Cette zone est donc l’endroit où l’on sait que les éléments que l’on va y placer ne sont pas des objets à fonctionnalité et à contenu critique. Les serveurs que l'on y place s'appellent des Bastions. Par exemple, on peut y mettre un serveur Web de l’entreprise cela n’est pas trop gênant de se faire pirater cette machine puisque les données sont publiques et qu’il sera très simple de restaurer une sauvegarde en local sur la machine. Bien sur, et dans ce cas seulement, il n’est pas question de faire transiter ni de stocker des informations essentielles dessus, par exemple une base de données de commandes clients / fournisseurs ou bien une messagerie. On n’y mettra pas non plus des services tels que le proxy, la comptabilité, la paye…
Les Bastions peuvent recevoir un service de DNS externe, être des relais Mail, des serveurs publiques FTP,...
Si l’on souhaite sécuriser un service Web dans cette zone, on fait en sorte que le routeur soit épaulé par un vrai Firewall et en plus on rajoute un serveur d’authentification dans la DMZ. Ce serveur d’authentification est l’élément qui délivre les accès aux différents services présents dans la DMZ. Lorsqu’on souhaite se loguer sur le routeur, le routeur ne va autoriser le prompt qu’après avoir vérifié et échangé avec le serveur d’authentification les informations concernant celui qui souhaite se loguer. Ils procèdent à un échange d’informations sécurisées puisque ils ont une clé privée qui leur est commune et non transmissible en clair lors des échanges.
Néanmoins, la station d’accueil doit exécuter une version "blindée" son OS. Elle doit être surveillée et optimisée contre ses propres faiblesses face aux intrusions possibles. L'administrateur ne laissera que les services strictement nécessaires fonctionner car tout service non lancé ne peut pas être attaqué.
Un syslog doit être posté sur chaque machine afin d'analyser précisément les durées de connexion, le trafic, les données et le type de connexion. Si l'information ainsi générée est bien triée ( automatiquement bien entendu ) on arrive facilement à déterminer les mouvements inhabituels ou étranges.
Un autre point tout aussi important consiste à séparer au maximum les programmes qui offrent des services différents. L'avantage c'est que si un service "tombe", il est plus simple de le remettre en place après vérification et surtout on conserve une continuité sur les autres services. Sans compter qu'un programme de petite taille est plus simple à modifier, sécuriser ou mettre à jour qu'un programme trop complet... En plus, il vaut mieux que les programmes n'accèdent pas trop au disque dur ( ou du moins dans des répertoires très sécurisés et isolés ) car en cas de processus "en attente de propagation" qui aurait pu être introduit, il est simple de l'effacer définitivement : on reboot !