Una sottorete schermata è un metodo di protezione utilizzato nelle reti di computer che hanno aree sia pubbliche che private. Questi sistemi separano le funzioni pubbliche e private in due aree distinte. L’intranet locale contiene i computer e i sistemi privati della rete, mentre la sottorete ha tutte le funzioni pubbliche come i server web o l’archiviazione di file pubblici. Quando le informazioni provengono da Internet, il router determina a quale sezione del sistema ha accesso e le invia di conseguenza. Ciò è in contrasto con una rete tipica in cui c’è solo l’intranet su un lato del router e Internet sull’altro.
In una rete standard, una intranet locale si connette a un router, che dirige le informazioni verso l’intera Internet. All’interno del router o connesso al router c’è un firewall che protegge l’intranet da interferenze esterne. Con una sottorete schermata, esiste una terza porzione accessibile tramite il router, ma non collegata direttamente alla intranet locale, che consente l’accesso via Internet. Questa terza sezione è tipicamente in una zona demilitarizzata (DMZ), un termine di rete che significa che non è completamente protetta dalla sicurezza della rete.
Una delle distinzioni di base in una sottorete schermata è la differenza tra sistemi privati e pubblici. Un sistema privato contiene personal computer, workstation, console di gioco e altre cose utilizzate dai proprietari della rete. La sezione pubblica contiene i punti di accesso utilizzati da persone esterne alla rete. Gli usi comuni per le connessioni esterne sarebbero l’hosting di una pagina Web o di un file server.
Le aree pubbliche della rete sono completamente accessibili e visibili da Internet, mentre le informazioni private non lo sono. In genere, ciò si ottiene utilizzando un firewall o un router a tre porte. Una porta si connette a Internet ed è utilizzata da tutto il traffico in entrata e in uscita. Il secondo si connette solo alle porzioni pubbliche del sistema mentre il terzo si connette solo al privato.
L’uso di una sottorete schermata è fondamentalmente una funzione di sicurezza per la rete. In un tipico attacco esterno, il router e il firewall verrebbero esaminati per individuare eventuali punti deboli. Se ne trovasse uno, l’intruso entrerebbe nella rete e avrebbe pieno accesso all’intranet. Con l’uso di una sottorete schermata, è più probabile che l’intruso trovi i punti di accesso pubblico e invada solo la sezione pubblica. Quando è in vigore una DMZ, le protezioni pubbliche sono molto più deboli, il che rende ancora più probabile che quella parte del sistema venga attaccata e la parte privata venga lasciata in pace.