防火牆區段用於群組一組防火牆規則。

防火牆區段由一或多個個別的防火牆規則所組成。每個防火牆規則皆包含指示,用以判斷是否應允許或封鎖某個封包;允許使用哪些通訊協定;以及允許使用哪些連接埠等。區段可用於多租戶,例如不同區段中適用於銷售和工程部門的特定規則。

區段也可定義為強制執行可設定狀態或無狀態規則。無狀態規則會視為傳統的無狀態 ACL。無狀態區段不支援自反 ACL。不建議在單一邏輯交換器連接埠中混用無狀態和可設定狀態規則,如此可能導致未定義的行為。

區段中的規則可以向上或向下移動。對於嘗試通過防火牆的任何流量,封包資訊皆會受到區段中所顯示規則順序的約束,從頂端開始,一路往底部的預設規則依序處理。系統會套用符合封包之第一個規則的設定動作,並執行該規則設定選項中指定的任何處理,且會忽略所有後續規則 (即便後面規則的符合程度更高)。因此,您應將特定規則放在一般規則的上方,以確保這些規則不會被忽略。預設規則位於規則表格的底部,這是一個「概括」(catchall) 規則,不符合任何其他規則的封包都將由預設規則強制執行。

備註: 邏輯交換器具有稱為 N-VDS 模式的內容。此內容來自交換器所屬的傳輸區域。如果 N-VDS 模式為 ENS (也稱為 Enhanced Datapath),則您無法在 SourceDestinationApplied To 欄位中,透過交換器或其連接埠建立防火牆規則或區段。