Suponho que seu roteador tenha duas portas, não uma: uma porta externa e outra interna. Para estar seguro, o que você deseja alcançar é que nenhum tráfego originado de fora possa viajar, a menos que você permita explicitamente. Você também deseja que o tráfego originado dentro dele possa se esgotar, e as respostas e a ele podem retornar e chegar ao computador de origem.
Se o seu roteador faz NAT e oferece o encaminhamento de porta, isso é suficiente para alcançar a situação acima. Atribua endereços IP locais aos computadores internos e torne o NAT do roteador para o exterior. Endereços IP locais estão nos intervalos 10. *, 192.168. * Ou 172.16-31. *. Para expor seu servidor da Web para o exterior, configure um encaminhamento de porta da porta 80 no lado externo para a porta 80 no servidor. Não permitir outras encaminhações de porta, hosts virtuais ou semelhantes em seu roteador.
Esta não é a "segurança mais alta" que você pede. A segurança sempre pode ser aprimorada, mas é uma boa base.