流沙网缘

位于DMZ中的设备，需要可以在公共网络（如互联网）上访问，因此不会设置太高的安全策略。为了便于管理，通常把这些设备独立出来，放置在所谓的DMZ中。

DMZ通常是驻留于专用网络和公共网络之间的一个子网，从公共网络的连接到DMZ设备终止：这些服务器也经常被相对安全的专用网络设备访问。

一、使用防火墙创建DMZ

这种方法使用一个有3个接口的防火墙去创建隔离区，每个隔离区成为这个防火墙接口的一员。防火墙提供区与区之间的隔离。此种方式是创建DMZ最常用的方法。

二、在防火墙之外的公共网络和防火墙之间创建DMZ

DMZ暴露在防火墙的公共面一侧。通过防火墙的流量，首先要通过DMZ。DMZ中能够用来控制设备安全的控制非常少。这些设备实际上是公共区域的一部分，它们自身并没有受到真正的保护。

一般情况下不推荐这种配置。

三、在防火墙之外且不在公共网络和防火墙之间创建DMZ

DMZ不是位于防火墙和公共网络之间，而是位于连接防火墙同公共网络的边缘路由器的一个隔离接口。

这种类型的配置向DMZ网络中的设备提供了非常小的安全性，但是这种配置使防火墙有从未保护和易受攻击的DMZ网络的隔离性。这种配置中的边缘路由器能够用于拒绝所有从DMZ子网到防火墙所在的子网的访问。并且，隔离的VLAN能够允许防火墙所在的子网和DMZ子网间有第二层的隔离。当位于DMZ子网的主机受到危害，并且攻击者开始使用这个主机对防火墙和网络发动更进一步攻击的情形下这类型的配置是有用的。

四、在层叠防火墙之间创建DMZ

两个防火墙层叠放置，访问专用网络时，所有的流量必须经过两个层叠防火墙，两个防火墙之间的网络用作DMZ。由于DMZ前面的防火墙使它获得了大量的安全性，但是它的缺陷是所有专用网络到公共网络之间的数据流必须经过DMZ,一个被攻陷的DMZ设备能够使攻击者以不同的方法阻截和攻击这个流量。可以在防火墙之间设置专用VLAN减轻这种风险。