Varnost omrežja - dvojni (fizični) firewall

Zadnje čase se (tudi) na račun raznih ISO27k, tisax, nis2, ... precej dela na varnosti.

Zanima pa me sledeče...
Tisti, ki dajete dva (zaporedna) firewalla, torej da je za prvim DMZ, za drugim pa potem interni LAN..

Kako konfigurirate povezavo med njima, je to opcija A: bridge (nekakšno deljeno omrežje med njima) ali opcija B, da je LAN prvega firewall-a WAN za drugega?

Jaz delam za manjša okolja(recimo do nekaj 100 naprav), vse delam na enem firewallu, seveda vse segmentirano, DMZ izoliran, itd itd, zdaj pa imam en primer kjer je predkonfigurirano tako da sta firewalla povezana preko bridga. Ta konfiguracija meni ni najljubša, me pa zanima kakšna je splošna praksa oz kakšna je recimo temu priporočena konfiguracija.

Upam da je vprašanje razumljivo

Hvala!