Eine Demilitarized Zone (DMZ) oder demilitarisierte Zone beschreibt einen Host-Rechner oder Netzwerkverbund der durch einen sicheren Bereich (neutrale Zone) vom Internet oder anderen grösseren Netzen abgetrennt ist. Die Server im inneren Netzwerk  werden vor Angriffen aus dem öffentlichen Netz geschützt. Eine DMZ sollte durch eine Firewall ergänzt werden. Firewall und DMZ können in einem Gerät verwirklicht werden (Router, Hardwarefirewall oder ähnliches) oder hintereinander geschaltet sein.  Ein gutes Sicherheitskonzept ist ein zwei-stufiger Schutz: eine Firewall schützt die DMZ vor Angriffen aus dem Internet und eine weitere Firewall trennt die DMZ vom internen Netz. Sinnvoll ist es, dass die beiden Firewalls unterschiedlicher Bauart  sind. So gibt es keine singuläre Schwachstelle die das interne Netz kompromittieren könnte. Die internen Server sind jedoch immer noch angreifbar und sollten deswegen durch Virtual Local Area Networks (VLANs) in Bereiche aufgeteilt sein oder  durch zusätzliche Software-Firewalls geschützt sein. Diese werden dann so eingestellt, dass sie Traffic, der aus der DMZ kommt, blockieren. Der Aufbau einer Verbindung sollte grundsätzlich immer vom internen Netz aus in Richtung DMZ erfolgen und nicht  umgekehrt. Empfehlenswert ist es, ein Firewall-Regelwerk aufzustellen, welches allen genannten Anforderungskriterien genügt. Die Firewall-Filter können auch in einem einzigen Gerät verwaltet werden. Dieses muss dann über drei Netzwerkverbindungen  verfügen (für WAN, LAN, und DMZ). Ein interner File- oder Mailserver wird am besten innerhalb der DMZ aufgestellt. Die Filter sollten so konfiguriert sein, dass sie nur kontrollierten Zugriff auf den Server und vom Server in Richtung  internes Netz erlauben. Dadurch ist der Server vor Angriffen von aussen geschützt und im Falle eines gelungenen Angriffes auf diesen Server kann er nicht ungehindert für weitere Angriffe auf das interne Netz verwendet werden.  Sinnvoll ist es, einen zweiten Server innerhalb des internen Netzes einzurichten, und den Server innerhalb der DMZ nur dazu zu verwenden, Files oder Mails an den zweiten Server weiterzuleiten (Application Gateway).  Im Falle eines gelungenen Angriffes auf den Server innerhalb der DMZ kann der interne File- oder Mailverkehr weiterlaufen. Der DMZ-Server kann auch relativ leicht wiederhergestellt werden.