Como Tom sugeriu nos comentários, o que você precisa fazer é configurar um NAT estático de 1: 1 para seus (espero) servidores voltados para o público DMZ. Sua fonte NAT (muitos-para-um provável) permitirá que sua sub-rede LAN atue como um dos seus / 16 de acordo.
Por exemplo:
- sub-rede LAN: 192.168.0.0/24
- Sub-rede da DMZ: 192.168.1.0/24
- Sub-rede WAN: 200.200.200.0/16
Configurando sua rede local e suas redes DMZ em sub-redes separadas (se você usa VLANs ou uma interface separada em seu firewall; deve ter uma interface "DMZ" ou "opcional"), que são roteadas e filtradas pelo firewall , agora você pode configurar NAT 1: 1 para atribuir estaticamente um endereço DMZ a um endereço público, mas também ter uma configuração de filtragem para permitir o tráfego de entrada da Internet e da sua LAN (e vice-versa, se um de seus servidores precisar falar internamente com um Controlador de Domínio) apenas nas portas e nos endereços IP de origem desejados.
Para o resto do mundo, seus servidores parecem estar "fora", mas estão realmente isolados para / da Internet e de / para sua LAN, melhorando a segurança permitindo que você crie regras de entrada para a Internet tráfego mas também saída regras para permitir apenas um servidor aceitar conexões estabelecidas de entrada 80/443, mas não permitir que ele inicie conexões de saída para qualquer porta TCP / UDP (e assim adicionar uma camada de defesa contra tráfego de botnet zumbificado, ou bots de spam, etc., o seu servidor Web deve estar comprometido).
Se os seus servidores NÃO estiverem atrás do seu firewall, você não obterá nenhum benefício de firewall, log de firewall centralizado, etc. e isso não é uma coisa boa.