Les sections de pare-feu sont utilisées pour grouper un ensemble de règles de pare-feu.

Une section de pare-feu est composée d'une ou plusieurs règles de pare-feu individuelles. Chaque règle de pare-feu individuelle contient des instructions qui déterminent si un paquet doit être autorisé ou bloqué, quels protocoles elle est autorisée à utiliser, quels ports elle est autorisée à utiliser, etc. Les sections sont utilisées pour l'architecture mutualisée, telle que des règles spécifiques pour les services de vente et d'ingénierie dans des sections séparées.

Une section peut être définie comme l'application de règles avec état ou sans état. Les règles sans état sont traitées comme des listes de contrôle d'accès (ACL) sans état traditionnelles. Les ACL réflexives ne sont pas prises en charge pour les sections sans état. Il n'est pas recommandé de mélanger des règles sans état et des règles avec état sur un port de commutateur logique, car cela pourrait entraîner un comportement non défini.

Il est possible de monter et de descendre des règles dans une section. Pour le trafic tentant de passer par le pare-feu, les informations sur le paquet sont soumises aux règles dans l'ordre indiqué dans la section, en commençant par le haut jusqu'à la règle par défaut en bas. La première règle qui correspond au paquet voit son action configurée appliquée, le traitement spécifié dans les options configurées de la règle est exécuté et toutes les règles suivantes sont ignorées (même si une règle ultérieure est une meilleure correspondance). Par conséquent, vous devez placer des règles spécifiques au-dessus de règles plus générales afin de garantir que ces règles ne sont pas ignorées. La règle par défaut, située en bas du tableau de règles, est une règle générique ; les paquets ne correspondant à aucune autre règle seront appliqués par la règle par défaut.