我是否需要具有 2 個防火牆 DMZ 解決方案的 LAN 中的路由器？

我有一個 LAN，它將託管一個帶有 5 個伺服器和 2 個交換邊緣伺服器的 EXTRANET 站點。LAN 將為一棟 5 層樓的辦公室提供服務，每層樓約有 100-200 名使用者。每個樓層在供應櫃中都有自己的一組開關。

在初始部署之後，我們預計伺服器的數量會增長。在檢查一些 DMZ 網路地圖時，我注意到一些模型只有兩個防火牆。其他人有 2 個防火牆解決方案，包括專用網路和外圍網路中的路由器。

網路為什麼要在專用網路和 DMZ 內為面向公眾的伺服器安裝路由器？它是否提供任何安全優勢？我認為這將在更大的 LAN 上具有某種管理優勢。我對路由器為什麼會在 DMZ 中的另一個假設是，如果伺服器只有一個 NIC，或者如果您有許多提供非常不同服務的伺服器，並且您希望出於管理目的在邏輯上劃分它們？

包含 DMZ 和路由器的區域網路

這感覺像是一個家庭作業問題，但我會咬一口。

總之：

LAN 5 層建築，每層約有 100-200 名使用者。每個樓層在供應櫃中都有自己的一組開關。5台伺服器。

DMZ 2 交換邊緣伺服器

**問：**網路為什麼需要專用網路中的路由器？

**A：**拆分網路進行後勤管理，比如每層劃分一個子網。

**問：**網路為什麼要在 DMZ 內為面向公眾的伺服器安裝路由器？

**答：**同樣，理論上它對後勤管理很有用，但只有兩個 DMZ 設備它不會提供任何好處。

**問：**路由器是否提供任何安全優勢？

**A：**一般來說，不會。許多路由器可以配置基本的防火牆規則，這並非在所有設備上都可用，甚至對於大多數案例來說都是一個好主意。通常，如果需要，專用防火牆而不是路由器是更好的選擇。

引用自：https://serverfault.com/questions/934043