son consapevole che non ho ben chiaro nemmeno il concetto di base. solamente avevo posto una domanda diversa dalla risposta ottenuta
Solitamente il concetto di base, almeno a livello didattico, è che una DMZ è una parte della rete aziendale esposta ad Internet e separata dalla LAN interna. L'idea di fondo è che i servizi (o comunque i
server) della DMZ siano accessibili dall'esterno senza troppe restrizioni, essendo volutamente esposti ad Intenet, ma dalla DMZ non sia possibile raggiungere facilmente la LAN interna, per chiari motivi di sicurezza (attaccare o compromettere la DMZ non dovrebbe comportare il poter attaccare o compromettere la LAN, se la segmentazione della rete aziendale è stata ben impostata).
Il
firewall interno che protegge la LAN (o comunque l'insieme delle regole di quell'interfaccia in quella direzione) avrà regole più restrittive di quello esterno che regola l'accesso alla DMZ da Internet.
Per quanto riguarda la "domanda 1", i
router puoi considerarli come compresi nei
firewall, oppure, se ti viene esplicitamente chiesto di considerarli separatamente, allora dopo ogni
firewall (per il traffico che viene dall'esteno della rete) ci sarà il "
router perimetrale" della rispettiva rete.
Per quanto riguarda la "domanda 2": in teoria entrambi gli schemi con packet tracer possono funzionare come DMZ ed è anche possibile delinearne uno con un unico
router/firewall fra Internet e le due reti interne (la DMZ e la LAN), sempre considerando che le regole (ACL o simili) saranno ben differenti per il traffico destinato alla LAN rispetto a quello destinato alla DMZ e che ci saranno apposite regole per il traffico fra le due reti.
Buono studio e in bocca al lupo per gli esami.
