I sistemi firewall permettono di definire delle regole di accesso fra due reti. Tuttavia, in pratica, le aziende hanno generalmente più sub-reti con delle politiche di sicurezza diverse. Ecco perché è necessario realizzare delle architetture di sistemi firewall che permettono di isolare le diverse reti aziendali: si parla allora di « isolamento delle reti » (le terme isolation.
Quando alcuni terminali della rete interna devono essere accessibili dall'esterno (server web, un server di messaggeria, un server FTP pubblico, ecc.), è spesso necessario creare una nuova interfaccia verso una rete a parte, accessibile sia dalla rete interna che da quella esterna, senza per altro rischiare di compromettere la sicurezza dell'azienda. Si parla allora di « zona smilitarizzata » (sigla DMZ per DeMilitarized Zone) per designare questa zona isolata che ospita delle applicazioni a disposizione del pubblico. La DMZ fa anche da « zona cuscinetto » tra la rete da proteggere e la rete ostile.
I server posti nella DMZ sono chiamati « bastioni » per il loro ruolo di avamposti della rete aziendale.
La politica di sicurezza attuata sulla DMZ è solitamente la seguente :
La DMZ ha dunque un livello di sicurezza intermedio, ma il suo livello di sicurizzazione non è sufficiente per immagazzinarvi dei dati sensibili per l'azienda.
Si fa notare che è possibile realizzare delle DMZ internamente per isolare la rete interna a diversi livelli di protezione e quindi evitare le intrusioni provenienti dall'interno.