Cette architecture de sécurité hiérarchique permet de configurer des routeurs statiques dans le but de réguler le trafic de données entre les réseaux comme ci-dessous :
L’internaute se trouve… | Accès à la DMZ | Accès au réseau local | Accès à Internet |
…sur Internet (WAN) | autorisée | refusé | - |
…sur le réseau local | autorisée | - | autorisée |
…dans la DMZ | - | refusé | refusé |
Alors qu’un internaute venant du réseau local peut avoir accès au serveur dans la DMZ mais également sur le Web, seul l’accès à la zone démilitarisée n’est pas permis aux utilisateurs Internet. Le trafic de données provenant de la DMZ est bloqué par les deux pare-feu.
Il n’est pas conseillé d’utiliser les pare-feu du même constructeur. En effet, des hackers peuvent détecter des failles de sécurité et ainsi franchir sans problèmes les deux pare-feu. Pour empêcher les attaques d’un serveur compromis sur d’autres machines de la DMZ, il est possible d’éloigner ces dernières en utilisant d’autres logiciels pare-feu ou via une segmentation dans le réseau local virtuel (de l’anglais Virtual Local Area Network ou VLAN).