Las secciones de firewall se utilizan para agrupar un conjunto de reglas de firewall.

Una sección de firewall está constituida por una o varias reglas de firewall individuales. Cada regla de firewall individual contiene instrucciones que determinan si un paquete se debe permitir o bloquear, qué protocolos y puertos puede utilizar, etc. Las secciones se utilizan para varios arrendamientos, como reglas específicas de departamentos de ventas e ingeniería de secciones independientes.

Una sección se puede definir como reglas sin estado o con estado impositivo. Las reglas sin estado se consideran ACL sin estado tradicionales. Las ACL reflexivas no son compatibles con las secciones sin estado. No le recomendamos que utilice una combinación de reglas con estado y sin estado en un puerto de conmutador lógico único, ya que se podría producir un comportamiento no definido.

Las reglas se pueden subir o bajar en una sección. En el caso del tráfico que intenta atravesar el firewall, la información del paquete está sujeta a las reglas en el orden que se muestra en la sección, empezando por el principio y siguiendo por la regla predeterminada en la parte inferior. La primera regla que coincide con el paquete tiene su acción configurada aplicada. Además, los procesos especificados en las opciones configuradas de la regla se realizan y todas las reglas posteriores se ignoran (incluso si una regla posterior es una coincidencia mejor). Por lo tanto, debe colocar las reglas específicas por encima de las reglas más generales para garantizar que no se ignoren dichas reglas. La regla predeterminada situada en la parte inferior de la tabla de reglas es una regla "catchall", por lo que la regla predeterminada aplicará los paquetes que no coincidan con ninguna otra regla.