Ich würde z.B. einen Tunnel von einem solchen Webserver zu eurem internen Server benutzen, der per Firewall auch nichts anderes durchlässt. Der Tunnel kann dann von eurem internen Server aufgebaut werden, so dass man von außen nur über den Tunnel überhaupt herankommt und da dann auch nur an das, was in der Firewall erlaubt ist.

Dass es den Tunnel gibt usw. kann man dann aber schon überhaupt nur sehen, wenn man auf euren Webserver einbricht und selbst dann kommt man nur an wenig heran. An den Webseiten oder generell über den Webserver alleine kommt man aber erst einmal an nichts heran außer an den Webserver.

Das wäre eine recht einfache Möglichkeit, die es einem Angreifer dennoch schon recht schwer macht.