Ett skärmat subnät är en skyddsmetod som används i datornätverk som har både offentliga och privata områden. Dessa system separerar offentliga och privata funktioner i två distinkta områden. Det lokala intranätet innehåller nätverkets privata datorer och system, medan subnätet har alla offentliga funktioner som webbservrar eller offentlig fillagring. När information kommer från Internet bestämmer routern vilken del av systemet den har tillgång till och skickar iväg den därefter. Detta till skillnad från ett typiskt nätverk där det bara finns intranätet på ena sidan av routern och Internet på den andra.
I ett standardnätverk ansluter ett lokalt intranät till en router, som leder information utåt till hela Internet. Antingen inuti routern eller kopplad till routern finns en brandvägg som skyddar intranätet från yttre störningar. Med ett skärmat subnät finns det en tredje del som är tillgänglig via routern, men som inte är ansluten direkt till det lokala intranätet, som tillåter åtkomst via Internet. Denna tredje sektion är vanligtvis i en demilitariserad zon (DMZ), en nätverksterm som betyder att den inte är helt skyddad av nätverkets säkerhet.
En av de grundläggande distinktionerna i ett skärmat subnät är skillnaden mellan privata och offentliga system. Ett privat system innehåller persondatorer, arbetsstationer, spelkonsoler och annat som används av nätverkets ägare. Den offentliga delen innehåller åtkomstpunkter som används av personer utanför nätverket. Vanliga användningar för externa anslutningar skulle vara värd för en webbsida eller filserver.
Nätverkets allmänna utrymmen är helt tillgängliga och synliga från Internet, medan den privata informationen inte är det. Vanligtvis uppnås detta genom att använda en brandvägg eller router med tre portar. En port ansluter till Internet och används av all inkommande och utgående trafik. Den andra ansluter endast till de offentliga delarna av systemet medan den tredje endast ansluter till den privata.
Användningen av ett skärmat subnät är i grunden en säkerhetsfunktion för nätverket. I en typisk extern attack skulle routern och brandväggen undersökas för svaghet. Skulle en hittas skulle inkräktaren komma in i nätverket och ha full tillgång till intranätet. Med användning av ett avskärmat subnät är det mest sannolikt att inkräktaren hittar de offentliga åtkomstpunkterna och bara invaderar den offentliga delen. När en DMZ är i kraft är de offentliga skydden mycket svagare, vilket gör det ännu mer sannolikt att den delen av systemet skulle attackeras och den privata delen lämnas ifred.