Een DMZ (gedemilitariseerde zone) wordt voornamelijk gebruikt voor het hosten van servers en services die toegankelijk moeten zijn via internet en biedt tegelijkertijd een beveiligingslaag door ze te scheiden van het interne netwerk. Het fungeert als bufferzone tussen het interne netwerk, dat gevoelige gegevens en bronnen bevat, en het externe netwerk (meestal internet). Door servers zoals webservers, e-mailservers, FTP-servers en DNS-servers in de DMZ te plaatsen, kunnen organisaties externe gebruikers toegang geven tot noodzakelijke services zonder de veiligheid van interne systemen in gevaar te brengen.
Het primaire doel van een DMZ is het verbeteren van de netwerkbeveiliging door servers en services te isoleren die externe toegang vereisen. Het helpt het interne netwerk te beschermen tegen potentiële bedreigingen die afkomstig zijn van internet of externe netwerken. Door servers in de DMZ te plaatsen en firewallregels te configureren, kunnen organisaties het verkeer van en naar deze servers effectiever controleren en monitoren. Deze scheiding vermindert het risico van ongeautoriseerde toegang tot gevoelige interne systemen en gegevens.
Een firewall is een netwerkbeveiligingsapparaat of -software die inkomend en uitgaand netwerkverkeer bewaakt en controleert op basis van vooraf gedefinieerde beveiligingsregels. Het fungeert als een barrière tussen verschillende netwerksegmenten om ongeoorloofde toegang en potentiële bedreigingen te voorkomen. Een DMZ daarentegen is een specifiek netwerksegment of -zone binnen een netwerkarchitectuur die door firewalls geïsoleerd en gescheiden is van zowel het interne netwerk als het externe netwerk. Terwijl firewalls het beveiligingsbeleid afdwingen en de verkeersstroom controleren, is een DMZ een concept van netwerkarchitectuur waarbij servers worden geïsoleerd die externe toegang nodig hebben, terwijl de veiligheid behouden blijft.
Een voorbeeld van een DMZ is een netwerkopstelling waarbij een bedrijf zijn webserver en e-mailserver in een aparte zone tussen het interne netwerk en internet host. Deze servers moeten toegankelijk zijn vanaf internet, zodat gebruikers toegang kunnen krijgen tot de website van het bedrijf en e-mails kunnen verzenden/ontvangen. Door ze in de DMZ te plaatsen, kunnen externe gebruikers met deze services communiceren zonder directe toegang te krijgen tot het interne netwerk van het bedrijf, waar gevoelige gegevens en kritieke bronnen worden opgeslagen.
Een DMZ-switch is een netwerkswitch die specifiek is geconfigureerd en gebruikt om servers en services in de DMZ te verbinden. Hiermee kunnen beheerders het netwerkverkeer tussen de DMZ en andere netwerksegmenten, zoals het interne netwerk en internet, scheiden en beheren. DMZ-switches zijn geconfigureerd met passende beveiligingsmaatregelen en beleid om de verkeersstroom te controleren, zodat alleen geautoriseerde communicatie is toegestaan van en naar de servers die in de DMZ worden gehost. Dit helpt de veiligheid en integriteit van zowel de DMZ als het interne netwerk te behouden door strikte toegangscontroles af te dwingen en de netwerkactiviteit te monitoren.