Isso pode ser feito com um roteador / firewall que suporte zonas de segurança separadas. Você pode então configurar regras de firewall que controlam exatamente qual tráfego, se houver, é permitido entre as várias zonas.
No seu caso, você atribuiria suas portas confiáveis e a rede sem fio interna do roteador à zona da LAN e suas portas não confiáveis (3 & 4) à zona da DMZ. Em seguida, você configuraria as regras de firewall para permitir que a zona da DMZ tenha acesso apenas à zona da WAN (a Internet). Sem quaisquer regras que permitam o tráfego entre as zonas da LAN e da DMZ, elas seriam totalmente isoladas umas das outras, mas ambas ainda teriam acesso à Internet.
O Dell SonicWall é um exemplo de linha de produtos que suporta esse recurso.