방화벽 섹션은 방화벽 규칙의 집합을 그룹화하는 데 사용됩니다.
방화벽 섹션은 하나 이상의 개별 방화벽 규칙으로 구성됩니다. 각 개별 방화벽 규칙에는 패킷이 허용 또는 차단되는지와 어떤 프로토콜 및 포트가 사용되도록 허용되는지 등을 결정하는 지침이 포함되어 있습니다. 판매 및 엔지니어링 부서에 대한 특정 규칙이 별도의 섹션에 있는 경우처럼, 섹션은 다중 테넌시에 사용됩니다.
섹션은 상태 저장 또는 상태 비저장 규칙 적용으로 정의할 수 있습니다. 상태 비저장 규칙은 기존의 상태 비저장 ACL로 취급됩니다. 상태 비저장 섹션에 대해서는 재귀 ACL이 지원되지 않습니다. 단일 논리적 스위치 포트에 상태 비저장 및 상태 저장 규칙이 혼합되어 있는 것은 권장되지 않으며 정의되지 않은 동작을 야기할 수 있습니다.
규칙을 섹션 내에서 위아래로 이동할 수 있습니다. 방화벽을 통과하려는 모든 트래픽의 경우 패킷 정보는 규칙이 섹션에 표시된 순서에 따라(맨 위에서 시작하여 맨 아래의 기본 규칙으로 내려감) 달라집니다. 패킷과 일치하는 첫 번째 규칙이 있으면 구성된 작업이 적용되고, 규칙의 구성된 옵션에 지정된 모든 처리가 수행되며, 후속 규칙은 모두 무시됩니다(후속 규칙이 더 잘 일치되더라도 무시됨). 따라서 구체적인 규칙을 더 일반적인 규칙보다 상위에 배치하여 해당 규칙이 무시되지 않도록 해야 합니다. 규칙 테이블의 맨 밑에 있는 기본 규칙은 "포괄적인" 규칙으로, 다른 규칙에 해당되지 않는 패킷은 기본 규칙에 의해 적용됩니다.
참고: 논리적 스위치에는 N-VDS 모드라는 속성이 있습니다. 이 속성은 스위치가 속한 전송 영역에서 가져옵니다. N-VDS 모드가
ENS(다른 이름:
Enhanced Datapath)인 경우에는
Source,
Destination 또는
Applied To 필드에 스위치 또는 포트가 있는 방화벽 규칙 또는 섹션을 생성할 수 없습니다.