A maneira de pensar sobre isso é a confiança. Agora, você confia em tudo na sua rede interna e em nada externo. Isso porque você está confiante de que seus dispositivos de rede internos estão sob seu controle e sabe que não controla nada externo. Qualquer coisa externa não é confiável (isso não é uma palavra, mas é comumente usada)
Qualquer interação entre as redes internas e externas resulta em uma diminuição na confiança da rede interna. Porque mesmo quando navega em um servidor na rede externa com algo na rede interna, você o está expondo - talvez algo malicioso possa tirar proveito de uma vulnerabilidade em seu navegador, por exemplo.
Esse tipo de risco é mitigado pelo controle cuidadoso das conexões de saída. Em uma configuração corporativa, você pode usar um servidor proxy para o tráfego da Web, que pode verificar se há atividade maliciosa. Para e-mail, você usaria um retransmissor interno. Ambos ajudam a evitar o contato direto entre dispositivos confiáveis e dispositivos não confiáveis.
Quando você está encaminhando a porta, está permitindo o acesso direto aos seus dispositivos confiáveis de uma fonte não confiável. Isso reduz drasticamente a confiança desse dispositivo, a ponto de não mais ser considerado confiável: semiconfiável.
Se esta máquina estiver em sua rede interna, você terá dispositivos confiáveis capazes de interagir diretamente com um dispositivo semiconfiável e vice-versa, diminuindo assim sua confiança na rede.
Para atenuar isso, colocamos dispositivos semi-confiáveis em sua própria rede e controlamos cuidadosamente o acesso entre a rede semi-confiável (conhecida como DMZ) e a rede interna.
Idealmente, isso seria através do uso de um firewall que não permite que as conexões sejam instigadas da DMZ para a rede interna. Em muitos casos, isso não é viável e algum acesso deve ser permitido.
O acesso à DMZ a partir da rede interna deve ser controlado de forma semelhante e mantido ao mínimo através de regras de firewall.