Le sezioni firewall vengono utilizzate per raggruppare un set di regole firewall.

Una sezione firewall è costituita da una o più regole firewall singole. Ogni regola firewall singola contiene istruzioni che determinano se un pacchetto deve essere consentito o bloccato, i protocolli che può utilizzare, le porte può utilizzare e così via. Le sezioni vengono utilizzate per il multi-tenancy, ad esempio per tenere le regole specifiche del reparto vendite e quelle del reparto di progettazione in sezioni separate.

Una sezione può essere definita in base all'applicazione stateful o stateless delle regole. Le regole stateless vengono considerate come ACL stateless tradizionali. Gli ACL ricorsivi non sono supportati per le sezioni stateless. Non è consigliabile usare una combinazione di regole stateless e stateful su una singola porta di commutatore logico in quanto potrebbe causare un comportamento indefinito.

Le regole possono essere spostate verso l'alto e verso il basso all'interno di una sezione. Per il traffico che tenta di passare attraverso il firewall, le informazioni del pacchetto sono soggette alle regole nell'ordine mostrato nella sezione, iniziando dall'alto e procedendo verso la regola predefinita più in basso. Alla prima regola che corrisponde al pacchetto viene applicata la rispettiva azione configurata e vengono eseguite tutte le elaborazioni specificate nelle opzioni configurate della regola, mentre tutte le regole successive vengono ignorate (anche se in genere una regola successive risulta più appropriata). Pertanto, è necessario posizionare regole specifiche sopra le regole più generali per evitare che vengano ignorate. La regola predefinita, che si trova nella parte inferiore della tabella delle regole, è una regola "catchall" e verrà applicata ai pacchetti ai quali non corrispondono altre regole.