防火墙设计和旧的外部/dmz/内部模型有很多理论，虽然仍然很普遍，但无论如何都不像以前那样受欢迎。这个问题也接近被关闭为“基于意见”，但我不会亲自投票。

在我看来（因为这听起来像是一个较小的部署），您应该在支持它的单个防火墙上查看四个区域，这将更容易管理/支持，并且更具成本效益。

为了安全（从最低到最高），我将按如下方式构建区域：

1. 外部：基本上在您的防火墙之外并且没有任何防火墙限制。这也是您可以放置​​任何访客访问权限的两个地方之一（将其安装在四区域模型中，而不是添加第五个区域）。
2. 学生：这是学生连接到网络的地方，不受外部保护，但无法免费访问内部资源。这是您可以考虑来宾访问的第二个地方。
3. dmz：这是传统的 dmz，您可以在其中放置外部访问的资源。在这种情况下，它也是您放置应该由学生/客人访问的资源的地方。
4. 内部：为您的员工和内部唯一的资源。为了增加安全性，这也可以分为两个不同的区域。

然而，今天任何好的防火墙部署的关键是研究一个应用程序感知的防火墙。这可以提供超出传统“限制对 IP/端口的访问”和状态规则的额外保护。例如，它可能能够检测 XSS 或 SQL 注入攻击并阻止这些攻击。

一个人应该使用两个防火墙还是一个三腿防火墙来创建 DMZ 可能比其他任何事情都更符合个人喜好。一个单一的三腿防火墙在 95% 的情况下都可以工作，并且显然比具有两个规则集的两个防火墙更便宜且更易于管理。另一方面，两个防火墙，如果它们是不同的品牌，可能会防止一个品牌的（理论上的）漏洞。

除非您的防火墙正在执行某种数据包检查/恶意软件检测，否则防火墙相对于简单访问列表的好处并不是那么大。归根结底，使用一个或两个防火墙几乎没有什么区别，因为它是操作系统或用户中的漏洞导致绝大多数攻击。

我通常会设置一个包含 3 个部分的防火墙（我称之为 RED、ORANGE、GREEN），并在 3 个部分之间设置规则。RED 是您的 WAN（internett），ORANGE 是您的 DMZ（您可以在其中放置您想要的任何服务器）可以从 internett 访问），以及一个绿色网络，用于您的普通 PC 和其他无法从 Internet 访问的服务器（或就此而言的 DMZ）。即使使用 ORANGE 网络，该网络也可以得到很好的保护（例如，如果您只使用端口 80，则仅打开端口 80）。