Diese zweistufige Sicherheitsarchitektur ermöglicht es, statische Routen zu konfigurieren, um den Datenverkehr zwischen den Netzwerken wie folgt zu regeln:
Nutzer befindet sich… | Zugriff auf DMZ | Zugriff auf LAN | Zugriff auf Internet |
…im Internet (WAN) | erlaubt | abgewiesen | - |
…im LAN | erlaubt | - | erlaubt |
…in der DMZ | - | abgewiesen | abgewiesen |
Während Nutzer aus dem LAN sowohl auf die Server in der DMZ als auch auf das öffentliche Netz zugreifen dürfen, ist Nutzern aus dem Internet lediglich der Zugriff auf die demilitarisierte Zone gestattet. Datenverkehr aus der DMZ heraus wird von beiden Firewalls abgeblockt.
Empfehlenswert ist der Einsatz von Firewalls unterschiedlicher Hersteller. Andernfalls würde Hackern eine bekannte Sicherheitslücke ausreichen, beide Firewalls zu überwinden. Um Angriffe von einem kompromittierten Server auf andere Geräte innerhalb der DMZ zu verhindern, lassen sich diese durch weitere Software-Firewalls oder eine Segmentierung in VLANs (Virtual Local Area Network) voneinander abschotten.