A a DMZ e a rede interna devem estar no mesmo segmento de rede (ligadas ao mesmoswitch, por exemplo). É imprescindível que estas redes estejam em um mesmo segmento para que a segurança da rede seja mais eficaz.
B o tráfego para a DMZ é muito seguro. Em função disto, a política de filtragem para a DMZ é menos rigorosa. Tanto as conexões para os sistemas dentro da DMZ como as conexões partindo da DMZ para a rede interna são livres de controles.
C a configuração dofirewalldeve ser do tipodefault deny, bloqueando tudo o que não for explicitamente permitido. Esta abordagem é geralmente mais segura, pois requer uma intervenção do administrador para liberar o tráfego desejado, o que minimiza o impacto de eventuais erros de configuração na segurança da rede e tende a simplificar a configuração dofirewall.
D ofirewallpossui três interfaces de rede: uma para a rede externa, uma para a rede interna e outra para a DMZ. Ofirewallusado deve ser do tipo estático, que gera dinamicamente regras que permitem a entrada de respostas das conexões iniciadas na rede interna; portanto, não é preciso incluir na configuração dofirewallregras de entrada para estas respostas.
E dois critérios de filtragem podem ser empregados nofirewall:default allow, ou seja, todo o tráfego que não for explicitamente permitido é bloqueado oudefault deny, ou seja, todo o tráfego que não for explicitamente proibido é liberado.