Un sous-réseau dépisté est une méthode de protection utilisée dans les réseaux informatiques qui ont des zones publiques et privées.Ces systèmes séparent les fonctions publiques et privées en deux domaines distincts.L'intranet local contient les ordinateurs et les systèmes privés du réseau, tandis que le sous-réseau a toutes les fonctions publiques comme les serveurs Web ou le stockage de fichiers publics.Lorsque les informations proviennent d'Internet, le routeur détermine la section du système auquel il a accès et les envoie en conséquence.Cela contraste avec un réseau typique où il n'y a que l'intranet d'un côté du routeur et de l'Internet de l'autre.

Dans un réseau standard, un intranet local se connecte à un routeur, qui dirige les informations vers l'extérieur vers Internet complet.Soit dans le routeur, soit connecté au routeur se trouve un pare-feu qui protège l'intranet contre les interférences extérieures.Avec un sous-réseau dépisté, il y a une troisième portion accessible via le routeur, mais non connectée directement à l'intranet local, qui permet d'accéder via Internet.Un système privé contient des ordinateurs personnels, des postes de travail, des consoles de jeux et d'autres choses utilisées par les propriétaires du réseau.La section publique contient des points d'accès utilisés par des personnes en dehors du réseau.Les utilisations courantes pour les connexions extérieures constitueraient une page Web ou un serveur de fichiers.

Les zones publiques du réseau sont entièrement accessibles et visibles à partir d'Internet, tandis que les informations privées ne l'est pas.En règle générale, cela est accompli grâce à l'utilisation d'un pare-feu ou d'un routeur à trois ports.Un port se connecte à Internet et est utilisé par tous les trafics entrants et sortants.Le second se connecte uniquement aux parties publiques du système tandis que le troisième se connecte uniquement au privé.

L'utilisation d'un sous-réseau dépisté est essentiellement une fonctionnalité de sécurité pour le réseau.Dans une attaque extérieure typique, le routeur et le pare-feu seraient sondés pour la faiblesse.Si l'on en trouve, l'intrus entrerait dans le réseau et aurait un accès complet à l'intranet.Avec l'utilisation d'un sous-réseau dépisté, l'intrus serait le plus susceptible de trouver les points d'accès public et d'envahir la section publique uniquement.Lorsqu'un DMZ est en vigueur, les protections publiques sont beaucoup plus faibles, ce qui rend encore plus probable que cette section du système soit attaquée et que la section privée serait laissée seule.