A figura abaixo apresenta uma arquitetura de rede com firewall. DMZ refere-se a uma DeM...

a DMZ e a rede interna devem estar no mesmo segmento de rede (ligadas ao mesmo switch, por exemplo). É imprescindível que estas redes estejam em um mesmo segmento para que a segurança da rede seja mais eficaz.

o tráfego para a DMZ é muito seguro. Em função disto, a política de filtragem para a DMZ é menos rigorosa. Tanto as conexões para os sistemas dentro da DMZ como as conexões partindo da DMZ para a rede interna são livres de controles.

a configuração do firewall deve ser do tipo default deny, bloqueando tudo o que não for explicitamente permitido. Esta abordagem é geralmente mais segura, pois requer uma intervenção do administrador para liberar o tráfego desejado, o que minimiza o impacto de eventuais erros de configuração na segurança da rede e tende a simplificar a configuração do firewall.

o firewall possui três interfaces de rede: uma para a rede externa, uma para a rede interna e outra para a DMZ. O firewall usado deve ser do tipo estático, que gera dinamicamente regras que permitem a entrada de respostas das conexões iniciadas na rede interna; portanto, não é preciso incluir na configuração do firewall regras de entrada para estas respostas.

dois critérios de filtragem podem ser empregados no firewall: default allow, ou seja, todo o tráfego que não for explicitamente permitido é bloqueado ou default deny, ou seja, to do o tráfego que não for explicitamente proibido é liberado.