您可以将第二个防火墙直接连接到 Internet。它属于同一类型，因此具有相同的功能，并且可以以类似的方式保护自身及其背后的网络。

如果您想将防火墙放在另一个防火墙之后，您需要允许 VPN 协议通过第一个防火墙。请注意，对于 VPN，您可能需要一个公共 IP 地址，例如您的 Internet 防火墙（通常进行 NAT）。

在我的业务中，我有一个主防火墙，另外还有一个 VPN 网关（相同的防火墙类型），它为合作伙伴提供了大量的 VPN。此 VPN 网关直接连接到 Internet。但它就像一个DMZ：要进入我们的内部局域网，它必须通过主防火墙。

因此，与其允许隧道通过您的第一个防火墙，因此您的 VPN 用户直接位于您的 LAN 内，我会检查是否最好将 VPN 直接连接到防火墙并使用第二个防火墙来保护您的内部 LAN 免受 VPN 子网的影响。