ファイアウォール セクションはファイアウォール ルールのセットをグループ化するために使用されます。

ファイアウォール セクションは 1 つ以上の個別のファイアウォール ルールで設定されます。各ファイアウォール ルールには、パケットを許可するかブロックするか、どのプロトコルの使用が許可されるか、どのポートの使用が許可されるか、などを決定する指示が含まれています。セクションは、個別のセクションの営業およびエンジニアリング部門の特定のルールなど、マルチテナントに使用されます。

セクションはステートフルまたはステートレスのルールの適用として定義されることができます。ステートレス ルールは従来のステートレス アクセス制御リストとして処理されます。再帰アクセス制御リストはステートレスセクションではサポートされません。単一の論理スイッチ ポートにステートレスとステートフルのルールを混在させることは推奨されません。定義されていない動作が発生する可能性があります。

ルールは、セクション内で上下に移動させることができます。トラフィックがファイアウォールを通過しようとするとき、パケット情報はセクションに示されるルールに従います。ルールは、一番上から一番下のデフォルト ルールまで順番に適用されます。パケットに一致する最初のルールには設定済みのアクションが適用され、ルールの設定済みのオプションで指定された処理が実行され、後に続くすべてのルールは無視されます(後のルールの方がより正確に一致する場合でも)。したがって、具体的なルールを全般的なルールよりも上位に配置し、無視されないようにする必要があります。デフォルトのルールは、ルール テーブルの一番下に置かれた「catchall」ルールです。他のどのルールにも一致しないパケットにはデフォルトのルールが適用されます。

注: 論理スイッチには N-VDS モードと呼ばれるプロパティがあります。このプロパティは、スイッチが属するトランスポート ゾーンからのものです。N-VDS モードが ENSEnhanced Datapath とも呼ばれる)の場合、 SourceDestination、または Applied To フィールドでスイッチまたはそのポートに対してファイアウォール ルールまたはセクションを作成することはできません。