sim, é isso. Idealmente, a DMZ deveria ter um fwll ANTES e um DEPOIS.. a dmz completamente isolada.

Se o seu BD/Servidor de arquivos não precisa ser acessado via internet, então fica dentro da LAN. Se precisar ser acessado via 'net, então vc poderia colocar um 'fake' na DMZ e o real dentro da LAN (sync, etc). Enfim, tudo depende de quem (e como) vai se projetar isso.

mas básico:

DNS e servidores de zémail na DMZ. O DNS com split-view (pra não atrapalhar muito).

divirta-se é legal fazer um projeto assim.