DMZ ย่อมาจาก Demilitarized Zone มันกำหนดโฮสต์หรือเครือข่ายที่ทำหน้าที่เป็นเครือข่ายหรือเส้นทางที่ปลอดภัยและเป็นสื่อกลางระหว่างเครือข่ายภายในขององค์กรและเครือข่ายภายนอกหรือไม่เหมาะสม เรียกว่า เครือข่ายปริมณฑล หรือ เครือข่ายปริมณฑล
โดยทั่วไป DMZ จะถูกนำไปใช้เพื่อรักษาความปลอดภัยเครือข่ายภายในจากการมีปฏิสัมพันธ์และการแสวงหาประโยชน์และการเข้าถึงโดยโหนดและเครือข่ายภายนอก DMZ อาจเป็นเครือข่ายย่อยแบบลอจิคัล หรือเครือข่ายทางกายภาพที่ทำหน้าที่เป็นสะพานเชื่อมที่ปลอดภัยระหว่างเครือข่ายภายในและภายนอก
เครือข่าย DMZ มีการจำกัดการเข้าถึงเครือข่ายภายใน และการสื่อสารบางอย่างจะถูกสแกนบนไฟร์วอลล์ก่อนที่จะแชร์ภายใน หากผู้โจมตีออกแบบให้ละเมิดหรือโจมตีเครือข่ายขององค์กร ความพยายามที่ประสบความสำเร็จจะส่งผลให้มีการเจรจาของเครือข่าย DMZ เท่านั้น ไม่ใช่เครือข่ายหลักที่อยู่เบื้องหลัง DMZ ได้รับการปฏิบัติที่ปลอดภัยกว่า ปลอดภัยกว่าไฟร์วอลล์ และยังทำงานเป็นพร็อกซีเซิร์ฟเวอร์ได้อีกด้วย
ในการกำหนดค่า DMZ คอมพิวเตอร์ส่วนใหญ่บน LAN จะทำงานหลังไฟร์วอลล์ที่เกี่ยวข้องกับเครือข่ายสาธารณะ เช่น อินเทอร์เน็ต คอมพิวเตอร์หลายเครื่องยังทำงานนอกไฟร์วอลล์ใน DMZ คอมพิวเตอร์เหล่านั้นที่อยู่ภายนอกสกัดกั้นการรับส่งข้อมูลและนายหน้า ขอ LAN ที่เหลือ แทรกชั้นการป้องกันเพิ่มเติมสำหรับคอมพิวเตอร์หลังไฟร์วอลล์
DMZ แบบดั้งเดิมอนุญาตให้คอมพิวเตอร์ที่อยู่หลังไฟร์วอลล์เริ่มส่งคำขอไปยัง DMZ ขาออก ในทางกลับกัน คอมพิวเตอร์ใน DMZ ตอบกลับ ส่งต่อ หรือออกใหม่จะต้องใช้อินเทอร์เน็ตหรือเครือข่ายสาธารณะบางเครือข่าย เช่นเดียวกับพร็อกซีเซิร์ฟเวอร์ การใช้งาน DMZ บางอย่างเพียงแค่ใช้พร็อกซีเซิร์ฟเวอร์หรือเซิร์ฟเวอร์เป็นคอมพิวเตอร์ภายใน DMZ
ไฟร์วอลล์ LAN ป้องกันคอมพิวเตอร์ใน DMZ จากคำขอขาเข้าที่ไม่เหมาะสม DMZ เป็นลักษณะที่ยอมรับบ่อยของเราเตอร์บรอดแบนด์ภายในบ้าน แม้ว่า ในบางกรณี ลักษณะเหล่านี้ไม่ใช่ DMZ ที่แท้จริง บรอดแบนด์เราเตอร์โดยทั่วไปใช้ DMZ ผ่านกฎไฟร์วอลล์ที่มากขึ้นเท่านั้น แสดงว่าคำขอขาเข้าปรากฏที่ไฟร์วอลล์โดยตรง
ในการสร้าง DMZ องค์กรจะแทรกเซ็กเมนต์เครือข่ายอื่นหรือซับเน็ตที่เป็นองค์ประกอบของระบบ แต่ไม่ได้เชื่อมต่อโดยตรงกับเครือข่าย มันสามารถแทรก DMZ สร้างการใช้พอร์ตอินเทอร์เฟซที่สามบนไฟร์วอลล์ การกำหนดค่านี้ทำให้ไฟร์วอลล์สามารถถ่ายโอนข้อมูลกับทั้งเครือข่ายทั่วไปและอุปกรณ์ที่แยกได้โดยใช้ Network Address Translation (NAT) โดยทั่วไป ไฟร์วอลล์ไม่ได้ปกป้องระบบที่แยกออกมา ทำให้สามารถเชื่อมต่อกับอินเทอร์เน็ตได้โดยตรงมากขึ้น
การกำหนดค่า DMZ รองรับการรักษาความปลอดภัยจากการโจมตีภายนอก แต่โดยทั่วไปจะไม่มีผลต่อการโจมตีภายใน รวมถึงการดมกลิ่นการสื่อสารผ่านตัววิเคราะห์แพ็กเก็ตหรือการปลอมแปลง เช่น การปลอมแปลงอีเมล
