DMZ 型 Access Point 應用裝置部署通常包含兩個防火牆。

• 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。
• 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。

防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊，進而大幅降低內部網路出現漏洞的風險。

若要允許外部用戶端裝置連線至 DMZ 內的 Access Point 應用裝置，前端防火牆必須允許特定連接埠上的流量。依預設，外部用戶端裝置和外部 Web 用戶端 (HTML Access) 會透過 TCP 連接埠 443 連接 DMZ 內的 Access Point 應用裝置。如果您使用 Blast 通訊協定，則必須在防火牆上開啟連接埠 443。如果您使用 PCOIP 通訊協定，則必須在防火牆上開啟連接埠 4172。

下圖顯示包含前端和後端防火牆的組態範例。