Un proxy normal (también conocido como proxy directo) es un servicio de infraestructura. Quiero decir que es un servicio "en algún lugar debajo" de su servicio al cliente / negocio. Al igual que el DNS interno o el monitoreo o iLO / iDRAC.
¿Cuánta separación se necesita del mundo hostil? Mucha vulnerabilidad aparece en el punto donde sus sistemas escuchan. Maneje eso primero, piense en otras razones más adelante.
Permitir que un proxy normal escuche las solicitudes de DMZ aumenta el riesgo. Dado que el costo financiero no cambia mucho, diría que hágalo más profundo.
Más profundo podría significar en el segmento del servidor de aplicaciones web, pero sería mejor colocarlo en un segmento de infraestructura separado (dependiendo del costo).
Habiendo resuelto la parte del oyente, ahora la parte del conector. A continuación, puede "hacer un túnel en el nivel del enrutador", que probablemente se conoce mejor como "enrutar ese tráfico".