IIS-Webserver, der Intranet und öffentliche Sites in der DMZ hostet

Wir haben einen Webserver (VM), der mehrere Sites hostet.
Eine der Anwendungen hat einen Teil Intranet und einen Teil öffentlich.
(Archivierung/Dokumentenfluss = Intranet, Kundenrechnungen = öffentlich)
Dieser Webserver wird aktuell mit IP (Beispiel-IPs) 11.11.0.80/20in unserem LAN gehostet.
Unser Gateway verweist auf einen MPLS-Router ( 11.11.0.33/20), von dort geht unser Internetverkehr
zu einer Colocation, wo wir zentralen Internetzugang haben.
Lassen Sie mich die Colocation-Situation erklären. Wir kommen über ein Cisco-Gerät (MPLS-Anbieter) herein, von diesem Gerät ist ein Kabel mit einem HP Procurve-Switch verbunden, um Zugriff auf die verschiedenen VLANs zu erhalten, die von MPLS kommen (MPLS, Internet, DMZ). Die für jedes VLAN konfigurierten Ports werden dann mit einem Juniper SRX240 verbunden, um Trust/Untrust/DMZ-Zonen zu erstellen und NAT durchzuführen. Die DMZ-Netzwerk-IP ist 11.172.1.0/24auf dem Port des Juniper SRX240 konfiguriert, von dem das Kabel vom Switch kommt.

Nun ist mein Problem, wie ich einem Teil der gehosteten Sites exklusiven Zugriff auf mein Netzwerk gewähren kann ( 11.11.0.0/20, 80 443, 21) und auf den anderen Teil von außen zugreifen kann (443, 21)?

Mein erster Gedanke war, eine zweite Netzwerkkarte zur Webserver-VM hinzuzufügen, NAT/Firewall auf meinem SRX-Gerät richtig einzurichten und die Firewall pro Netzwerkkarte auf dem Webserver zu konfigurieren. Dies führt jedoch effektiv zu einem möglichen Einbruch in die DMZ.
Ich bin kein Experte auf diesem Gebiet, habe aber Grundkenntnisse und brauche den Rat eines Experten.

Bei Unklarheiten fragen Sie bitte nach. Vielen Dank für Ihre Zeit!

Stanny