DMZ - Zona Desmilitarizada é um segmento de rede separado das demais redes. Ela serve como uma segurança adicional entre a sua rede (interna) corporativa e a Internet (externa) pública. A DMZ pode ser utilizada, também, para separar determinada máquina, colocando-a fora da proteção de um firewall.
A DMZ é um conceito e não um software ou hardware. Consiste em separar, por meio físico e lógico, os setores, departamentos ou estações de uma rede corporativa. Este conceito é largamente utilizado por grandes corporações, governos e bancos.
Geralmente essas companhias possuem como maior valor corporativo as informações, para elas é muito mais caro perder uma base de dados inteira do que um funcionário de renome, afinal, a informação é a alma da empresa.
A função de uma DMZ é separar os serviços externos, como http e ftp da rede local, com minimização dos danos de uma invasão à rede local. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter forma alguma de acesso à rede local.
Uma DMZ fica localizada entre uma rede interna e uma rede externa. Na criação de uma DMZ, acrescenta-se um segmento a mais de rede ou sub-rede que ainda faz parte do sistema por meio de uma terceira porta de interface no firewall. Esta configuração permite que o firewall troque dados com a rede geral e com a máquina isolada usando Network Address Translation (NAT). O firewall não costuma proteger o sistema isolado, permitindo que ele se conecte mais diretamente à Internet.
Uma DMZ pode ser implementada com filtros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo filtro de pacotes, filtragem total de pacotes e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway).