外部からのさまざまな攻撃を避けるためにインターネットと内部ネットワークの間に設けられた緩衝地帯(サブネットワーク)のこと。「DMZ」とも呼ばれるが「DMZ」の原語には諸説あり、「DeMilitarized Zone」や「Data Management Zone」「DeMarcation Zone」などの略号と言われている。実際にはファイアウォール/ルーティング機器のオプション機能として搭載されることが多い。
DoS(サービス不能化)攻撃や不正アクセスなどの外部からの攻撃に対し内部ネットワーク(LAN)を防御しようとする場合の一手法として、「非武装ネットワーク」を外部ネットワーク(インターネットなどのWAN)との間に構成するというやり方がある。
インターネットに公開する必要のあるサーバー(例えば、Webサーバー、メールサーバー、DNSサーバー、Proxyサーバーなど)を、内部ネットワークとは別にファイアウォールのDMZポートからサブネットワークを設置することによって、通常のLANポートと分離し、万一公開サーバーが攻撃されても、LAN ポートへの被害拡大を食い止めることができるようにするのである。
DMZは外部のネットワークからの接続のみを許可し、DMZから内部のネットワークへの接続を許可しないため、万が一DMZにまで外部から侵入を許したとしても、攻撃側はそれ以上内部には入り込むことはできない。しかもDMZは外部のネットワークに対してサービスを継続することができる。