Wiele sieci wdraża zabezpieczenia wyłącznie w punkcie wejścia, gdzie sieć organizacji łączy się z publicznym Internetem. Takie monolityczne zapory ogniowe nie są skutecznym wyborem dla wszystkich, z wyjątkiem najprostszych małych organizacji. Na początek systemy dostępne dla ogółu ludności powinny znajdować się poza obszarem bezpieczeństwa wewnętrznego na ziemi niczyjej między publicznym Internetem a prywatną siecią wewnętrzną. Taka izolacja jest określana jako strefa zdemilitaryzowana (DMZ). Systemy te powinny mieć pewien stopień ochrony poprzez umieszczenie ich pomiędzy zewnętrzną zaporą ogniową (chroniącą strefę zdemilitaryzowaną przed siecią publiczną) a wewnętrzną zaporą ogniową (chroniącą sieć wewnętrzną przed siecią publiczną i kontrolując komunikację między publicznie dostępnymi serwerami znajdującymi się w DMZ do sieci wewnętrznej). Alternatywnie strefa DMZ może być ślepą uliczką połączoną z oddzielnym portem na pojedynczej zaporze przy użyciu innego zestawu reguł zarządzania ruchem. Taka topologia pozwala na implementację różnych ograniczeń bezpieczeństwa mających zastosowanie do obu sieci. Podejrzane powinny być również systemy zlokalizowane w strefie DMZ, ponieważ stanowią one cel kompromisu. Chociaż cała branża zgadza się co do potrzeby konfiguracji DMZ, mniej docenia się, że takie ograniczenia mają również miejsce w organizacjach. Różne grupy, działy i funkcje w organizacji mają różne wymagania dotyczące bezpieczeństwa i dostępu. Na przykład w firmie świadczącej usługi finansowe wymagania dotyczące bezpieczeństwa różnią się znacznie w poszczególnych działach. Trzy oczywiste przykłady działów o różnych wymaganiach to personel, fuzje i przejęcia oraz badania i rozwój. Dział personalny jest opiekunem szerokiego zakresu wrażliwych informacji o firmie, jej pracownikach i często osobach z zewnątrz, które albo regularnie przebywają na terenie firmy, albo regularnie współpracują z firmą przy projektach. Niektóre z tych informacji, takie jak adresy zamieszkania, poziomy płac i tablice rejestracyjne, są poufne ze względów osobistych lub kulturowych. Inne informacje narażają organizację na sankcje prawne lub regulacyjne, jeśli zostaną nieprawidłowo ujawnione lub wykorzystane. W Stanach Zjednoczonych przykłady danych wrażliwych obejmują numery ubezpieczenia społecznego, wiek, orientację seksualną i obecność ludzkiego wirusa niedoboru odporności (HIV) lub inne dane medyczne. Jeszcze inne informacje mogą podlegać określonym prawnym lub umownym przepisom dotyczącym poufności.
Dział fuzji i przejęć obsługuje różnego rodzaju poufne informacje. Informacje o negocjacjach biznesowych lub planach na przyszłość podlegają ścisłym wymogom poufności. Ponadto ujawnienie takich informacji podlega różnym przepisom na szczeblu rządowym i branży papierów wartościowych. W dziale fuzji i przejęć dostęp do informacji często musi być konieczny, zarówno w celu ochrony transakcji, jak i ochrony firmy przed narażeniem na odpowiedzialność cywilną i karną. Niektóre informacje w dziale badań i rozwoju są całkowicie jawne, podczas gdy inne informacje są w różnym stopniu ograniczone. Pełne wdrożenie odpowiedniego środowiska bezpieczeństwa będzie wymagało zabezpieczeń, które nie tylko różnią się logicznie w zależności od działu, ale także wymagają wzajemnej ochrony różnych działów. Dlatego też, jeśli nie jest to topologicznie niemożliwe, pojedyncza zapora ogniowa, znajdująca się na połączeniu ze światem zewnętrznym, może wdrożyć wymagane środki bezpieczeństwa. Trudno jest zapewnić, że szkielet korporacyjny jest wolny od potajemnego monitorowania. Ponadto nawet autoryzowane monitorowanie może tworzyć dzienniki komunikacji zawierające wrażliwe chronione informacje. Dzienniki sieciowe stają się wtedy zagrożeniem same w sobie. Zabezpieczanie systemów w izolowanych obszarach logicznych jest przykładem niezbędnej nieufności, a jedynie kwestia zapewnienia, że interakcje między systemami stron trzecich a światem zewnętrznym są dozwolone w takim zakresie, w jakim są oczekiwane. Jako przykład rozważ prostą sytuację w Hipotetycznym Domu Maklerskim. Hipotetyczny dom maklerski korzysta z dwóch sieci handlowych, Omega i Gamma.
Na pierwszy rzut oka wydaje się, że byłoby dopuszczalne umieszczenie bram sieciowych Omegi i Gamma w zwykłej strefie DMZ, razem z serwerami WWW firmy Hypothetical. Jednak daje to duże zaufanie firmom Omega i Gamma oraz całemu ich personelowi, dostawcom i wykonawcom. Najważniejszym pytaniem operacyjnym jest to, czy istnieje wiarygodne zagrożenie. Każda z dwóch bramek jest dobrze usytuowana, aby:
- Monitorować ruch komunikacyjny do i z serwerów WWW firmy Hypothetical
- Monitorować ruch między Hypothetical a inną, konkurencyjną siecią
- Zaatakować drugą bramę
- Przerwać komunikację do i z drugiej bramy
Sieć Attack Hypothetical
Dostawcy sieci również stanowią atrakcyjną opcję ataku. Pojedyncze włamanie do komponentu systemu dostarczonego przez dostawcę sieci skutkuje naruszeniem bezpieczeństwa dużej liczby witryn użytkowników końcowych. Istnieje bogata historia preferowanych celów przełączników prywatnych (PBX) i publicznych (należących do operatora). Routery SOHO dostarczone przez dostawcę ze zdalnym zarządzaniem lub funkcją Wi-Fi mogą również stać się wektorem ataku, jeśli konfiguracja dostarczona przez dostawcę jest wadliwa lub jeśli hasła zarządzania wygenerowane przez dostawcę zostaną naruszone. Rozwiązaniem jest odizolowanie systemów innych firm w oddzielnych strefach DMZ, przy czym ruch między każdą z DMZ a resztą sieci jest skrupulatnie sprawdzany pod kątem protokołu kontroli transmisji i protokołu datagramów użytkownika (TCP / UDP), numeru portu i źródła i adresy docelowe, aby upewnić się, że cały ruch jest autoryzowany. Jedną z metod jest użycie pojedynczej zapory z wieloma portami sieci lokalnej (LAN), z których każdy ma inne reguły filtrowania, w celu przekształcenia oryginalnej pojedynczej strefy DMZ firmy Hypothetical w rozłączne, chronione strefy DMZ.