跨越防火墙的数据流必须经过外部屏蔽路由器、壁垒主机与内部屏蔽路由器，在两个路由器之上都可以设置过滤规则，壁垒主机运行应用代理服务软件。同时，企业对外的如WWW、FTP服务器等可以放在DMZ内。 　　这种结构优点在于当壁垒主机或企业对外的服务器受到安全威胁时，由于DMZ与内部屏蔽路由器的隔离作用，使得内部网络的安全威胁尽可能地减少。 　　一般情况下，对DMZ配置成如下状态：内部网和Internet均能够访问DMZ上的某些资源，但不能通过DMZ让内部网和Internet直接进行信息传输。外部屏蔽路由器用于防范Internet上来的外部攻击，并管理Internet到DMZ的访问，访问壁垒主机和上面的信息服务器。；内部屏蔽路由器只接收壁垒主机发出的数据包，并管理DMZ到内部网的访问。对于内部网去往Internet的数据包，内部屏蔽路由器管理内部网络到DMZ的访问，它允许内部网只能访问DMZ上的壁垒主机及信息服务器；外部屏蔽路由器上的过滤规则只接受来自壁垒主机去往Internet的数据包。