Die Firewall-Systeme ermöglichen es Zugriffsregeln zwischen zwei Netzwerken zu definieren. In der Praxis allerdings, haben die Unternehmen meist mehrere Teilnetzwerke mit unterschiedlicher Sicherheitspolitik. Aus diesem Grund ist es notwendig, Architekturen von Firewall-Systemen einzusetzen, die es ermöglichen, die verschiedenen Netzwerke des Unternehmens voneinander zu isolieren: man spricht von« Netzwerk-Trennung » (der Begriff Isolation wird manchmal verwendet).
Es kommt vor das manche Maschinen des internen Netzwerkes von außen zugänglich sein müssen ( Webserver, ein Nachrichtendienst, ein öffentlicher FTP-Server ). So ist es häufig notwendig eine neue Schnittstelle zu einem separaten Netzwerk zu erstellen, welches den Zugriff sowie vom internen Netzwerk, als auch von außen ermöglicht, ohne deshalb die Unternehmenssicherheit aufs Spiel zu setzen. Man spricht so von «, demilitarisierte Zone » (geschrieben DMZ für DeMilitarized Zone ) um diese isolierte Zone zu bezeichnen, welche die Anwendungen beherbergt die dem Publikum zur Verfügung stehen. Die DMZ dient somit als « Pufferzone » zwischen dem zu schützenden Netzwerk und dem feindlichen Netzwerk.
Die in der DMZ befindlichen Server heißen « Bastion » wegen ihrer Position "auf vordersten Posten" in dem Unternehmensnetzwerk.
Die Sicherheitspolitik die in der DMZ umgesetzt wird ist meist folgende :
Die DMZ besitzt demnach ein mittleres Sicherheitsniveau, aber sein Absicherungsniveau ist nicht ausreichend um dort für das Unternehmen kritische Daten abzulegen.
Es muss angemerkt werden, dass es möglich ist interne DMZ umzusetzen, umso das interne Netzwerk nach verschiedenen Schutzniveaus zu untertrennen, umso Eindringungen von außen zu vermeiden.