Una implementación de servidor de seguridad basada en una zona DMZ debe incluir dos firewall.

  • Se necesita un firewall de front-end dirigido a la red externa, que protege tanto la DMZ como la red interna. Este firewall se configura para permitir que el tráfico de la red externa llegue a la DMZ.

  • Se necesita un firewall de back-end entre la DMZ y la red interna, que proporciona un segundo nivel de seguridad. Este firewall se configura para aceptar solo el tráfico que se origina desde los servicios dentro de la DMZ.

La directiva del firewall controla estrictamente las comunicaciones entrantes de los servicios de la DMZ, lo que reduce en gran medida los riesgos para la red interna.

1 muestra un ejemplo de configuración que incluye firewall de front-end y de back-end.

Figura 1. Topología de doble firewall
La figura A muestra el firewall doble.