1)собственно по какому пути идти?
В общем случае вариант 2, остальное может плавать в зависимости от назначения сайта и прочих деталей.
2)нужно-ли докручивать безопасность на IIS и что крутить?
А что на сайте то? Аутентификацию крутите, что б безопасно.
В целом можно выделять под сайт отдельный сервер, организовывать DMZ, но нужно ли оно в вашем случае?
3)имеет ли смысл добавлять еще один сетевой адаптер на IIS и с него пускать в мир?
Без DMZ - только если большая нагрузка.