DMZ là viết tắt của Khu phi quân sự. Nó định nghĩa một máy chủ hoặc mạng hoạt động như một mạng hoặc đường dẫn an toàn và trung gian giữa mạng nội bộ của tổ chức và mạng bên ngoài, hoặc không đúng quyền. Nó được gọi là mạng chu vi hoặc mạng chu vi.
DMZ thường được triển khai để bảo vệ mạng bên trong khỏi sự tương tác và khai thác và truy cập bởi các nút và mạng bên ngoài. DMZ có thể là một mạng con hợp lý hoặc một mạng vật lý hoạt động như một cầu nối an toàn giữa một mạng bên trong và bên ngoài.
Mạng DMZ có quyền truy cập hạn chế vào mạng bên trong và một số thông tin liên lạc được quét trên tường lửa trước khi được chia sẻ nội bộ. Nếu kẻ tấn công thiết kế để vi phạm hoặc tấn công mạng của tổ chức, nỗ lực thành công sẽ chỉ dẫn đến việc thương lượng mạng DMZ không phải mạng cốt lõi đằng sau nó. DMZ được coi là bảo mật hơn, an toàn hơn tường lửa và cũng có thể hoạt động như một máy chủ proxy.
Trong cấu hình DMZ, hầu hết các máy tính trong mạng LAN chạy sau tường lửa liên quan đến mạng công cộng như Internet. Một số máy tính cũng chạy bên ngoài tường lửa, trong DMZ. Những máy tính bên ngoài chặn lưu lượng truy cập và môi giới, yêu cầu mạng LAN còn lại, chèn thêm một lớp bảo vệ cho các máy tính phía sau tường lửa.
Các DMZ truyền thống cho phép các máy tính phía sau tường lửa bắt đầu các yêu cầu gửi đến DMZ. Các máy tính trong DMZ, đến lượt nó, phản hồi, chuyển tiếp hoặc phát hành lại yêu cầu kết nối Internet hoặc một số mạng công cộng, như các máy chủ proxy. Một số triển khai DMZ chỉ sử dụng máy chủ proxy hoặc các máy chủ làm máy tính bên trong DMZ.
Tường lửa mạng LAN ngăn các máy tính trong DMZ khỏi các yêu cầu gửi đến lừa đảo. DMZ là một đặc điểm thường được chấp nhận của các bộ định tuyến băng thông rộng gia đình. Mặc dù vậy, trong một số trường hợp, những đặc điểm này không phải là DMZ thực sự. Các bộ định tuyến băng thông rộng thường chỉ triển khai DMZ thông qua nhiều quy tắc tường lửa hơn, biểu thị rằng các yêu cầu đến sẽ xuất hiện trực tiếp tại tường lửa.
Khi tạo DMZ, một tổ chức sẽ chèn một phân đoạn mạng hoặc mạng con khác là một phần tử của hệ thống, nhưng không được kết nối trực tiếp với mạng. Nó có thể được chèn một DMZ tạo ra việc sử dụng cổng giao diện thứ ba trên tường lửa. Cấu hình này cho phép tường lửa truyền dữ liệu với cả mạng chung và thiết bị bị cô lập bằng cách sử dụng Dịch địa chỉ mạng (NAT). Tường lửa thường không bảo mật hệ thống bị cô lập, cho phép nó kết nối trực tiếp hơn với Internet.
Cấu hình DMZ hỗ trợ bảo mật khỏi các cuộc tấn công từ bên ngoài, nhưng nhìn chung nó không liên quan đến các cuộc tấn công nội bộ, bao gồm đánh hơi thông tin liên lạc qua trình phân tích gói hoặc giả mạo như giả mạo e-mail.