Hola Jaime
Es una pregunta que no tiene una respuesta absoluta, y depende de muchos factores; en realidad no hay una regla de oro que diga que uno es mejor que otro. Lo que te indica la teoría es que deberías tener un gateway en tu LAN que sea un switch o un router, esto siguiendo las prácticas de topologías de red (distribución/core). No conozco tu topología, pero el hecho de elegir una u otra opción se reduce principalmente al tamaño de tu red, y al rendimiento que puede alcanzar tu firewall… si tu firewall es pequeño y tu red grande, lógicamente vas a sobrecargar de trabajo a ese tu dispositivo que en realidad está diseñado para realizar tareas de seguridad, y no para ser el centro de conmutación de tu red, para eso están diseñados los switches de gama alta. Este tal vez puede ser el motivo de latencia en tu red.
Personalmente he visto diseños como el tuyo (redes de más de 500 usuarios) donde el Firewall actúa como el L3 Gateway para la LAN sin ningún inconveniente (firewalls robustos), pero el detalle en estas redes, es que existen OTROS firewalls dedicados para proteger los accesos a Servidores/Internet, por lo tanto todo el trabajo no cae sobre 1 solo dispositivo.
Al final vas a tener que sacrificar algo, visibilidad vs rendimiento; lastimosamente no hay otra opción. Personalmente creo que lo mejor siempre que sea posible (monetariamente hablando) es tener cada dispositivo dedicado a su tarea, es decir, deberías tener un switch de núcleo para la conmutación de paquetes y proteger tus VLANs a nivel de ACLs; la visibilidad de tráfico básica siempre la puedes obtener con Netflow, y la escalabilidad no sería un problema en comparación de que tus VLANs crezcan tanto que esto sea un tema de rendimiento para tu FW; no sé qué tipo de tráfico circula entre tus VLANs, pero qué harás cuando gran cantidad de tráfico necesite circular entre ellas?… ahí claramente tu Firewall va tener problemas de rendimiento. Tal vez ahora funciona bien, pero eventualmente vas a tener problemas.
Otro detalle a tomar en cuenta es el punto de falla, si tu FW cae, ahí sonaste ya que TODA la comunicación de tu red está en base a ese dispositivo, en una otra situación, por lo menos el tráfico entre las VLANs podría seguir existiendo a través del router/switch.
Por otro lado, no sé qué tipo de seguridad/tráfico manejas en tu red para que necesites realmente implementar visibilidad de tráfico capa 7 entre VLANs. En teoría se tienen diferentes protecciones a nivel de usuario, protecciones como antivirus, WSA, ESA, 802.1X con ISE, AMP, ACLs en switches, etc, que harían innecesaria la visibilidad a ese nivel en ese punto de la red. Deberías preguntarte si realmente es necesario ese nivel de visibilidad. Pero de nuevo, no tiene nada de malo ese diseño, he visto redes medianas que funcionan como la tuya sin problemas; si tú ya tienes problemas deberías darle una mirada a tu hardware y a la carga de tráfico en tu red para ir descartando diferentes situaciones.
Espero que mis comentarios te den algunas luces sobre ciertos aspectos que debes tomar en cuenta.
Atento a cualquier respuesta que puedas tener.
Saludos cordiales.