Что стоит на входе в твою сеть (железка)? Если это хорошая железка, то почему на ней не организовать доп. фильтр?

Ситуация примерно такая:

1.     Для рабочих приложений выделен участок IP-адресов из 10.0.12.ХХХ. Для этих целей к большому брату протянут прямой проводок отдельный.
2.     Для доступа в ИНет на Cisco сконфигурирован шлюз из диапазона 10.1.4.ХХХ и туда воткнут проводок UTP от ближайшего свитча моей локалки.
3.     Существует некая связь между этими диапазонами, поскольку:
Трассировка маршрута к 10.1.4.1 с максимальным числом прыжков 30
 1   <10 мс   <10 мс   <10 мс  SECOND [192.168.0.100]
 2   <10 мс   <10 мс   <10 мс  10.0.12.49
 3   625 ms   609 ms   625 ms  10.0.12.42
 4   625 ms   610 ms   625 ms  10.0.12.33
 5   625 ms   625 ms   625 ms  ХХХ.ХХХ.ХХХ.ХХХ
 6  1281 ms  1203 ms  1219 ms  10.1.4.1
Трассировка завершена.  (ХХХ.ХХХ.ХХХ.ХХХ - мой censored)

4.     Конфигурить Cisco я, естественно, не могу. Это прерогатива Большого Брата.

И вот вопрос – какие в таком случае избирать методы защиты, предполагая, что защита ББ имеет дыры?