Com base no que eu li, você deve continuar seu caminho atual.
Uma coisa que é muito importante se você estiver usando um TMG dual homed é usar as opções "change source IP" em suas regras de publicação. Sem isso, você terá seu tráfego encaminhado de volta para o dispositivo Cisco e, provavelmente, descartado, já que não tem uma conexão estabelecida. Isso me mordeu em mais configurações do que eu gostaria de admitir.
Ao usar o TMG estritamente como um proxy reverso, sugiro que você vá com uma única configuração de interface de rede, conforme descrito aqui . Acho essa configuração muito mais fácil de gerenciar.
Tudo isso dito, tenha cuidado ao usar o Forefront. O suporte principal termina no início de 2015 e as assinaturas de detecção de intrusão vão se tornar inúteis. Embora você só queira um proxy reverso agora, isso será verdade em um ano? Ou dois?