Aggiornato per tenere conto dell'accesso a Internet zero:

Come hai detto, lo switch può essere configurato per instradare il server ISA per separare l'applicazione dagli utenti. Dal tuo modello sembra che ti aspetti che ISA esegua una VLAN pubblica e privata attraverso la sua connessione allo switch.

Più tipicamente avere un firewall dual homed è considerato più sicuro, poiché il traffico su ciascuna rete è fisicamente separato dal firewall. Ma fondamentalmente il server dell'app si connetterà all'ISA su una porta di rete per il lato "protetto" e una porta di rete sul lato "utente" dell'ISA si collegherà allo switch.

Ovviamente puoi utilizzare gli elenchi di controllo degli accessi nello switch per fornire ulteriori controlli, tuttavia questo potrebbe essere tutto ciò di cui hai bisogno in termini di infrastruttura.

Un rischio da considerare è la probabilità che un Il PC deve essere attaccato nel tuo ambiente. Vengono lasciati incustoditi? E sbloccato? La tua infrastruttura potrebbe non essere sufficiente.

modificato per dire: se sul server sono presenti dati medici / personali e ti trovi in ​​un paese con normative severe in questo settore, potresti dover utilizzare controlli più rigorosi.

Due pensieri:

1. Le macchine terminali possono comunicare tra loro? Potrebbe esserci il rischio che un terminale monitori la comunicazione di un altro. Ci sono due account utente, quindi devono esserci dati separati. Lo switch aiuta a mitigare questo problema, ma può essere sconfitto.

2. Quanto è difficile collegare un piccolo router wifi tascabile al cavo Ethernet collegato sul retro dei terminali? Ciò darebbe a qualcuno l'accesso remoto per passare il tempo ad attaccare.