Un déploiement de serveur de sécurité basé sur une zone DMZ doit comporter deux pare-feu.
- Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne. Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
- Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.
La règle de pare-feu contrôle exclusivement les communications entrantes provenant des services de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis. Pour plus d'informations sur les ports requis pour configurer des serveurs de sécurité, reportez-vous au document Sécurité d'Horizon 7.
La figure suivante montre un exemple de configuration qui comporte des pare-feu frontal et principal.