Eine demilitarisierte Zone (DMZ) bietet die Möglichkeit, bestimmte Rechner in einem Netzwerk aus dem Internet erreichbar zu machen. Mit diesen Rechnern in der DMZ werden üblicherweise Internetdienste wie E‑Mail o. ä. angeboten. Der Rest des Netzwerks soll natürlich weiterhin für Angreifer aus dem Internet unerreichbar bleiben.
Um diesen Aufbau zu ermöglichen, muss der Datenverkehr zwischen den drei Zonen Internet, DMZ und LAN von einer Firewall geprüft werden. Diese Aufgaben der Firewall können durchaus in einem Gerät (Router) zusammengefasst werden. Dazu braucht der Router drei Interfaces, die getrennt voneinander durch die Firewall überwacht werden können:
- LAN-Interface
- WAN-Interface
- DMZ-Interface