Розміщення брандмауера в якості прикордонного пристрою між внутрішньою мережею (інтранетом) та Інтернетом дозволяє контролювати весь вихідний і вхідний інтернет-трафік і управляти його проходженням.
Між внутрішньою і зовнішньою мережею створюється чіткий захисний рубіж. Однак деяким зовнішнім клієнтам може знадобитися доступ до внутрішніх ресурсів. Для цього можна передбачити демілітаризовану зону (DMZ).
Демілітаризована зона - військово-політичний термін, що означає територію між двома сторонами конфлікту, в якій заборонено військову присутність.
У комп'ютерних мережах демілітаризованою зоною називається ділянку мережі, доступний як внутрішнім, так і зовнішнім користувачам. Він більш захищений в порівнянні з зовнішньою мережею, але менш захищений в порівнянні з внутрішньою мережею.
DMZ створюється за допомогою використання одного або декількох міжмережевих екранів. розмежовують внутрішню мережу, DMZ і зовнішню мережу. У DMZ часто розміщуються веб-сервери, відкриті для доступу ззовні.
Конфігурація з одним фаєрволом
Один міжмережевий екран ділить мережеве простір на три зони: зовнішня мережа, внутрішня мережа і DMZ. Весь трафік надходить на міжмережевий екран з зовнішньої мережі. Брандмауер повинен контролювати трафік і приймати рішення про його пересилання в DMZ або у внутрішню мережу, або про заборону пересилання.
Конфігурація з двома міжмережевими екранами
В конфігурації з двома міжмережевими екранами передбачені внутрішній і зовнішній міжмережевий екрани, між якими розташовується DMZ. Зовнішній міжмережевий екран застосовує менш суворі обмеження і надати їм доступ користувачів з Інтернету в DMZ, а також наскрізне проходження трафіку, запитаного внутрішніми користувачами. Внутрішній міжмережевий екран застосовує більш суворі обмеження і захищає внутрішню мережу від несанкціонованого доступу.
Для невеликих мереж з низьким трафіком підходить конфігурація на основі одного брандмауера, який, однак, є критичною точкою відмови і може виявитися перевантаженим. Конфігурація з двома міжмережевими екранами доцільна для великих і складних мереж зі значно більшими обсягами трафіку.