Windows Server - Una idea sobre esto

Bueno trabajo como network admin en una empresa, unos auditores de seguridad me dicen q mi red es vulnerable, pues la red es algo asi como lo q les voy a explicar, tengo un router, q es el q se conecta a mi ISP, conectado al router tengo los servidores, proxy, controlador de dominio, correo, bases de datos, demas y demas, y de ahi hacia abajo con switch doy servicio a mi empresa, ahora, los aditores dicen q los servidores estan expuestos, q lo ideal seria, debajo del router, una sola pc, conectada al router, q tenga 2 tarjetas de red mas, una para los servidores solamente y otra para darle servicio de red a los usuarios, lo q buscan con esto es q los usuarios no tengan acceso directo a los server, q no le puedan hacer ping ni ningun tipo de consulta parecido por la red, ahora, mi pregunta es la siguiente, como logro esto, q no puedan consultar el estado de los servidores, ese esquema es factible? esa pc q debo agregar viene siendo como un gateway para las demas?? no entiendo bien todo esto

Mira yo te cuento lo que es ideal y de hay tu ya sacas tus ideas.

yo pondria detras del ruoter un firewall fisico y asi pues me quitaria los proxys que bueno son utiles unicamente si quieres ver donde se conecta la gente aaunque eso tb se puede hacer con los firewall, mirate productos sonicwall ya que son realemtente buenos. luego los servidores pues lo unico destacable seria poner el de correo en un dmz porque ese es el unico que tendria que tener acceso desde el exterior y los otros realemente si les quitas el gateway pues ya les quitarias el pudieran salir fuera, que realmente no creo que necesiten salir fuera ya que lo unico seria por las actualizaciones pero sinceramente si funcionan bien yo no los actualizo.

si tienes mas dudas pues hay tienes mi correo.