Брандмауер із екрануючою підмережею

Ця схема розширює можливості системи, яку ми розглянули вище, де функції елемента захисту виконує екранований хост. Тут теж застосовуються екрануючий або зовнішній маршрутизатор і хост-бастіон. Однак даний захисний бар'єр, названий демілітаризованою зоною (DeMilitarized Zone — DMZ), створює вищий рівень безпеки за рахунок додаткового периметра мережі, що підсилює ізоляцію приватної мережі від Інтернету. Міжмережевий екран визначає границі DMZ між зовнішнім і внутрішнім маршрутизаторами, причому останній перебуває ближче до приватної мережі. Демілітаризована зона - це внутрішня зона, тобто та, що екранує підмережу, границями якої служать внутрішній і зовнішній маршрутизатори.

DMZ можна розглядати як ізольовану мережу між приватною структурою й Інтернет. Обмежуючи доступ до систем, розташованих у DMZ, зовнішній маршрутизатор захищає мережу від атак ззовні. З його допомогою блокується і вихідний інформаційний потік від клієнтів приватної мережі, які не мають відповідних прав. Внутрішній маршрутизатор керує доступом з DMZ до приватної мережі. При цьому здійснюється пропуск прямого трафіку від хоста-бастіона до вузлів приватної мережі, що перебувають поза DMZ, і відповідного зворотного потоку.

Щоб атака досягла якого-небудь внутрішнього вузла, який перебуває за DMZ, необхідно пройти обидва маршрутизатори. Крім того, при даній архітектурі для зовнішніх структур існує тільки мережа DMZ, у той час як сама приватна мережа залишається закритою. Однак процес формування коректної конфігурації двох маршрутизаторів і хоста-бастіона потребує досить багато зусиль.