Viruswall in DMZ oder im internen Netz?

Hallo,
ich hätte gerne einen Rat zu folgendem Szenario:

Ich habe:

Firewall:
Linux IpCOP 1.4.x

DMZ:
Rechner mit Exchangeserver
Rechner mit Suse 10.2 (Web-Entwicklungsserver)

Internes Netz:
Rechner (PDC) mit SBS 2003
Diverse Workstations

Da ich seit ca. 6 Monaten die Trendmicro Neat Suite im Einsatz habe, und jetzt
noch einen Rechner als Internet-Gateway mit der Viruswall aufsetzen möchte,
würde ich gerne wissen, wo ich den Gateway-Rechner am besten hinstelle:
DMZ oder internes Netz? Oder eventuell ein weitere DMZ, in der nur der Gateway steht?

Der Firewallrechner mit dem IPCOP hat 4 Netzwerkkarten (Internet, DMZ, internes Netz und WLAN-Netz).

Kann ich den Gateway-Rechner hinter dem IP-COP "einschleifen", also mit z.B. mit einem weiteren Rechner mit 4 Netzwerkkarten?

Liebe Grüsse,
Herger