Además de la respuesta de @GdD, algunas conexiones deben abrirse desde la DMZ a la LAN, por ejemplo, una conexión de servidor web a una aplicación o servidor de base de datos.
El usuario hace clic en un botón del sitio web que activa una búsqueda en la base de datos para devolver información.
Como permitir que las conexiones se realicen fuera de la DMZ es un mayor riesgo (un atacante que comprometa al servidor en la DMZ puede comenzar a abusar de las conexiones) lo que usted hace es colocar controles sobre lo que pueden hacer estas conexiones. En este caso, usaría un firewall para limitar la conexión a un puerto específico ya la dirección IP específica del servidor de la base de datos, y el servidor en sí estaría configurado para ejecutar solo una breve lista de procedimientos almacenados que ya han sido examinados por riesgo .
Debido a que la DMZ es una zona de alto riesgo, la arquitectura que use debe ser apropiada para lo que desea usar. Eche un vistazo a esta pregunta sobre las mejores prácticas de DMZ para obtener ejemplos.