Ekranlı bir alt ağ, hem genel hem de özel alanlara sahip bilgisayar ağlarında kullanılan koruyucu bir yöntemdir. Bu sistemler kamu ve özel fonksiyonları iki ayrı alana ayırır. Yerel intranet, ağın özel bilgisayarlarını ve sistemlerini içerirken, alt ağda web sunucuları veya genel dosya depolama gibi tüm genel işlevler bulunur. İnternetten bilgi geldiğinde, yönlendirici sistemin hangi bölümüne erişebileceğini belirler ve buna göre gönderir. Bu, yönlendiricinin bir tarafında yalnızca intranetin, diğer tarafında da İnternet'in bulunduğu tipik bir ağın aksine.
Standart bir ağda, yerel bir intranet, bilgileri tam İnternete yönlendiren bir yönlendiriciye bağlanır. Yönlendiricinin içinde veya yönlendiriciye bağlı intraneti dış parazitlerden koruyan bir güvenlik duvarıdır. Ekranlı bir alt ağda, yönlendiriciden erişilebilen, ancak doğrudan İnternet üzerinden erişime izin veren yerel intranete bağlı olmayan üçüncü bir bölüm vardır. Bu üçüncü bölüm tipik olarak ağın güvenliği ile tamamen korunmadığı anlamına gelen bir ağ terim olan silahsızlaştırılmış bir bölgede (DMZ) yer almaktadır.
Ekranlı bir alt ağdaki temel ayrımlardan biri, özel sistemler ile kamu sistemleri arasındaki farktır. Özel bir sistem kişisel bilgisayarlar, iş istasyonları, oyun konsolları ve ağın sahipleri tarafından kullanılan diğer şeyleri içerir. Genel bölüm, ağ dışındaki kişiler tarafından kullanılan erişim noktalarını içerir. Dış bağlantılar için yaygın olarak kullanılan kullanımlar bir web sayfasına veya dosya sunucusuna ev sahipliği yapmaktır.
Ağın genel alanlarına tamamen erişilebilir ve İnternet'ten görülebilir, özel bilgiler ise yoktur. Genellikle, bu üç bağlantı noktalı bir güvenlik duvarı veya yönlendirici kullanılarak gerçekleştirilir. Bir bağlantı noktası İnternete bağlanır ve gelen ve giden tüm trafik tarafından kullanılır. İkincisi sadece sistemin kamusal kısımlarına bağlanırken, üçüncüsü sadece özel sektöre bağlanır.
Ekranlı bir alt ağın kullanımı, ağ için temel olarak bir güvenlik özelliğidir. Tipik bir dış saldırıda, yönlendirici ve güvenlik duvarı zayıflık açısından incelenir. Bir kişi bulunursa, saldırgan ağa girer ve intranete tam erişime sahip olur. Ekranlı bir alt ağ kullanımıyla, davetsiz misafirin genel erişim noktalarını bulması ve yalnızca genel bölümü istila etmesi muhtemeldir. Bir DMZ yürürlükte olduğunda, kamu korumaları çok daha zayıf, bu da sistemin bu kısmının saldırıya uğraması ve özel bölümün yalnız bırakılması olasılığını daha da arttırıyor.
