I Выделю все эти услуги. Это более безопасно по-разному:
Я не понимаю, что вы имеете в виду под внутренним IP ? Это для NAT? Если это так, вам действительно следует отделить и его.
Также позаботьтесь о правилах брандмауэра в зависимости от службы. Всегда белый список вместо черного. Если одной службе не нужно видеть другую, заблокируйте ее.
Лучшие из лучших практик (см. Также: самые параноидальные) используют отдельную DMZ для каждой функции. В вашем случае это будет отдельная DMZ для веб-сервера и еще одна для инфраструктуры Exchange.