Как уже отметили всё весьма индивидуально и зависит от имеющихся ресурсов, задач, планов на будущее и прочего.
Если мы предполагаем небольшой офис, сильную ограниченность по деньгам и другим ресурсам, то я бы сделал что-то вроде этого:
(1) Внешний роутер -> (2) Управляемый коммутатор -> (3) Компьютеры
|
(4) Сервер AD + DHCP + ...
Сервер с двумя сетевыми портами выставлять в интернет одним из портов плохо, потому что потенциальный злоумышленник получает доступ ко многим внутренним ресурсам, взломав лишь один сервер, который, судя по всему, на Windows.
Внешний маршрутизатор пусть делает то, что умеет лучше всего - маршрутизирует. То есть балансировка по двум провайдерам, например, динамическая маршрутизация и т.п. Настраиваются как минимум широкие простые правила файрвола (ACL).
На коммутаторе настраиваются несколько vlan и желательно тоже ACL. Распределение по vlan на основе выполняемых функций. Сервера отдельно, конечно.
Функции внутренних сервисов лучше разделить на несколько серверов. Например, если нужен прокси-сервер, и если есть такая возможность, то лучше использовать отдельный сервер. Засунуть его в отдельный vlan, с чёткими ACL, получится некая DMZ.
Ну а потом покупаем ещё хороший файрвол...
