DMZ (Demilitarized Zone) ist ein Netzwerksegment, das zwischen dem öffentlichen Internet und dem internen Unternehmensnetzwerk liegt. Server, die von außen erreichbar sein müssen (Webserver, Mailserver, VPN-Gateways), werden in die DMZ gestellt.
Die DMZ wird durch mindestens zwei Firewalls abgeschirmt: eine zum Internet, eine zum internen Netzwerk. Wird ein Server in der DMZ kompromittiert, hat der Angreifer keinen direkten Zugang zum internen Netz. Dieses Architekturmuster ist ein klassisches Beispiel für Defence in Depth. In modernen Cloud-Umgebungen übernehmen Security Groups und Private Subnets eine vergleichbare Funktion.