O subrețea ecranată este o metodă de protecție utilizată în rețelele de calculatoare care au atât zone publice, cât și private. Aceste sisteme separă funcțiile publice și private în două domenii distincte. Intranetul local conține computerele și sistemele private ale rețelei, în timp ce subrețeaua are toate funcțiile publice, cum ar fi serverele web sau stocarea de fișiere publice. Când informațiile provin de pe Internet, routerul determină la ce secțiune a sistemului are acces și le trimite în consecință. Acest lucru este în contrast cu o rețea tipică în care există doar intranetul pe o parte a routerului și Internetul pe cealaltă parte.
Într-o rețea standard, un intranet local se conectează la un router, care direcționează informațiile către întregul Internet. Fie în interiorul routerului, fie conectat la router, există un firewall care protejează intranetul de interferențele externe. Cu o subrețea ecranată, există o a treia porțiune care este accesibilă prin router, dar nu este conectată direct la intranetul local, care permite accesul prin Internet. Această a treia secțiune se află de obicei într-o zonă demilitarizată (DMZ), un termen de rețea care înseamnă că nu este complet protejată de securitatea rețelei.
Una dintre distincțiile de bază într-o subrețea ecranată este diferența dintre sistemele private și cele publice. Un sistem privat conține computere personale, stații de lucru, console de jocuri și alte lucruri folosite de proprietarii rețelei. Secțiunea publică conține puncte de acces care sunt utilizate de persoane din afara rețelei. Utilizările obișnuite pentru conexiunile externe ar fi găzduirea unei pagini web sau a unui server de fișiere.
Zonele publice ale rețelei sunt complet accesibile și vizibile de pe Internet, în timp ce informațiile private nu sunt. De obicei, acest lucru se realizează prin utilizarea unui firewall sau a unui router cu trei porturi. Un port se conectează la Internet și este folosit de tot traficul de intrare și de ieșire. Al doilea se conectează numai la porțiunile publice ale sistemului, în timp ce al treilea se conectează doar la cele private.
Utilizarea unei subrețele ecranate este practic o caracteristică de securitate pentru rețea. Într-un atac exterior tipic, ruterul și firewall-ul ar fi testate pentru slăbiciune. Dacă ar fi găsit unul, intrusul ar intra în rețea și va avea acces complet la intranet. Cu utilizarea unei subrețele ecranate, intrusul ar fi cel mai probabil să găsească punctele de acces public și să invadeze numai secțiunea publică. Când un DMZ este în vigoare, protecțiile publice sunt mult mai slabe, ceea ce face și mai probabil ca acea secțiune a sistemului să fie atacată și secțiunea privată să fie lăsată în pace.