Como configurar o Firewall do Windows para proteger a interface externa, mas não a interna?

Windows Server 2008 R2 SP1, executando a função Edge do Lync Server 2010.

Uma interface de rede interna conectada à LAN da empresa, configurada com um endereço IP privado, máscara de sub-rede, servidores DNS internos e nenhum gateway padrão.

Uma interface externa conectada à Internet, configurada com três endereços IP públicos, máscara de sub-rede, nenhum servidor DNS e um gateway padrão.

Não há outros firewalls entre o servidor e tudo o mais, portanto, preciso protegê-lo usando o Firewall do Windows.

O que eu quero:

• Sem proteção na interface interna, o servidor deve poder se comunicar livremente com a rede interna.
• Proteção total na interface externa, apenas as portas e os protocolos mínimos necessários para o Lync devem ser abertos.

Como configuro o Firewall do Windows para isso?

O servidor está configurado para tratar a rede externa como "pública", mas a interna é automaticamente classificada como "desconhecida", porque essa interface não tem um gateway padrão (e não deve ter um, o roteamento deve só acontecem na interface externa); por isso é tratado como "público" também, e isso não pode ser alterado.

O Firewall do Windows está atualmente desativado em todos os perfis de rede; mostra que o servidor está conectado apenas a redes "públicas", e não "privadas" ou "de domínio".

Atualização:

Usando a sugestão de Chris S , consegui configurar a rede interna como "privada" e rede externa como "pública"; depois, liguei o Firewall do Windows, configurei o perfil privado para permitir todo o tráfego e deixei o público como padrão (bloquear todos, exceto exceções).

Mas ainda sou capaz de RDP / SMB / RPC nesse servidor a partir de seu endereço IP público ... o que há de errado aqui?