Внешне доступные НТТР-серверы, а также серверы каталога или DNS-серверы, могут быть размещены во внешней DMZ, т.е. между пограничным роутером с функциями пакетного фильтра и основным firewall’ом. Пограничный роутер может обеспечить некоторое управление доступом и фильтрацию трафика для серверов, а основной firewall — предотвратить создание соединений от серверов к внутренним системам, которые могут устанавливаться, если серверы будут взломаны. В случае большого трафика и сильной загруженности серверов может использоваться высокоскоростной пограничный роутер с несколькими присоединенными DMZ для изолирования серверов в индивидуальных DMZ-сетях. Таким образом, если осуществляется DDoS-атака на некоторый сервер, остаток сети не пострадает.
VPN и Dial-in серверы
Эти серверы лучше разместить во внешней DMZ, чтобы их трафик проходил в локальную сеть через основной firewall. Одна из возможных конфигураций состоит в совмещении VPN-сервера и firewall’а, чтобы исходящий трафик мог быть зашифрован после того, как он будет отфильтрован, и входящий трафик может быть дешифрован и затем отфильтрован firewall’ом. Dial-in сервер должен быть размещен во внешней DMZ по тем же причинам.
