Eine DMZ (Demilitarisierte Zone) im Netzwerk ist ein physisches oder logisches Subnetz, das ein internes lokales Netzwerk (LAN) von nicht vertrauenswürdigen externen Netzwerken wie dem Internet trennt. Es fügt eine zusätzliche Sicherheitsebene hinzu, indem es nach außen gerichtete Dienste wie Webserver, Mailserver und FTP-Server vom internen Netzwerk isoliert. Diese Konfiguration verhindert, dass externe Angreifer direkten Zugriff auf das interne Netzwerk erhalten, ermöglicht aber dennoch den Zugriff auf öffentliche Dienste.
In einer DMZ werden öffentlich zugängliche Dienste auf Servern innerhalb des DMZ-Subnetzes gehostet. Diese Server verarbeiten Anfragen von externen Benutzern, z. B. Webseitenanfragen oder E-Mail-Zustellung. Firewalls werden zwischen der DMZ und sowohl dem externen als auch dem internen Netzwerk platziert. Die Firewall-Regeln steuern den Datenverkehr, ermöglichen den Zugang des erforderlichen externen Datenverkehrs zu den DMZ-Servern und beschränken den Zugriff auf das interne Netzwerk. Wenn ein Server in der DMZ kompromittiert wird, erhält der Angreifer nur Zugriff auf die DMZ und nicht auf das interne Netzwerk, wodurch der mögliche Schaden begrenzt wird.
Die DMZ steht für Demilitarisierte Zone. Dabei handelt es sich um eine Sicherheitsmaßnahme, die in der Netzwerkarchitektur verwendet wird, um eine Pufferzone zwischen einem nicht vertrauenswürdigen externen Netzwerk (wie dem Internet) und dem vertrauenswürdigen internen Netzwerk zu schaffen. Dieses Setup erhöht die Sicherheit, indem es das interne Netzwerk vor potenziellen Bedrohungen trennt und schützt, während es externen Benutzern dennoch den Zugriff auf bestimmte in der DMZ gehostete Dienste ermöglicht.