Os serviços de escuta devem ser explicitamente ativados, não implicitamente, como é o caso dos serviços principais na maioria dos servidores. Se você não precisa das portas 137,138, etc, desabilite os serviços para que eles não estejam ouvindo. Google "desabilitar netbios sobre TCP". Você pode desabilitar os serviços netbios em uma base por adaptador de rede. Então, desative-os na WAN, com certeza.
Primeiro resultado do Google:
Além disso, como foi dito anteriormente, você deve apenas ouvir publicamente em seu servidor da Web e somente nas portas que estiver usando. Use o firewall baseado em host do Windows para descartar tudo, exceto solicitações TCP para http (80), https (443), DNS (53) (UDP).
Além disso, esta rede interna é exclusivamente sua? Se for compartilhado com outros clientes de servidores "dedicados" ou outros departamentos, você pode querer limitar o acesso pelo IP de origem na interface interna a qualquer serviço de janelas do núcleo.