許多防火牆產品都提供了DMZ的介面。硬體防火牆由於使用專門的硬體晶片，所以在性能和流量上有絕對的優勢。軟體防火牆的性價比非常好，一般企業使用起來效果不錯。如果使用Linux防火牆，其成本將更低。因此這裏將要介紹的是在Linux防火牆上劃分DMZ區域的方法。

構建DMZ的策略

Linux從2.4內核開始,正式使用iptables來代替以前的ipfwadm和ipchains，實現管理Linux的包過濾功能。Linux的包過濾通過一個叫netfilter的內核部件來實現。netfilter內建了三個表，其中默認表Filter中又包括3個規則鏈，分別是負責外界流入網路介面的資料過濾的INPUT鏈、負責對網路介面輸出的資料進行過濾的OUTPUT鏈，以及負責在網路介面之間轉發資料過濾的FORWARD鏈。要構建一個帶DMZ的防火牆，需要利用對這些鏈的設定完成。首先要對從連接外部網路的網卡(eth0)上流入的資料進行判斷，這是在INPUT鏈上完成。如果資料的目標位址屬於DMZ網段，就要將資料轉發到連接DMZ網路的網卡（eth1）上；如果是內部網路的位址，就要將資料轉發到連接內部網路的網卡（eth2）上。表1顯示了各個網路之間的訪問關係。