DMZ, eller demilitarized zone, är placerad mellan det externa nätet (internet) och det interna nätet. DMZ skyddas av brandväggen men tillåter vanligtvis flera sorters trafik utifrån. Detta eftersom man i DMZ ofta placerar tjänster som måste vara tillgängliga från internet som exempelvis webbserver, FTP, DNS och e-post men som ändå måste ha ett visst skydd. Organisationer som har utvecklingsnät som behöver vara tillgängliga från internet, exempelvis nät där man testar webbtjänster, placeras också ofta i DMZ.
Ett alternativ till att placera e-postservern i DMZ är att placera denna i det interna nätet och låta ett e-postrelä sköta e-postförmedlandet i DMZ. Fördelen med detta är att intern e-post inte behöver gå genom brandväggen vilket innebär mindre belastning på brandväggen. En nackdel är att man inte får den loggning som sker i brandväggen. Enligt samma resonemang fast tvärtom väljer vissa organisationer att placera sina interna servrar i DMZ för att få trafiken till dem loggad och skyddad av brandväggen.
Det går också att skapa flera DMZ om man har flera nätverksresurser som behöver skyddad exponering men är av olika art.