对这个问题有所思考的人，估计已经接受了这种想法：使用DMZ（隔离区或非军事区） 可以为部分的机器提供更安全和强大的保护功能，而不是简单地在整个网络前面放置一个传统的防火墙，将所有的通信都转入内部网络。接受这点观点固然不错，不过，有一个问题：你是采用简单的路由，将DMZ区域设置在单一的防火墙一侧呢？还是多花一些钱，实现最大的安全保护，使用两个防火墙，将DMZ区域设置在其间?

　　采用传统的单一防火墙DMZ架构，可以合理地保护面向公众的服务器。这些服务器将保护敏感的内部网络不受恶意的外部用户入侵。在这种情况下，防火墙将监视从外部流入的全部通信，以确定这种通信是应该转到DMZ网络（至少有一台机器具有转发通信的功能），还是应该传送到受保护的内部网络。同时，传统的DMZ还检查从内部网络发往外部网络的全部通信，以确定是否让这种通信通过。一，是否允许要求网络和邮件服务的内部数据包从受保护的内部网络发送到DMZ网络；二，是否需要对来自内部请求的应答通过DMZ区域进入受保护的网络；三，是否允许这些通信进入互联网。你可能知道这种结构是一种双宿网关结构，因为这种防火墙有两个接口，一个通向DMZ，另一个通向内部网络。

　　进一步而言，双重防火墙DMZ架构（亦称为子网防火墙）增加了另一个防御层，将内部网络与庞大而邪恶的外部世界隔离开来。通过在面向公众的主机前配置设置一个防火墙和在内部网络前再增加一个防火墙，这样为主机提供进一步的安全保护。使用这种架构，受保护的网络和互联网之间的通信必须要经过这两个防火墙。这些防火墙将为你对外开放的服务器提供最初的第一线防御，防止恶意通信的入侵。

　　所以，你得自己做出选择，希望下面这些问题能够对你有所帮助：

• 从性能的角度说，你能够承受让外部通信经过两个防火墙而不是一个防火墙而带来的性能损失吗?
• 你能够监视通过这个网络的两个线路的通信吗?
• 你应该从哪里监视该通信?
• 你需要一直拥有从被攻破状态立即恢复到正常状态的能力吗?这种能力应该包括在一个防火墙系统关闭的时候保持另一个防火墙运行和通信畅通。
• 你有必备数量的网络端口吗?
• 你是否有购买两个防火墙的足够预算?或者这项开支不被批准?

　　总的来说，:传统的DMZ结构为提供公共服务的机器增加了一层额外的保护，但是，这需要额外的操作和维护工作。双重防火墙DMZ的选择是最安全的，不过，其部署和运行的成本也是最贵的。