Zona desmilitarizada (informática)

Y son precisamente estos servicios alojados en estos servidores los únicos que pueden establecer tráfico de datos entre la DMZ y la red interna, como una conexión de datos entre un servidor web y una base de datos protegida situada en la red interna.

Obsérvese que los enrutadores domésticos son llamados DMZ host, aunque esa no es una definición correcta de zona desmilitarizada.

Con ello se persigue conseguir superar limitaciones para conectarse con cierto tipo de programas, aunque es un riesgo muy grande de seguridad que conviene tener solventado instalando un cortafuegos por software en el ordenador que tiene dicha IP en modo DMZ.

El primero (llamado "front-end") debe permitir el tráfico únicamente del exterior a la DMZ.

El segundo (llamado "back-end") permite el tráfico únicamente desde la red interna a la DMZ.

Diagrama de una red típica que usa una DMZ con un cortafuegos de tres patas (three-legged).
Diagrama DMZ empleando dos cortafuegos.