Die Abkürzung „DMZ“ steht für eine demilitarisierte Zone. Dies gibt es auch im Netzwerkbereich. Die Hauptanwendung für eine DMZ sind Server, die vom internen sowie externen Netz verfügbar sein müssen. Sicherheitstechnisch ist es relativ schlecht, einen direkten Zugriff auf das interne Netz zuzulassen.

Screened Subnet

Screened Subnet bedeutet, dass ein zusätzliches Netzwerk zwischen dem Internet und dem internen Netz geschaltet wird. Dies ist wieder mit einer Firewall auf beiden Seiten geschützt. Es ist auch möglich, zusätzliche Sicherheit zu schaffen, indem man Firewalls verschiedener Hersteller hintereinander schaltet und Angriffe durch mehrere Netzwerke kommen müssen.

Screened Host

Eine einfachere und meist günstigere Variante ist, ein Gerät im internen Netz als DMZ-Gerät zu definieren. Dieses Gerät hat drei Netzwerkkarten (1x fürs Internet, 1x fürs interne Netz, 1x für die DMZ). Wenn aber das Gerät mit den drei Netzwerkkarten geknackt wird, ist das ganze interne Netzwerk inklusive der DMZ für den Angreifer offen.

Honeypot

Eine andere Möglichkeit, die DMZ vor Angreifern zu schützen sind sogenannte Honeypots. Dies sind Hosts im Netzwerk, die Angreifer auf sich ziehen sollen und einfacher zu knacken sind als der Rest. So ist das Risiko, dass die produktiven Server angegriffen werden weniger hoch und Angriffe lassen sich sehr genau analysieren.