"DMZ" è una zona che viene posta prima del firewall, o più tipicamente tra il firewall di frontend e quello di backend quando se ne usano almeno 2. Da qui il nome di "zona demilitarizzata" fra due frontiere. Se c'è un firewall di frontend la stessa DMZ può essere ancora soggetta a regole di firewalling, ad esempio chi pubblica un server web o di posta non vuole certo che siano accessibili altre porte non necessarie.
In DMZ si possono effettivamente mettere quanti host si vogliono - dipende poi da quanti IP pubblici si hanno a disposizione quante identiche porte sono necessarie, se si usa il NAT o meno su un router posto davanti agli host, ecc.
Nella terminologia usata dai router internet di fascia bassa spesso per "DMZ" di solito si intende solo l'inoltro ad un determinato IP lato LAN di tutto il traffico in ingresso da un IP WAN che non è una risposta a traffico in uscita (dalla tabella di NAT) e non ha una regola di port forwarding più specifica. Più correttamente alcuni router lo chiamano "default host".
È una sorta di "DMZ" perché non è protetta da quella specie di regola di firewalling implicita del NAT che blocca tutte le connessioni iniziate dall'esterno.
Se si ha un singolo indirizzo IP il default host può essere solo uno, perché non c'è modo di sapere per traffico iniziato dall'esterno a quale indirizzo interno smistarlo (a meno di specifico forwarding). Ma può essere usato per mettere un altro router in cascata e gestire il NAT e tutto il resto da lì in poi, collegando ulteriori host. Spesso utilizzato per evitare il doppio NAT quando non si può mettere il router esterno in bridge.
Con più IP è pubblici è possibile assegnare IP esterni a IP interni diversi (es. usando NAT 1:1).