DMZ Why

A DMZ can be used to isolate public-facing servers from your other LANs.

If my development server at home gets compromised, I don't want my LAN PCs to get attacked.

Or, if my guest's computers are infected, I don't want them using my LAN.

etc.

Defense-in-depth; no single layer of protection is perfect.

Barry

Hi Olsi,

Seconding what Barry said, isolation and defense in depth.

The same reason we isolate Guest WiFi from the rest of the network, why we isolate Management and SAN traffic from the regular LAN. Keeps the un-wanted's out. [:)]

Stuff like the WAF and proxies just add more defenses at the perimeter, making it harder to compromise public facing servers. The DMZ ensures that when (not 'if') a compromise happens, the compromised machine can't be used to break into protected systems on the LAN.

Some organizations take that a step further and firewall between the servers and the workstations, so that if an internal workstation is compromised, it can't affect the servers.

All back to isolation and defense in depth.

Hi Olsi,

Seconding what Barry said, isolation and defense in depth.

The same reason we isolate Guest WiFi from the rest of the network, why we isolate Management and SAN traffic from the regular LAN. Keeps the un-wanted's out. [:)]

Stuff like the WAF and proxies just add more defenses at the perimeter, making it harder to compromise public facing servers. The DMZ ensures that when (not 'if') a compromise happens, the compromised machine can't be used to break into protected systems on the LAN.

Some organizations take that a step further and firewall between the servers and the workstations, so that if an internal workstation is compromised, it can't affect the servers.

All back to isolation and defense in depth.