Рассмотрим следующую конфигурацию:
Рисунок 5. Пример Конфигурации Сети.
Эта конфигурация подобна первой, за исключением того, что имеется общий сервер (DMZ — ДеМилитаризованная Зона).DMZ обеспечивает HTTP, FTP и другие услуги для глобальной сети, но не является инициатором трафика. DMZ — фактически третий интерфейс, присоединенный к Gateway, и может быть сетью, подсетью или отдельным "хостом".
Стратегия защиты для этой конфигурации аналогична стратегии защиты, рассмотренной в предыдущем примере, и содержит дополнительное правило №4. Это правило обеспечивает доступ по FTP и HTTP к DMZ из Internet.
| Source | Destination | Services | Action | Track | Install On |
| Any | DMZ | HTTP, FTP | Accept | Short Log | Gateways |
Рисунок 6. ДеМилитаризованная Зона добавлена в Базу Правил.
Обратите внимание, что в поле Install On, можно определять сетевой объект или именем, или функцией.
| Меню Install On | Назначение |
Gateways | Устанавливаются на всех сетевых объектах, определенных как шлюз в направлении, определяемом свойством "Apply Gateway Rules to Interface Direction" в окне Control Properties/Security Policy |
Dst | Алгоритмы фильтрации устанавливаются на пакеты, предназначенные указанному объекту |
Src | Алгоритмы фильтрации устанавливаются на выходящие с Источника пакеты |
Routers | Устанавливаются на маршрутизаторах |
Если указано Src, правило действует для сетевых объектов, защищенных системой FireWall, и генерирующих трафик. Направленные в разные стороны стрелки означают, что правило действует только на исходящие пакеты.
Если указано Dst, правило применимо к объектам сети, определенным как Адресат. Стрелки, направленные внутрь означают, что правило действует только на входящие пакеты.
Если указано Gateway, то правило действует на компьютерах, определенных как шлюз (в окне Host Properties). Правило применимо ко всем пакетам, перемещающимся в направлении, определенном в свойствах "Apply Gateway Rules to Interface Direction" в окне Control Properties/Security Policy.
Если указано Routers, то правило устанавливается на соответствующих интерфейсах на всех маршрутизаторах, используя возможность автообзора. CheckPoint FireWallЦ1 генерирует Списки Доступа для маршрутизаторов.
Если указано имя объекта, то правило проверяется как для входящих, так и для выходящих пакетов.
Если все модули защиты установлены на Gateway, то потребность в списках доступа на маршрутизаторах отсутствует. Маршрутизаторы, как уже было сказано, являются менее защищенными и ограничивают возможность регистрации и предупреждения чрезвычайных ситуаций, поэтому рекомендуется оставлять их открытыми и реализовывать стратегию защиты на других сетевых объектах. Необходимо заметить, что Списки Доступа маршрутизаторов могут реализовать только часть функциональных возможностей CheckPoint FireWallЦ1. Они не могут, например, защитить соединения FTP по причинам, изложенным далее в разделе "Выходные Соединения FTP".