Hinter der Firewall -> Intranet ,"demilitarisierte Zone"
Vor der Firewall -> Internet, "das Böse", "der rechtsfreie Raum"

Man kann nun die Blackbox einfach VOR die Firewall setzen.
Das Problem ist dann zunächst, dass man die Blackbox innerhalb der Firewall nicht ansprechen kann.
Lösung: es wird ganz gezielt ein kleines "Loch" in die Firewall gebohrt, um den Zugriff zu erlauben.

Beispiel:
der Blackbox habe die IP: 195.99.88.77
Im Intranet wird der IP-Bereich 192.168.1.255/24 verwendet.
Die Firewall kann nun den Zugriff auf 195.99.88.77:4500 per TCP/IP erlauben. (4500=Portadresse)
Sicherheitsparanoiker können den Zugriff auf wenige Rechner im Intranet beschränken.
An Stelle von festen IPs kann auch mit Rechnernamen gearbeitet werden.
Die Blackbox kann mit Viren verseucht werden, aber sie hat keine Chance ins Intranet vorzudringen.