Impléméntation des ACL au niveau de routeur ou firewall

ci joint cette architecture

ils ont décrit cette architecture comme suit:
La figure ci-dessous représente une partie du réseau du siège cocial d'une banque et une des ses agences.les deux locaux(le siège social et l'agence) sont interconnectés par un Frame Relay.La connexion internet de la banque est controlée par un proxy/firewall.Le serveur web est intégré dans une DMZ.

Soit la stratégie de sécurité suivante concernant l'utilisation de l'internet:

• L'ordinateur du PDG(Président Directeur Général),dont l'adresse IP est 172.16.1.100, peut accéder à tous les services d'Internet.
• L'ordinateur du DGA(Directeur Général Adjoint), dont l'adresse IP est 172.16.1.10, a le droit d'accéder uniquement au site web sécurisé de la banque dont l'adresse IP est 41.220.252.31
• L'ordinateur du responsable device,dont l'adresse IP est 172.16.1.20, utilise:

-le service de messagerie électronique (sachant que le serveur de messagerie est hébergé chez le fournisseur d'accès Internet et l'adresse IP est 41.225.30.23);
-le services de navigation;
-le service de téléchargement des fichiers

Aucun service entrant n'est autorisé.


Question:doit-on implémenter cette stratégie sur le proxy/firewall ou sur l'un des deux routeurs? Expliquer.
est ce que vous poucez me donner la solution adéquate vraiement j'étais bloquée ou je dois implémenter l'ACL