问：当设置防火墙的时候，你建议把企业用户放在DMZ中吗?
　
　　答：不。按照设计，DMZ是作为中间位置的（所以它名字是demilitarized zone），公共服务和专用服务都和这里相连。传统的防火墙设置创建了三个区域：不受信任区（在边界防火墙中通常是互联网）、信任区（企业内网）和用于提供公共服务的DMZ。它们通常被用于为企业提供一个独立层，保护他们的内网系统不向外部暴露。

　　必须要呈现在不受信任区的企业服务，比如Web服务器和SMTP服务器，应该放在DMZ中。在受到攻击的情况下，这种安排确保内部用户和系统有一道防火墙保护，隔离受感染的服务器。把企业用户（属于企业内网的人）放在DMZ中，就没有了这一层保护，使他们有存在于不受信任区的系统上的风险。