インターネットのみを遮断

　3つほど質問をお願いします。 　WindowsXP SP3を使用しています。 　インターネット接続にはルータを使用しており、不要なポートは完全に遮断しています。 ■質問１ 　自宅LANで、特定のローカルマシーンのネットワーク接続を、LANのみに限定し、WAN（インターネット、自宅より外のネットワーク）は完全に遮断しておきたいと考えているのですが、特殊なソフトなどを使わず、これを行うことは可能でしょうか？ ■質問2 　マシーンがインターネットに繋がっている状態でも、ルータを経由している場合は、LAN内のマシーンにFWを設定する必要はないのでしょうか。（個人的には、万が一ルータを突破された場合の保険として「とりあえずあった方がいいが、無くてもほとんど問題ない」と考えています。） 　この質問に至った経緯は、以下の通りです。 　メインで使用するマシーンのほかに、ネットワーク内でのみ活動させたい計算専用のマシーンが何台かあります。 　それらの計算専用マシーンはインターネットに接続する予定は全く無いため、わざわざノートンなどのインターネットセキュリティソフトを入れるのが無駄だと感じており、できる限り低コストで運用したいと考えているため、このような質問に至りました。 　以下は個人的な見解・補足的な状況の説明です。 　メインで使用するマシーンには、インターネットセキュリティソフト、スパイウェア対策ソフトなどをインストールし、慎重に運用しております。 　メインマシーンがウイルスを踏んでしまった場合、ネットワーク上のマシーンに甚大な被害をもたらす可能性があるため、最低限、計算専用のマシーンにはavastなどを入れて、簡易的なウイルス対策くらいはしておいた方がいいとも考えています。 ■質問3 　上記のような状況ですので、インターネット上の脅威にさらされている窓口はメインマシーンのみで、この砦をしっかり守れば、内側は安全だと思っているのですが、この考え方に穴がある場合は教えてください。 　個人的にはこれで万全と考えていますが、確信しきれていないので、より多くの意見をお聞きし、より強固なセキュリティを築いていければと考えています。 　よろしくお願いします。