Добрый день. В данный момент вникаю в технологии МЭ.
Суть вопроса такая:
Т.к. ресурсы бывают внешние (DMZ) и внутренние, необходимо защищать каждый от внешних нарушителей и соответственно, от внутренних.
Изучая теорию на просторах Интернета я узнал, что DMZ может быть как одна, так и 2.
Пример 1. Одна зона DMZ:
![d5d4a770faa144e9ae3d314c8f36710e.png](https://habrastorage.org/files/d5d/4a7/70f/d5d4a770faa144e9ae3d314c8f36710e.png)
Весь входящий трафик фильтруется по банальному (быстрому) пакетному фильтру.
Далее, DMZ сеть подключена к основному МЭ (с функцией фильтра с отслеживанием соединений, URL-фильтрацией, IPS и прочими плюшками аппаратных МЭ).
Здесь защита внешних ресурсов понятна, но защита внутренних серверов как происходит, если они объединены в 1 сегмент.
Пример 2. Две зоны DMZ:
![87223be9bc9443bb87d094eb6ee7cc66.png](https://habrastorage.org/files/872/23b/e9b/87223be9bc9443bb87d094eb6ee7cc66.png)
Здесь уже более понятно, имеются 2 зоны (внутренняя и внешняя), красные стрелки - куда трафик разрешен, синими - запрещен.
Собственно, сами вопросы:
1. Почему в теории указывается 1 зона DMZ, хотя защищать надо внутренние ресурсы и внешние?
2. В случаях, если указывается две зоны, то на каждую зону приходится свой (отдельный) МЭ. Разве нельзя обойтись одним (как изображено в примере 2).
Дорогие профессионалы своего дела, надеюсь на вашу помощь. Спасибо.