Siamo alle prese con il modo in cui l'architetto è back-end per la sicurezza. Alcuni dei consigli che ho visto assomigliano a questo:
Alcuni avranno un altro firewall tra il server delle applicazioni e il database (che sarebbe nella rete interna).
Domanda essere con le pagine altamente interattive di oggi in cui gran parte della logica è in javascript come funzionerebbe? Javascript deve generalmente ricevere json. Direi in questa struttura che il server web non può comunicare direttamente con il server del database. Quindi dovresti passare attraverso il server delle applicazioni. Va benissimo quando le tue pagine sono statiche e l'unico codice che comunicherà con l'app server sarà il server web ma generalmente javascript dovrà comunicare con il server dell'app (che nel nostro caso saranno i servizi REST). Sto anche dando per scontato che in questa struttura l'unica cosa in grado di comunicare con l'application server sia il web server.