OK, minimizar as conexões entre a DMZ e a LAN é uma boa regra geral, embora eu não me torne um escravo dessa ideia (se você tiver servidores de e-mail no local, seu serviço de e-mail será interessante para dizer o mínimo se você forçá-lo a aceitar sua ideia).
Além disso, não pense que esta é uma defesa mágica contra hackers. Se alguém comprometer um servidor na DMZ, ainda haverá um potencial para que ele penetre na sua rede, dependendo de como os servidores na DMZ estão configurados (por exemplo, com conexões abertas da LAN entre um banco de dados SQL do lado da LAN e um DMZ- O servidor da Web secundário faz pouco para ajudá-lo se o servidor da Web tiver sido enraizado e as credenciais para acessar o servidor SQL estiverem armazenadas no servidor DMZ.
Além disso, se as informações usadas / armazenadas forem valiosas por si só e ainda puderem ser roubadas por alguém que enraizou o servidor na DMZ, o que você propõe ganhou não ajuda muito.