Eine Demilitarized Zone (DMZ) oder demilitarisierte Zone beschreibt einen Host-Rechner oder Netzwerkverbund der durch einen sicheren Bereich (neutrale Zone) vom Internet oder anderen grösseren Netzen abgetrennt ist. Die Server im inneren Netzwerk  werden vor Angriffen aus dem öffentlichen Netz geschützt. Eine DMZ sollte durch eine Firewall ergänzt werden. Firewall und DMZ können in einem Gerät verwirklicht werden (Router, Hardwarefirewall oder ähnliches) oder hintereinander geschaltet sein.  Ein gutes Sicherheitskonzept ist ein zwei-stufiger Schutz: eine Firewall schützt die DMZ vor Angriffen aus dem Internet und eine weitere Firewall trennt die DMZ vom internen Netz. Sinnvoll ist es, dass die beiden Firewalls unterschiedlicher Bauart  sind. So gibt es keine singuläre Schwachstelle die das interne Netz kompromittieren könnte. Die internen Server sind jedoch immer noch angreifbar und sollten deswegen durch Virtual Local Area Networks (VLANs) in Bereiche aufgeteilt sein oder  durch zusätzliche Software-Firewalls geschützt sein. Diese werden dann so eingestellt, dass sie Traffic, der aus der DMZ kommt, blockieren. Der Aufbau einer Verbindung sollte grundsätzlich immer vom internen Netz aus in Richtung DMZ erfolgen und nicht  umgekehrt. Empfehlenswert ist es, ein Firewall-Regelwerk aufzustellen, welches allen genannten Anforderungskriterien genügt. Die Firewall-Filter können auch in einem einzigen Gerät verwaltet werden. Dieses muss dann über drei Netzwerkverbindungen  verfügen (für WAN, LAN, und DMZ). Ein interner File- oder Mailserver wird am besten innerhalb der DMZ aufgestellt. Die Filter sollten so konfiguriert sein, dass sie nur kontrollierten Zugriff auf den Server und vom Server in Richtung  internes Netz erlauben. Dadurch ist der Server vor Angriffen von aussen geschützt und im Falle eines gelungenen Angriffes auf diesen Server kann er nicht ungehindert für weitere Angriffe auf das interne Netz verwendet werden.  Sinnvoll ist es, einen zweiten Server innerhalb des internen Netzes einzurichten, und den Server innerhalb der DMZ nur dazu zu verwenden, Files oder Mails an den zweiten Server weiterzuleiten (Application Gateway).  Im Falle eines gelungenen Angriffes auf den Server innerhalb der DMZ kann der interne File- oder Mailverkehr weiterlaufen. Der DMZ-Server kann auch relativ leicht wiederhergestellt werden.                                       

Eine Firewall ist ein Software- und/oder Hardwaresystem, welches lokale Netzwerke vor Eindringlingen schützt. Auch der umgekehrte Weg, dass Informationen ungewollt an externe Server verschickt werden,  wird überwacht. Eine Firewall kann vom einfachen Programm  (wie beispielsweise Zone Alarm, Kerio, Sygate, Outpost, Ashampoo, IPCop (Linux-Distribution), Juniper Netscreen, Endian Firewall, Check Point Firewall 1, BrazilFW, Astaro Security Linux, Securepoint, m0n0wall (Firewall- und Routerdistribution auf  Basis von FreeBSD 4.11), Microsoft Internet Security and Acceleration Server (ISA-Server) u.a.) bis zu einer sehr komplexen Lösung reichen, welche vor allem bei grösseren Firmennetzwerken eingesetzt wird.  Das Hackerproblem sowie die immer umfangreichere Anzahl von Computer-Viren, Trojanern, Würmern, Keyloggern oder Sniffer-Programmen erzwingt eine ständige Aktualisierung der Firewall und der Hard- und Softwareeinstellungen.  Die Firewall arbeitet mit einem Intrusion Detection System (IDS), welches ein- und ausgehenden Traffic durch Signaturen und Filtern mit einer Musterdatenbank abgleicht  oder auch heuristische Methoden einsetzt um Angriffe oder unerwünschten Datenverkehr zu entdecken. Eine Firewall kann sowohl softwaretechnisch als auch in Form einer Hardware-Firewall realisiert werden.  Oft ist ein gewisser Firewall Schutz auch in Routern eingebaut (beispielsweise durch DMZ (Demilitarized Zone, demilitarisierte Zone), Network Address Translation (NAT) oder Stateful Packet Inspection (SPI) u.a.).