Et screenet undernet er en beskyttelsesmetode, der bruges i computernetværk, der har både offentlige og private områder.Disse systemer adskiller offentlige og private funktioner i to forskellige områder.Det lokale intranet indeholder netværkets private computere og systemer, mens subnetet har alle de offentlige funktioner som webservere eller offentlig fillagring.Når information kommer fra Internettet, bestemmer routeren, hvilken sektion af systemet det har adgang til og sender den ud i overensstemmelse hermed.Dette er i modsætning til et typisk netværk, hvor der kun er intranettet på den ene side af routeren og internettet på den anden.

I et standardnetværk forbindes et lokalt intranet til en router, der leder information udad til det fulde internet.Enten inden for routeren eller tilsluttet routeren er en firewall, der beskytter intranettet mod interferens udefra.Med et screenet undernet er der en tredje del, der er tilgængelig via routeren, men ikke tilsluttet direkte til det lokale intranet, der giver adgang via internettet.Denne tredje sektion er typisk i en demilitariseret zone (DMZ), et netværksperiode, der betyder, at det ikke er fuldt beskyttet af netværkets sikkerhed.

En af de grundlæggende sondringer i et screenet undernet er forskellen mellem private og offentlige systemer.Et privat system indeholder personlige computere, arbejdsstationer, spilkonsoller og andre ting, der bruges af ejerne af netværket.Det offentlige afsnit indeholder adgangspunkter, der bruges af personer uden for netværket.Almindelige anvendelser til eksterne forbindelser ville være vært for en webside eller en filserver.

De offentlige områder på netværket er fuldt tilgængelige og synlige fra internettet, mens de private oplysninger ikke er det.Dette opnås typisk ved hjælp af en tre-port firewall eller router.En havn opretter forbindelse til internettet og bruges af al indgående og udgående trafik.Den anden forbinder kun de offentlige dele af systemet, mens den tredje kun forbinder det private.

Brug af et screenet undernet er dybest set en sikkerhedsfunktion for netværket.I et typisk angreb udenfor ville routeren og firewall blive undersøgt for svaghed.Hvis man findes, ville den indtrængende komme ind i netværket og have fuld adgang til intranettet.Med brugen af et screenet undernet ville den indtrængende mest sandsynligt finde de offentlige adgangspunkter og invadere kun det offentlige afsnit.Når en DMZ er i kraft, er den offentlige beskyttelse meget svagere, hvilket gør det endnu mere sandsynligt, at denne sektion af systemet ville blive angrebet, og det private afsnit ville være alene.