Una subred filtrada es un método de protección utilizado en redes de computadoras que tienen áreas públicas y privadas. Estos sistemas separan las funciones públicas y privadas en dos áreas distintas. La intranet local contiene las computadoras y sistemas privados de la red, mientras que la subred tiene todas las funciones públicas como servidores web o almacenamiento de archivos públicos. Cuando la información proviene de Internet, el enrutador determina a qué sección del sistema tiene acceso y la envía en consecuencia. Esto contrasta con una red típica en la que solo hay una intranet en un lado del enrutador e Internet en el otro.

En una red estándar, una intranet local se conecta a un enrutador, que dirige la información hacia el exterior a Internet completo. Ya sea dentro del enrutador o conectado al enrutador hay un firewall que protege la intranet de la interferencia externa. Con una subred filtrada, hay una tercera porción a la que se puede acceder a través del enrutador, pero que no está conectada directamente a la intranet local, que permite el acceso a través de Internet. Esta tercera sección generalmente se encuentra en una zona desmilitarizada (DMZ), un término de red que significa que no está completamente protegida por la seguridad de la red.

Una de las distinciones básicas en una subred filtrada es la diferencia entre los sistemas públicos y privados. Un sistema privado contiene computadoras personales, estaciones de trabajo, consolas de juegos y otras cosas utilizadas por los propietarios de la red. La sección pública contiene puntos de acceso que son utilizados por personas fuera de la red. Los usos comunes para conexiones externas serían alojar una página web o un servidor de archivos.

Las áreas públicas de la red son totalmente accesibles y visibles desde Internet, mientras que la información privada no lo es. Por lo general, esto se logra mediante el uso de un firewall o enrutador de tres puertos. Un puerto se conecta a Internet y es utilizado por todo el tráfico entrante y saliente. El segundo se conecta solo a las partes públicas del sistema, mientras que el tercero se conecta solo a las privadas.

El uso de una subred filtrada es básicamente una característica de seguridad para la red. En un ataque externo típico, el enrutador y el cortafuegos serían probados por debilidad. Si se encuentra uno, el intruso entraría en la red y tendría acceso completo a la intranet. Con el uso de una subred filtrada, es muy probable que el intruso encuentre los puntos de acceso público e invada solo la sección pública. Cuando una DMZ está en vigencia, las protecciones públicas son mucho más débiles, lo que hace que sea aún más probable que esa sección del sistema sea atacada y la sección privada se quede sola.