как защитить локальную сеть при такой топологии сети?
 

Привет всем!
имеется следующая схема сети:
internet -> ADSL_Modem(режим бридж) -> cisco871(PPPoE+NAT) -> свич_catalyst3750 -> isa2004 -> пользователи_winXP

при получении "белого" айпи от провайдера, как защитить локальную сеть от внешних угроз?

Sidelong, а на мопеде нет случаем какова нить фаервола? Его бы наплохо задействовать было...

madmax24, есть, но будет ли он функционировать, если модем в режиме "моста"?

При такой конфигурации защищать требуется в основном cisco-871 от атаки извне (от внешних логинов и т.п). Для внутренней сетки NAT является защитой. Это если отвлечься от действий вирусов и иже с ними.

gf100,
направьте в нужное русло, как защищать cisco871

конфиг может привести?

Ну что-то вроде (содрано с работающей системы, не мое):

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 deny ip 192.168.0.0 0.0.255.255 any
access-list 2 deny ip 10.0.0.0 0.255.255.255 any
access-list 2 deny ip 172.16.0.0 0.0.255.255 any
access-list 2 deny ip 127.0.0.0 0.255.255.255 any
access-list 2 deny tcp any any eq telnet log
access-list 2 deny tcp any any eq login log
access-list 2 deny tcp any any eq 22 log
access-list 2 deny tcp any any range 2105 2106 log
access-list 2 deny tcp any any eq 6143 log
access-list 2 deny tcp any any eq cmd log
access-list 2 deny tcp any any eq lpd log
access-list 2 deny tcp any any range 137 139 log
access-list 2 deny udp any any range netbios-ns netbios-ss log
access-list 2 deny tcp any any eq 31337 log
access-list 2 deny tcp any any eq sunrpc log
access-list 2 deny udp any any eq sunrpc log
access-list 2 deny udp any any range 6000 6063 log
access-list 2 deny tcp any any range 6000 6063 log
access-list 2 deny udp any any eq syslog log
access-list 2 deny udp any any eq tftp
access-list 2 deny tcp any any eq exec log
access-list 2 deny tcp any any eq uucp
access-list 2 permit ip any any

считаем, что внутренняя сеть 192.168.1.0/24, для нее access-list 1, для внешнего интерфейса - 2