Esta arquitectura de seguridad en dos etapas hace posible la configuración de rutas estáticas que regulan el tráfico entre las redes de la siguiente manera:
El usuario está… | Acceso a la DMZ | Acceso a la LAN | Acceso a Internet |
---|
…en Internet (WAN) | permitido | denegado | - |
…en LAN | permitido | - | permitido |
…en la DMZ | - | denegado | denegado |
Así, los usuarios de la red local pueden acceder a la red pública y a la zona desmilitarizada, los usuarios de Internet solo tienen acceso a la DMZ. El tráfico externo desde la DMZ está bloqueado por dos cortafuegos.
Es altamente recomendable implementar cortafuegos de diferentes proveedores. De no ser así, una vez identificada una vulnerabilidad en uno de los cortafuegos, un hacker podría acceder sin ningún problema al otro. Para evitar los ataques de un servidor infectado a otros dispositivos dentro de la zona desmilitarizada, es posible implementar software de cortafuegos adicionales o una segmentación en redes de área local virtual o VLAN por sus siglas en inglés.