Một mạng con được sàng lọc là một phương pháp bảo vệ được sử dụng trong các mạng máy tính có cả khu vực công cộng và tư nhân.Các hệ thống này tách biệt các chức năng công cộng và tư nhân thành hai lĩnh vực riêng biệt.Mạng nội bộ địa phương chứa các máy tính và hệ thống riêng tư của mạng, trong khi mạng con có tất cả các chức năng công cộng như máy chủ web hoặc lưu trữ tệp công khai.Khi thông tin đến từ internet, bộ định tuyến xác định phần nào của hệ thống mà nó có quyền truy cập và gửi nó ra cho phù hợp.Điều này trái ngược với một mạng điển hình, nơi chỉ có mạng nội bộ ở một bên của bộ định tuyến và internet ở bên kia..Hoặc trong bộ định tuyến hoặc được kết nối với bộ định tuyến là tường lửa bảo vệ mạng nội bộ khỏi nhiễu bên ngoài.Với một mạng con được sàng lọc, có một phần thứ ba có thể truy cập thông qua bộ định tuyến, nhưng không được kết nối trực tiếp với mạng nội bộ cục bộ, cho phép truy cập qua Internet.Phần thứ ba này thường ở khu vực phi quân sự (DMZ), một thuật ngữ kết nối mạng có nghĩa là nó không được bảo vệ hoàn toàn bởi bảo mật mạng.Một hệ thống tư nhân chứa máy tính cá nhân, máy trạm, bảng điều khiển chơi game và những thứ khác được sử dụng bởi các chủ sở hữu của mạng.Phần công khai chứa các điểm truy cập được sử dụng bởi những người bên ngoài mạng.Sử dụng phổ biến cho các kết nối bên ngoài sẽ là lưu trữ một trang web hoặc máy chủ tệp.Thông thường, điều này được thực hiện thông qua việc sử dụng tường lửa hoặc bộ định tuyến ba cổng.Một cổng kết nối với Internet và được sử dụng bởi tất cả lưu lượng truy cập đến và đi.Phần thứ hai chỉ kết nối với các phần công khai của hệ thống trong khi phần thứ ba chỉ kết nối với riêng tư. Việc sử dụng mạng con được sàng lọc về cơ bản là một tính năng bảo mật cho mạng.Trong một cuộc tấn công bên ngoài điển hình, bộ định tuyến và tường lửa sẽ được thăm dò cho sự yếu kém.Nếu người ta tìm thấy, kẻ xâm nhập sẽ vào mạng và có quyền truy cập đầy đủ vào mạng nội bộ.Với việc sử dụng mạng con được sàng lọc, kẻ xâm nhập rất có thể sẽ tìm thấy các điểm truy cập công cộng và chỉ xâm chiếm phần công khai.Khi một DMZ có hiệu lực, các biện pháp bảo vệ công cộng yếu hơn nhiều, khiến cho phần đó của hệ thống sẽ bị tấn công và phần riêng tư sẽ bị bỏ lại một mình.