ou confidenciais.
Em seguida, sua DMZ para seu (s) servidor (es) da web. Se o seu servidor web for invadido (é mais uma questão de quando, então se.) Eles não têm acesso direto a máquinas com informações confidenciais.
Edit: Supõe-se que você tenha um firewall capaz de fazer VPN. (você não mencionou nada sobre um firewall. Se você não fizer isso, eu colocaria a VPN no servidor da Web. Não a opção melhor , mas poderia ser pior. Eu também sugiro algum tipo de logging / Para os seus servidores da web, no caso de ficarem comprometidos, você saberá o mais rápido possível.Esperamos que você possa desligá-los antes de obter as Chaves VPN, começar a martelar seus bancos de dados ou começar a causar grandes problemas: P. >