Implantando um site ASP.Net WebAPI e DMZ

Eu tenho um conjunto de serviços RESTful desenvolvidos usando o ASP.Net WebAPI, que é um projeto único. Eu manejo autenticação via ASP.Net é construído em autenticação de formulários (cookie baseado) mecanismo que também é construído no mesmo projeto. Os serviços precisam ser expostos publicamente à Internet, pois serão consumidos por aplicativos móveis.

Um dos meus colegas de equipe sugeriu manter a autenticação separada e hospedá-la na DMZ, enquanto o projeto de serviços é hospedado dentro de um firewall, como

Módulo de Autenticação (DMZ / Internet) | --FireWall-- | Balanceador de carga (zona segura) - > Vários servidores hospedando o site de serviços.

1. Por que e como isso é mais seguro?
2. Qual é a melhor maneira de fazer isso? Ou seja, tenho que criar dois projetos e colocar a lógica de autenticação em um para ser colocado na DMZ.
3. Existe algum mecanismo interno embutido no IIS com o qual eu possa conseguir isso (IIS 7)?
4. O módulo de autenticação pode ser dimensionado e como? ou seja, vários servidores de autenticação no DMZ