DMZ 型安全伺服器部署必須包含兩個防火牆。

  • 保護 DMZ 和內部網路需要面向外部網路的前端防火牆。您可以設定此防火牆允許外部網路流量到達 DMZ。

  • 提供第二層安全性則需要位於 DMZ 與內部網路之間的後端防火牆。您可以設定此防火牆僅接受發自 DMZ 內服務的流量。

防火牆原則可嚴格控制來自 DMZ 服務的輸入通訊,進而大幅降低內部網路出現漏洞的風險。

1 顯示包含前端和後端防火牆的組態範例。

圖表 1. 雙防火牆拓撲
此圖說明雙防火牆。