Podsieć ekranowana to metoda ochrony stosowana w sieciach komputerowych obejmujących zarówno obszary publiczne, jak i prywatne. Systemy te rozdzielają funkcje publiczne i prywatne na dwa odrębne obszary. Lokalny intranet zawiera prywatne komputery i systemy sieciowe, podczas gdy podsieć posiada wszystkie funkcje publiczne, takie jak serwery WWW lub publiczne przechowywanie plików. Gdy informacje pochodzą z Internetu, router określa, do której części systemu ma dostęp i odpowiednio je wysyła. Jest to przeciwieństwo typowej sieci, w której po jednej stronie routera znajduje się tylko intranet, a po drugiej Internet.
W standardowej sieci lokalny intranet łączy się z routerem, który kieruje informacje na zewnątrz do pełnego Internetu. Wewnątrz routera lub podłączona do routera znajduje się zapora, która chroni intranet przed zakłóceniami z zewnątrz. W przypadku podsieci ekranowanej istnieje trzecia część dostępna przez router, ale nie podłączona bezpośrednio do lokalnego intranetu, która umożliwia dostęp przez Internet. Ta trzecia sekcja znajduje się zwykle w strefie zdemilitaryzowanej (DMZ), co oznacza, że nie jest ona w pełni chroniona przez zabezpieczenia sieci.
Jedną z podstawowych różnic w ekranowanej podsieci jest różnica między systemami prywatnymi i publicznymi. Prywatny system zawiera komputery osobiste, stacje robocze, konsole do gier i inne rzeczy używane przez właścicieli sieci. Sekcja publiczna zawiera punkty dostępu, z których korzystają osoby spoza sieci. Typowe zastosowania połączeń zewnętrznych to hostowanie strony internetowej lub serwera plików.
Publiczne obszary sieci są w pełni dostępne i widoczne z Internetu, podczas gdy informacje prywatne nie są. Zazwyczaj odbywa się to za pomocą trzyportowej zapory lub routera. Jeden port łączy się z Internetem i jest używany przez cały ruch przychodzący i wychodzący. Drugi łączy się tylko z publicznymi częściami systemu, podczas gdy trzeci łączy się tylko z prywatnymi.
Korzystanie z ekranowanej podsieci jest w zasadzie funkcją bezpieczeństwa sieci. W typowym ataku zewnętrznym router i zapora zostaną zbadane pod kątem słabości. Gdyby taki został znaleziony, intruz wszedłby do sieci i miałby pełny dostęp do intranetu. Przy użyciu ekranowanej podsieci intruz najprawdopodobniej znalazłby publiczne punkty dostępu i zaatakowałby tylko część publiczną. Kiedy obowiązuje strefa DMZ, ochrona publiczna jest znacznie słabsza, co zwiększa prawdopodobieństwo, że ta część systemu zostanie zaatakowana, a część prywatna zostanie pozostawiona w spokoju.