Internet---( DI-804HV )--------->(WAN port DI-604 )------------(Server)
......................|
......................|
......................|
......................|
( Switch )
(Workstations)

При такой схеме, можно ли использовать 604й как дополнительный firewall? Задача в том, чтобы некоторые рабочие станции физически не достигали сервера но могли бы свободно ходить в инет...

В такой схеме без доп. настроек у Вас вообще никто из локальной сети не достучится до сервера - в DI-604 встроен NAT, т.е. соединения можно устанавливать только изнутри наружу. Обратно - только если Вы сервер в DMZ включите. И потом уже пропишите правила на firewall на DI-604 - кому можно к серверу обращаться, а кому нет.

_________________
С уважением, Карагезов Владислав