Mit Firewallabschnitten werden Firewallregeln gruppenweise zusammengefasst.

Ein Firewallabschnitt besteht aus einer oder mehreren Firewallregeln. Jede einzelne Firewallregel enthält Anweisungen, die festlegen, ob ein Paket zugelassen oder blockiert werden soll, welches Protokoll verwendet werden darf, welche Ports für die Verwendung zulässig sind etc. Abschnitte dienen der Mehrinstanzenfähigkeit, z. B. durch eigene Regeln für die Vertriebs- und die Technikabteilung in unterschiedlichen Abschnitten.

Ein Abschnitt kann für die Erzwingung zustandsbehafteter oder zustandsfreier Regeln definiert werden. Zustandsfreie Regeln werden als herkömmliche zustandsfreie ACLs behandelt. Reflexive ACLs werden für zustandsfreie Abschnitte nicht unterstützt. Die Kombination von zustandsbehafteten und zustandsfreien Regeln auf einem einzelnen logischen Switch Port wird nicht empfohlen, da dies zu einem unvorhergesehenen Verhalten führen kann.

Regeln lassen sich innerhalb eines Abschnitts nach oben und unten versetzen. Für jeden Datenverkehr, der die Firewall passieren soll, müssen die Paketinformationen den Regeln in der Reihenfolge genügen, wie Sie im Abschnitt angegeben sind. Die Überprüfung beginnt an oberster Stelle und wird bis zur Standardregel unten fortgesetzt. Für die erste Regel, die dem Paket entspricht, wird die dafür konfigurierte Aktion angewendet. Die in den konfigurierten Optionen der Regel festgelegte Verarbeitung wird durchgeführt und all nachfolgenden Regeln werden ignoriert (auch wenn eine spätere Regel besser passen würde). Deshalb ist es empfehlenswert, spezifischere Regeln vor allgemeineren Regeln zu platzieren, um sicherzustellen, dass diese Regeln wirksam werden können. Die am Ende der Regeltabelle platzierte Standardregel ist eine „Catchall“-Regel, die grundsätzlich gilt. Für Pakete, für die keinen anderen Regeln gelten, wird die Standardregel angewendet.