Una subred protegida es un método de protección utilizado en redes de computadoras que tienen áreas públicas y privadas. Estos sistemas separan las funciones públicas y privadas en dos áreas distintas. La intranet local contiene las computadoras y los sistemas privados de la red, mientras que la subred tiene todas las funciones públicas, como servidores web o almacenamiento de archivos públicos. Cuando la información proviene de Internet, el enrutador determina a qué sección del sistema tiene acceso y la envía en consecuencia. Esto contrasta con una red típica en la que solo existe la intranet en un lado del enrutador e Internet en el otro.
En una red estándar, una intranet local se conecta a un enrutador, que dirige la información hacia el exterior a toda la Internet. Ya sea dentro del enrutador o conectado al enrutador, hay un firewall que protege la intranet de interferencias externas. Con una subred protegida, hay una tercera parte a la que se puede acceder a través del enrutador, pero no está conectada directamente a la intranet local, que permite el acceso a través de Internet. Esta tercera sección se encuentra típicamente en una zona desmilitarizada (DMZ), un término de red que significa que no está completamente protegida por la seguridad de la red.
Una de las distinciones básicas en una subred filtrada es la diferencia entre sistemas públicos y privados. Un sistema privado contiene computadoras personales, estaciones de trabajo, consolas de juegos y otras cosas que utilizan los propietarios de la red. La sección pública contiene puntos de acceso que utilizan personas ajenas a la red. Los usos comunes de las conexiones externas serían alojar una página web o un servidor de archivos.
Las áreas públicas de la red son totalmente accesibles y visibles desde Internet, mientras que la información privada no lo es. Por lo general, esto se logra mediante el uso de un enrutador o firewall de tres puertos. Un puerto se conecta a Internet y es utilizado por todo el tráfico entrante y saliente. El segundo se conecta solo a las partes públicas del sistema, mientras que el tercero se conecta solo a las partes privadas.
El uso de una subred protegida es básicamente una característica de seguridad para la red. En un ataque externo típico, el enrutador y el cortafuegos serían examinados en busca de debilidad. Si se encuentra uno, el intruso entraría en la red y tendría acceso completo a la intranet. Con el uso de una subred protegida, es más probable que el intruso encuentre los puntos de acceso públicos e invada la sección pública únicamente. Cuando una DMZ está en vigor, las protecciones públicas son mucho más débiles, lo que hace aún más probable que esa sección del sistema sea atacada y la sección privada se quede sola.