配置具有 2 个 VLAN 的防火墙设备 - 如何配置防火墙上的出站链接？

我们刚刚订购了 SonicWall NSA 4500 防火墙，我正在为它的到货准备网络图。

• 我们在新安装的机架中安装了 12 台服务器、一台 48 端口交换机和一台 Sonicwall NSA 4500 防火墙
• 我想要 2 个 VLAN，一个用于公共流量的 DMZ 和一个防火墙将提供 NAT 的内部网络
• DMZ VLAN 将连接到防火墙端口 1
  • DMZ VLAN 中的所有服务器都具有公共互联网可路由 IP（它们是 Web 服务器，每个盒子都有第二个 NIC 连接到内部网络，以便与内部盒子、DB/应用程序服务器通信）
• 内部 VLAN 将连接到防火墙端口 2

我的问题是使用这些 VLAN 配置防火墙。

我想保证 DMZ VLAN 的带宽不受内部 VLAN 的影响（内部 VLAN 有时可能会使其 1Gbit 链路饱和，但这不会影响 DMZ 用户流量）。

那么我们可以从路由器配置 2 个端口吗：

1. 防火墙端口 3 配置了公共互联网可路由 IP，并为端口 2 上的内部 VLAN 提供 NAT 转换（这两个端口在防火墙上被隔离在各自的 VLAN 中）
2. 防火墙端口 4 与上游网关有单独的连接，但在这种情况下，我对配置端口 4 感到困惑，在这种情况下它应该有一个 IP 吗？我认为不是，因为 DMZ VLAN 盒都配置了自己的公共 IP，在这种情况下防火墙只是转发流量，对吗？

我是否正确地假设我可以/应该为 2 个 VLAN（私有和 DMZ）中的每一个提供 2 个出站链接？

我很感激您对这个第二点困惑的帮助，我的主要专业知识是应用程序架构而不是网络架构。