En informatique, une zone démilitarisée (ou DMZ, de l’anglais demilitarized zone) est un sous-réseau isolé par un pare-feu. Ce sous-réseau contient des machines se situant entre un réseau interne (LAN – postes clients) et un réseau externe (typiquement, Internet). Le nom provient à l’origine de la zone coréenne démilitarisée.
Elle se définit aussi comme une zone, un sous-réseau voire une plage d’adresses IP (ou une seule adresse IP) sur un réseau n’étant pas soumise aux règles d’un pare-feu.
La DMZ permet à ses machines d’accéder à Internet et/ou de publier des services sur Internet sous le contrôle du pare-feu externe. En cas de compromission d’une machine de la DMZ, l’accès vers le réseau local est encore contrôlé par le pare-feu interne.
La figure ci-contre représente un cas particulier de DMZ où les deux pare-feu sont fusionnés : c’est la « collapsed DMZ ». L’avantage est que si l’une des machines de la DMZ est compromise elle ne pourra pas « sniffer » le trafic Internet du réseau local. L’inconvénient est que si cet unique pare-feu est compromis, plus rien n’est contrôlé.
La DMZ est aussi (sur certain routeurs) le fait de rediriger tous les ports vers une machine sur un réseau local. 

En complément de la DMZ on rajoute un VPN: