je vais modifier mon réseau pour obtenir le schéma suivant (simplifié )

 
Les adresses sont évidemment bidons
 
Bref, mon proxy est un serveur ISA 2000 et possède deux cartes réseau dont l'adressage devrait évoluer.
 
Les ordinateurs de la partie en bleu, soit le LAN peuvent accéder aux ressources web situées derrière le proxy.
Elles doivent également pouvoir accéder à internet via le proxy, et seulement en passant par le proxy.
 
Aujourd'hui je n'ai pas de DMZ et le proxy se balade entre le LAN et le firewall.
Les clients LAN accèdent donc au proxy via une IP LAN.
Sachant que cette liaison ne va plus exister et que pour se connecter au proxy les utilisateurs devront passer par le firewall qui va re-router le demande au proxy, est-il préférable d'ajouter une 3ème carte réseau dans le proxy sur lequel il écouterait les demandes "sortantes"?  
Auquel cas je rajouterais une 4ème carte dans le firewall juste pour cette patte là.
 
Ou alors est-ce que la carte réseau coté firewall du proxy doit tout gérer? (demandes entrantes - reverse proxy ; et sortantes - accès à internet pour les ordinateurs du LAN)
 
Deuxièmement, concernant l'antispam : est-il plus sage de le mettre derrière le proxy, planqué dans la DMZ ou alors est-ce que je le colle directement au cul du firewall?
 
Pour info : le proxy ISA est installé en mode intégré, de fait il se comporte également comme un pare-feu.
 
 
Merci pour vos tuyaux.