ในด้านความปลอดภัยเครือข่ายซับเน็ตที่มีการคัดกรองหมายถึงการใช้เราเตอร์คัดกรอง เชิงตรรกะอย่างน้อยหนึ่งตัว เป็นไฟร์วอลล์เพื่อกำหนดซับเน็ตที่แยกจากกันสามซับเน็ตได้แก่ เราเตอร์ภายนอก (บางครั้งเรียกว่าเราเตอร์เข้าถึง ) ซึ่งแยกเครือข่ายภายนอกออกจากเครือข่ายรอบนอก และเราเตอร์ภายใน (บางครั้งเรียกว่าเราเตอร์ควบคุม ) ซึ่งแยกเครือข่ายรอบนอกออกจากเครือข่ายภายใน เครือข่ายรอบนอก หรือที่เรียกว่าเครือข่ายชายแดนหรือเขตปลอดทหาร (DMZ) มีไว้สำหรับโฮสต์เซิร์ฟเวอร์ (บางครั้งเรียกว่าโฮสต์ป้องกัน ) ที่สามารถเข้าถึงได้จากหรือมีสิทธิ์เข้าถึงทั้งเครือข่ายภายในและภายนอก^{[ 1 ] [ 2 ] [ 3 ]}วัตถุประสงค์ของซับเน็ตที่มีการคัดกรองหรือ DMZ คือการสร้างเครือข่ายที่มีความปลอดภัยสูงขึ้นซึ่งตั้งอยู่ระหว่างเครือข่ายภายนอกและเครือข่ายที่คาดว่าจะเป็นศัตรู เช่น อินเทอร์เน็ตหรือเอ็กซ์ทราเน็ต และเครือข่ายภายใน

เครือข่ายย่อยที่มีการคัดกรองเป็นแนวคิดที่สำคัญสำหรับอีคอมเมิร์ซหรือองค์กรใดๆ ที่มีตัวตนอยู่ในเวิลด์ไวด์เว็บหรือใช้ระบบชำระเงินอิเล็กทรอนิกส์หรือบริการเครือข่ายอื่นๆ เนื่องจากมีการแพร่หลายของแฮกเกอร์ภัยคุกคามขั้นสูงที่คงอยู่ถาวร เวิ ร์มคอมพิวเตอร์บอทเน็ตและภัยคุกคามอื่นๆ ต่อระบบสารสนเทศ เครือ ข่าย

การแยกระบบไฟร์วอลล์ออกเป็นเราเตอร์ส่วนประกอบสองตัวแยกกันทำให้สามารถเพิ่มปริมาณงานได้มากขึ้นโดยการลดภาระการคำนวณของเราเตอร์แต่ละตัว เนื่องจากเราเตอร์ส่วนประกอบแต่ละตัวของไฟร์วอลล์ซับเน็ตแบบคัดกรองจำเป็นต้องดำเนินการเพียงงานทั่วไปเพียงงานเดียว เราเตอร์แต่ละตัวจึงมีการกำหนดค่าที่ซับซ้อนน้อยลง ซับเน็ตแบบคัดกรองหรือ DMZ สามารถทำได้โดยใช้อุปกรณ์ไฟร์วอลล์เพียงตัวเดียวที่มีอินเทอร์เฟซเครือข่ายสามตัว^{[ 4 ]}

ในบริบททางทหาร คำว่าเขตปลอดทหารหมายถึงพื้นที่ที่สนธิสัญญาหรือข้อตกลงระหว่างกลุ่มที่ขัดแย้งกันห้ามการติดตั้งและการดำเนินกิจกรรมทางทหาร ซึ่งมักจะอยู่ตามแนวชายแดนหรือเขตแดนที่กำหนดไว้ระหว่างมหาอำนาจทางทหารหรือพันธมิตรสองกลุ่มขึ้นไป ความคล้ายคลึงกับความปลอดภัยของเครือข่ายคือ เครือข่ายที่มีการคัดกรอง (DMZ) มีการป้องกันที่ลดลงเนื่องจากมีจุดเข้าถึงที่ตั้งใจไว้จากเครือข่ายภายนอกซึ่งสันนิษฐานว่าเป็นศัตรู

ดูเหมือนว่าคำว่าเขตปลอดทหาร (DMZ) จะได้รับความนิยมในฐานะคำศัพท์ทางการขายและการตลาดหลังจากที่มีการพัฒนาเราเตอร์และไฟร์วอลล์ที่มีการคัดกรองแล้ว โดยมักใช้เป็นคำพ้องความหมาย แต่ในอดีตอาจมีความหมายที่แตกต่างออกไป

"มีคำศัพท์หลายคำที่ใช้ เช่น bastion hosts, screened subnets, DMZ หรือ perimeter networks ซึ่งอาจทำให้สับสนได้ โดยเฉพาะอย่างยิ่งเมื่อใช้ร่วมกัน" ... "อีกคำหนึ่งที่มักทำให้เกิดความสับสนคือ DMZ (demilitarized zone) ซึ่งต่างจาก screened subnet DMZ ที่แท้จริงคือเครือข่ายที่มีโฮสต์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยมีเพียงเราเตอร์ภายนอกหรือเราเตอร์ขอบเขตคั่นกลาง โฮสต์เหล่านี้ไม่ได้รับการป้องกันโดยเราเตอร์คัดกรอง" ... "screened subnet อาจเป็นกลุ่มของโฮสต์บนซับเน็ต แต่โฮสต์เหล่านี้จะอยู่หลังเราเตอร์คัดกรอง ผู้ขายอาจใช้คำว่า DMZ เพื่อหมายถึงอย่างใดอย่างหนึ่ง ดังนั้นจึงควรตรวจสอบให้แน่ใจว่าพวกเขาหมายถึงอะไร" ^{[ 5 ]}

ในขณะที่ไฟร์วอลล์ซับเน็ตแบบคัดกรองใช้เราเตอร์คัดกรองสองตัวเพื่อสร้างซับเน็ตสามซับเน็ตไฟร์วอลล์โฮสต์แบบคัดกรองใช้เราเตอร์คัดกรองเพียงตัวเดียวเพื่อกำหนดซับเน็ตสองซับเน็ต ได้แก่ เครือข่ายภายนอกและเครือข่ายภายใน^{[ 6 ] [ 7 ] [ 8 ]}ไฟร์วอลล์ซับเน็ตแบบคัดกรองมีความปลอดภัยมากกว่า เนื่องจากผู้บุกรุกต้องผ่านเส้นทางที่กรองแล้วสองเส้นทางเพื่อเข้าถึงเครือข่ายภายใน หากโฮสต์ Bastion / DMZ ถูกบุกรุก ผู้บุกรุกยังคงต้องข้ามเส้นทางที่กรองแล้วเส้นที่สองเพื่อเข้าถึงโฮสต์เครือข่ายภายใน

• DMZ (คอมพิวเตอร์)
• ไฟร์วอลล์ (คอมพิวเตอร์)
• สถาปัตยกรรมหลายชั้น