si t'as que 3 interfaces, tu joues pas avec les security level, pas la peine.
Ca ca sert quand tu les multiplie, surtout avec des interfaces virtuelles, pour definir les niveau de secu.
par defaut, le traffic est autorisé d'une interface avec un haut security level vers une avec un plus faible, et pas l'inverse.
donc: IN>DMZ>OUT . vu que t'as que 3 interfaces, a moins de jouer avec les vlans, tu t'en fous des valeurs, tant que tu respectes cet ordre.
Pour l'access depuis le web vers la DMZ, les access rules sont la pour ca.
enjoy