本部の公開サーバー回線をH0、VPN用回線をHV、支部用VPN回線をSV1、SV2、・・・、SVnとします。また、VPNが何か書かれていないため、IPsecVPNによるインターネットVPNと仮定します。 > インターネットへのアクセスは、Proxyサーバを通ってインターネットにアクセスするのですが、 > そのプロキシサーバは公開サーバなどがあるDMZゾーンに置くべきなのでしょうか？ > それともLAN内に置くべきなのでしょうか？ 下図のルーターH0のパケットフィルターポリシーにもよりますが私なら本部LAN内に置きます。 この場合、本部は インターネット ｜ H0 ｜ ルータH0－（DMZ） ｜ （本部LAN）－Proxyサーバ ｜ 本部PC1～10 というネットワークで、PC1→Proxyサーバ→ルーターH0→H0→インターネットという風につながります。IPマスカレードはルーターH0で行う事になります。こうする事で、インターネット側からProxyサーバに対してちょっかいをかけることができなくなります。また、DMZに置いた場合はデータの流れがPC1→本部LAN→ルータH0→DMZのProxyサーバ→ルータH0→インターネットと、2回ルータH0を通る事になるので伝送効率が落ちる懸念があります。 実はH0もHVもルータH0が管理しているというのであればProxyサーバはDMZに置く方が良いでしょう。 支部は以下の通り インターネット ｜ H0 ｜ ルータH0－（DMZ） ｜ （本部LAN）－Proxyサーバ ｜ ルータHV ｜ HV ｜ （インターネット経由のIPsecVPN） ｜ SV1 ｜ ルータSV1 ｜ （支部1LAN） ｜ 支部PC1～5 支部PC1はVPN経由で本部LAN内のProxyサーバに接続し、そこから先は本部PCと同じ流れになります。 > 今回本部には、支部を結ぶVPNと公開サーバ用のインターネット回線の2回線あります。 > 普通PCからのインターネットアクセスは公開サーバの回線を通って出て行くべきものでしょうか？ > それとも本部のVPN回線の方を通って外へ出ていけるのでしょうか？ 設定次第でどちらもいけるのですが、外に出て行くのは公開サーバー側の回線を使うのが一般的だと思います。前段のネットワーク図もそれを想定した図として説明しています。セキュリティを本当に気にされるのであれば、H0をインターネット、DMZ、本社LANの3点接続にするのではなく、H0：公開サーバー用回線、H1：インターネットに出ていく用回線、HV：VPN用回線という風にH1を新設して別回線にすべきでしょう。 後、ANo.1様の回答に補足しておくと、VPNはインターネット経由じゃないものもあります。例えばIP-VPNはNTT東西各地域会社がインターネットとは独立して持っている地域IP網という独自の回線を介して拠点間を結びますのでインターネットには絶対に出ていきません。そのようなVPNではインターネットからの攻撃にさらされる事はありませんのでご安心ください。