Hola amigo,
Antes de nada disculpa el retraso.
Entiendo poco del IIS, pero por lo que leo, está en el punto de mira de muchísima gente. Lo que lo hará ser muy "bom.ardeado" y parcheado, y no te sabría decir si esto es malo, más bien, tiene tintes de los dos: Malo, porque estarás en la boca del lobo siempre; y Bueno, porque será un sistema que se actualizará muy a menudo, para corregir los fallos encontrados... :wink:
Para proteger al IIS, creo que lo mejor es, tal y como lo tienes, restringir las entradas desde internet hacia tu red, a los puertos que vas a usar, y el resto obviarlos, o incluso redirigirlos a una máquina inexistente en tu red, por lo que pudiera pasar.
Y piensa que las puertas que dejes abiertas son susceptibles de ser "llamadas con malas intenciones".
En cuanto a la BBDD y a los ASP (y CGI), una buena técnica es alojarlos en otra máquina, no en el servidor, y restringir también la entrada por los puertos que vas a solicitar la información, y desde la IP y usuario validado de tu red. Pienso que si la BBDD está en otra máquina que no sea la primera que se encuentra al llegar desde internet, su localización es más dificil.
Incluso si montas un PC como "frontend" que te controle las entradas y redirija el tráfico a la máquina que lo requiera. (creo que he tenido un "deja vue", jejeje).
No se si lo que te escribo es una salvajada, pues no conozco mucho el IIS, pero espero te sirva de ayuda el concepto de ocultar.
Pero por encima de todo, el mejor consejo que te puedo dar es que estés informado de los problemas que se vayan encontrando en el IIS, y lo tengas actualizado siempre, con los últimos parches.
Saludos, y cuentanos que hiciste.