ルータでのアクセス規制は、来客者が使うパソコンからの通信は、インターネットへは自由に解放しても良いですが、来客者パソコンのIP→社内への通信については、ポート番号は意識せず、「すべてのポート」を遮断すべきです。 来客者は社内への通信は全く必要ないので、すべて遮断しないとセキュリティ上問題が大きいです。 解釈を間違って設定されると、セキュリティ上問題ですので、注意してください。

#3一寸補足 NASやネットワークプリンタではhttpやsnmpプロトコルなど共有以外の 通信ポート使ってるかもしれません それらも遮断させたくて尚且つルータ追加するならそのルータは親になるルータ以外への 通信遮断した方が（ポ－ト個別に設定するより）手っ取り早いかもしれません

>既存のネットワークの下にルータを増設してLAN側を別セグメントにするだけで実現したりはしないですかね・・・？ #1さんも書かれてますが 基本的にはそれで実現可能です ただしIPアドレス直接打たれると社内LANPCへのアクセスができますので 137-139/445ポートを追加したルータのWAN・LAN間で遮断してください （遮断しなくてもPC検索などはできないと筈ですがIPでアクセスが可能） #2さんの方法はインターネットにはつなげないでLAN（共有）限定でつなげる方法となります （でも既にVistaではNetBEUIプロトコルサポート外だから実現はできません）

昔のWindows（Win95とか）は自分でTCPのインストールやマイクロソフトネットワークの設定をしない限り、ネットワーク参加はできませんでした。 Windowsという環境が前提ですけど、ネットワークアダプタの設定でインターネットプロトコル以外のネットワーク関係の設定（マイクロソフトネットワーク用クライアントとネットワーク共有）を削除しちゃえばネットワークに参加できなくなると思いますがどうでしょう？ ルータとのやりとりはきちんとIPアドレスが割り振られたTCP/IPのプロトコルで行われますからネットには接続できます。（マイクロソフトネットワークはインターネット通信には無関係なので） 自分で試していないので確証はないですが、昔はいちいちマイクロソフトネットワーククライアントのインストールをしないとネットワーク参加できなかったので（インターネットは接続できる）このやり方でイケると思うんですよね。