客户计算机通常被您的 IT 视为“未管理”，因此您希望他们只能访问他们绝对需要访问的有限资源集。为此，您确实需要实施 DMZ，即入站和出站流量仅限于批准的流列表的网络区域。

这反过来又需要一个类似防火墙的设备，尽管从安全角度来看，这可能并不总是足够的。在我的环境中，我们不提供从非托管设备到任何平台的直接访问，即使这些设备位于 DMZ 中。DMZ 通常允许访问 Citrix 场或某种形式的跳转服务器，然后允许用户做他们应该做的任何事情。

我会认真重新考虑任何要求第三方设备对您网络上的任何内容进行第 2 层访问的架构，反之亦然，因为您基本上放弃了您在两者之间可能拥有的任何控制权（是的，您可以强制流量通过一个透明的防火墙或 IPS，但它会很乱）。