Типичный для атакующих подход состоит во взломе уязвимого для атаки хоста и использовании доверительных отношений между уязвимым хостом и другими, более интересными, целями.
 При поддержке нескольких служб с разными уровнями защищенности может пригодиться разделение ДМЗ на несколько «зон защиты». Это можно сделать, создав несколько различных сетей в пределах ДМЗ. Например, маршрутизатор, обеспечивающий доступ извне, может передавать информацию по двум сетевым интерфейсам ethernet, защищенным списками контроля доступа и, тем самым, входящим в ДМЗ.
В одной из сетей можно собрать хосты, реализующие потребности организации в подключении к Internet. Вероятно, они будут пересылать электронную почту, информацию дискуссионных групп и поддерживать службу DNS.
В другой сети могут находиться Web-серверы и другие хосты, обеспечивающие работу служб, предназначенных для пользователей Internet.

Во многих организациях службы для пользователей Internet защищаются менее серьезно и с большей вероятностью могут допускать небезопасные действия. (Например, в случае Web-сервера, неавторизованные и не пользующиеся доверием пользователи могут запускать CGI- или другие выполняемые программы. Это может быть необходимо для работы Web-сервера, но несет ряд угроз, которые необходимо учитывать. Вероятно, эти службы окажутся слишком рискованными, чтобы запускать их на бастионном хосте, взлом которого может привести к полному отказу механизмов защиты.) Помещая хосты с похожими уровнями риска вместе в отдельные сети в ДМЗ, можно уменьшить вред от взлома сайта. Если кто-нибудь взломает Web-сервер, воспользовавшись какой-то ошибкой в программе, то не сможет использовать его как стартовую площадку для взлома приватной сети, если Web-серверы располагаются в локальной сети отдельно от бастионных хостов и нет никаких доверительных отношений между Web-сервером и бастионным хостом.
   Вспомним теперь, что речь идет о сетях ethernet. Если кто-нибудь взломает Web-сервер, а бастионный хост находится в том же сегменте ethernet, взломщик может установить на Web-сервере анализатор протокола и просматривать информацию, передаваемую бастионному хосту и отправляемую с него. В результате можно получить данные, необходимые для взлома бастионного хоста и получения доступа к внутренней сети.
   Разделение служб не только по хостам, но и по сетям, и ограничение уровня доверия между хостами этих сетей позволяет существенно уменьшить вероятность того, что взлом одного хоста можно будет использовать для взлома другого.
 В частности, в рассмотренном примере взлом Web-сервера никак не поможет атакующему взломать бастионный хост. Помещая хосты в разные сети, можно также улучшить масштабируемость выбранной архитектуры. Чем меньше машин используют один канал передачи данных, тем большую пропускную способность сможет обеспечить каждая из них.