Questa architettura di sicurezza su due livelli permette di configurare un percorso statico per regolare il traffico dati tra le reti come segue:
Gli utenti si trovano… | Accesso alla DMZ | Accesso alla LAN | Accesso a Internet |
… su Internet (WAN) | permesso | Non consentito | - |
… nella LAN | permesso | - | permesso |
… nella DMZ | - | Non consentito | Non consentito |
Mentre gli utenti possono accedere alla LAN sia dal server nella DMZ sia dalla WAN, l’accesso a Internet è consentito solo dalla zona DMZ. Il traffico dati fuori dalla DMZ viene bloccato da entrambi i firewall.
Si consiglia l’uso di firewall di diversi produttori, altrimenti agli hacker basterebbe sfruttare una nota falla di sicurezza per superare entrambi i firewall. Per prevenire gli attacchi di un server compromesso ad altri dispositivi all’interno della DMZ, questi si possono separare l’uno dall’altro attraverso ulteriori firewall o con una segmentazione delle reti VLAN (Virtual Local Area Network).