Ett screenat subnät är en skyddande metod som används i datornätverk som har både offentliga och privata områden.Dessa system separerar offentliga och privata funktioner i två distinkta områden.Det lokala intranätet innehåller nätverkets privata datorer och system, medan subnätet har alla offentliga funktioner som webbserver eller offentlig fillagring.När informationen kommer från internet bestämmer routern vilken del av systemet den har tillgång till och skickar bort den i enlighet därmed.Detta är i motsats till ett typiskt nätverk där det bara finns intranätet på ena sidan av routern och internet på den andra.

I ett standardnätverk ansluter ett lokalt intranät till en router, som leder information utåt till hela internet.Antingen inom routern eller ansluten till routern finns en brandvägg som skyddar intranätet från yttre störningar.Med ett screenat undernät finns det en tredje del som är tillgänglig via routern, men som inte är direkt ansluten till det lokala intranätet, som tillåter åtkomst via Internet.Detta tredje avsnitt är vanligtvis i en demilitariserad zon (DMZ), en nätverksterm som innebär att den inte är helt skyddad av nätverkets säkerhet.

En av de grundläggande distinktionerna i ett screenat subnät är skillnaden mellan privata och offentliga system.Ett privat system innehåller persondatorer, arbetsstationer, spelkonsoler och andra saker som används av nätverkets ägare.Det offentliga avsnittet innehåller åtkomstpunkter som används av människor utanför nätverket.Vanliga användningsområden för externa anslutningar skulle vara värd för en webbsida eller filserver.

De offentliga områdena i nätverket är fullt tillgängliga och synliga från internet, medan den privata informationen inte är det.Vanligtvis åstadkommes detta genom användning av en tre-port brandvägg eller router.En port ansluter till internet och används av all inkommande och utgående trafik.Den andra ansluter endast till de offentliga delarna av systemet medan den tredje bara ansluter till den privata.

Användningen av ett screenat subnät är i princip en säkerhetsfunktion för nätverket.I en typisk yttre attack skulle routern och brandväggen undersökas för svaghet.Om man hittas skulle inkräktaren komma in i nätverket och ha full tillgång till intranätet.Med användning av ett screenat undernät skulle inkräktaren troligtvis hitta de allmänna åtkomstpunkterna och endast invadera det offentliga avsnittet.När en DMZ är i kraft är det offentliga skyddet mycket svagare, vilket gör det ännu mer troligt att det avsnittet av systemet skulle attackeras och det privata avsnittet skulle lämnas ensam.