Servidor o PC como cortafuegos

Tengo una pequeña red de 60 pcs, con dos lineas adsl, conectadas directamente a la citada red. La tengo protegida con un antivirus corporativo, actualizado diariamente, pero me preocupa lo del acceso a internet.
Bueno el temas es que si es posible, y como, el poder utilizar un servidor que tengo de web y correo, como cortafuegos, de forma que las lineas adsl, pasen directamente al servidor, y éste filtrado por un cortafuegos ¿cual?, sea el que controle el tráfico de entrada/salida, y conecte al resto de la Lan a través de una segunda tarjeta de red.
Tengo el servidor bajo Windows 2000 server, por si os sirve de algo, y si teneis alguna sugerencia para mejorar la seguridad de la red, os lo agradecería.

Gracias a todos,...

No es lo más recomendable instalar el cortafuegos junto al servidor web y de correo. Sería mejor instalar un nuevo host para ubicar en el firewall... a partir de ahí las posibilidades de colocación son varias como por ejemplo la instalación de un DMZ para el cortafuegos de manera que un ataque existoso contra este sea más complicado. En esta zona podrías también ubicar los servidores de correos y web. Como la DMZ puede estar comprendida entre dos routers, estos podrían estar configurados para las direccionar las peticiones/respuestas dependiendo si van hacia la subred protegida de servidores o interior de tu red. La idea del DMZ es para la necesidad de ofrecer servicios, si no los tenemos y sólo necesitamos proteger nuestra red interna no es imprescindible, con una arquitectura Screened Host (INTERNET > ROUTER > CORTAFUEGOS > RED INTERNA) es suficiente. Eso es una explicación muy superficial.

El cortafuegos puede estar basado tanto en Linux ( lo más recomendable) o Windows. Hay que tener en cuenta que los cortafuegos basados en Linux como IPTables son mucho más fiables y potentes que los basados en windows. De entre los cortafuegos windows yo ( a título personal ) instalaría Sygate, Visnetic o Kerio. No se si tienes los PCs directamente a INET pero es altamente recomendable pasarlo por un proxy. Los routers ADSL que tienenes para conectar a INET son ya una primera barrera cortafuegos muy básica. Una solución cortafuegos/proxy bastante buena es Winroute pro que incluye el proxy y el cortafuegos Kerio.

El como configurar tu cortafuegos es un tema a parte ya que depende de la política de seguridad que quieras seguir. Puede ser una configuración simple o complicada. Hay que tener mucho cuidado con la configuración del firewall por defecto... no suelen ser muy recomendables. También hay limitar el tamaño de los logs de los cortafuegos o directamente o deshabilitaros cuando están basados en windiows ya que fallan con ataques tipo DOS. También hay que tener en cuenta el orden de las reglas.

La importancia que des a la seguridad de tu red será determinante a la hora de pensar en la posibilidad de instalar un IDS tal como Snort (de los mejores y gratuito tanto para UNIX/Linux como windows). Kerio dispone de un IDS que personalmente no me gusta.

Importante también el tema de las copias de respaldo, parcheo y actualización del software servidor, sistemas operativos, antivirus, reglas de IDS. Desactivación de servicios no usados. Cuidado con las aplicaciones que conecten a internet como browsers y clientes de correo, que sean seguras y fácilmente actualizables respecto a la seguridad. Ojo con las contraseñas, auditorias, políticas de seguridad tanto de S.O. como de acceso al proxy y por tanto a INET, etc, etc.... supongo que como administrador de una red de 60 PCs todo esto que te comento sobra porque lo sabes.

Ahora no se me ocurre nada más.

Se me olvidó decirte que en cuanto al proxy a mi siempre me fue bien con Winproxy de Ositis.... aun que ya te comenté que Winroute Pro tampoc es mala opción. La cuestión es probar.