Podset ekranowy to metoda ochronna stosowana w sieciach komputerowych, które mają zarówno obszary publiczne, jak i prywatne.Systemy te oddzielają funkcje publiczne i prywatne na dwa odrębne obszary.Lokalny intranet zawiera prywatne komputery i systemy sieci, podczas gdy podsieć ma wszystkie funkcje publiczne, takie jak serwisy internetowe lub publiczne przechowywanie plików.Gdy informacje pochodzą z Internetu, router określa, do którego sekcji systemu ma dostęp i odpowiednio ją wysyła.Jest to w przeciwieństwie do typowej sieci, w której po jednej stronie routera jest tylko intranet, a po drugiej.

W standardowej sieci lokalny intranet łączy się z routerem, który kieruje informacje na zewnątrz do pełnego Internetu.Albo w routerze lub podłączony do routera znajduje się zapora ogniowa, która chroni intranet przed ingerencją zewnętrzną.Dzięki ekranowanej podsieci istnieje trzecia część, która jest dostępna za pośrednictwem routera, ale nie podłączona bezpośrednio do lokalnego intranetu, który umożliwia dostęp przez Internet.Ta trzecia sekcja jest zazwyczaj w strefie zdemilitaryzowanej (DMZ), terminu sieci, który oznacza, że nie jest w pełni chroniony przez bezpieczeństwo sieci.

Jednym z podstawowych rozróżnień w podsieci ekranowej jest różnica między systemami prywatnymi i publicznymi.System prywatny zawiera komputery osobiste, stacje robocze, konsole do gier i inne rzeczy używane przez właścicieli sieci.Sekcja publiczna zawiera punkty dostępu, które są używane przez osoby spoza sieci.Powszechnym zastosowaniem połączeń zewnętrznych byłoby hosting strony internetowej lub serwera plików.

Publiczne obszary sieci są w pełni dostępne i widoczne z Internetu, podczas gdy prywatne informacje nie są.Zazwyczaj odbywa się to poprzez zastosowanie trzyosobowej zapory ogniowej lub routera.Jeden port łączy się z Internetem i jest używany przez cały przychodzący i wychodzący ruch.Drugi łączy się tylko z publicznymi częściami systemu, podczas gdy trzecia łączy się tylko z prywatnym.

Korzystanie z ekranowanej podsieci jest zasadniczo funkcją bezpieczeństwa dla sieci.W typowym ataku zewnętrznym router i zapora ogniowa będą badane pod kątem słabości.W przypadku znalezienia intruz wejdzie do sieci i miał pełny dostęp do intranetu.Za pomocą ekranowanej podsieci intruz najprawdopodobniej znajdzie publiczne punkty dostępu i zaatakować tylko sekcję publiczną.Gdy obowiązywa DMZ, ochrona publiczna jest znacznie słabsza, co jeszcze bardziej prawdopodobne jest, że ta część systemu zostanie zaatakowana, a sekcja prywatna zostanie pozostawiona sama.