Сразу оговорюсь, что с "железными" фаерволами никогда не сталкивался, а хочется.
Итак задача. Дано:
Совсем небольшой оффис в котором имеется один домен-контроллер на базе Win2kSrv, 10 клиентов (5 стационарных через витую пару и свитч и 5 через Wi-Fi на DWL-2100AP), пара сетевых принтеров. Вся сетка ходит в интернет через ADSL, подключенный в настоящий момент ко второму сетевому порту сервера. На серваке (домен-контроллере), подняты DNS, DHCP, NAT (естественно). Там же работает WEB-сервер (http, ftp) и крутится Exchange2k. К этому самому Exch периодически коннектятся удаленные пользователи через Outlook Web Access.
Надо:
Прикрыть все это железным фаерволом за разумно-минимальные деньги. При этом особо глобальных изменений в структуре внутренней сети делать не хочется (типа переноса WWW-сервера на другую машину и т.д.), а хочется прежде чем тратить деньги определисть со следующими вопросами:
1) какое оборудование уважаемые знатоки могут порекомендовать
2) что-куда в таком случае будет подключаться (видимо DMZ останется не у дел и доступ к серверу извне через виртуалку?)
3) какие настройки необходимо будет сделать и какие функции будут переложены с Домен-контроллера на DFL-XXX (видимо DHCP, etc.)
4) может я еще чего недопонимаю и мне тактично или не очень укажут...
Естественно подразумевается, что после установки DFL сетка должна работать как и раньше, Exchange внутри крутиться, наружу стучаться, внешние пользователи получать доступ к Web- и FTP- серверу.
Заранее спасибо за помощь.

P.S. Да, на всякий случай... В ассортименте любимых и близкорасположенных магазинов наблюдаю лишь DFL-100 и DFL-600... В недалеком будущем, вероятно, возникнет необходимость подключить удаленный оффис через VPN.

Я бы посоветовал бы вам DFL-200.

Это, видимо, ответ на вопрос номер один... А чем эта модель в моем случае предпочтительнее DFL-100 или 600? Или указанные принципиально не годятся/имеют траблы и т.д.?
Ну и хотелось бы услышать ответы на второй и третий вопросы тоже, чтоб оценить трудности...

DFL-200 более продвинутая и новая железка, а также более стабильна в работе.
Я так понимаю - модем в WAN-порт файрволла, локалка в LAN-порт файрволла, а сервер в DMZ.
А что настраивать и какие функции перекладывать - это уж вам решать - интерфейсы, Virtual server, DHCP и т.д.

Вот тут поподробнее, если можно... Локалка (LAN-порт) имеет неограниченный доступ к DMZ?

Для того, чтобы что-то работало всё равно надо прописывать правила.