您可以將 NSX 分散式防火牆 (DFW) 用於宏分割 (安全性區域) 和微分割。分散式防火牆會藉由自動化原則制定，提供完整的 L2-L7 東西向可見性和強制執行。它適用於 ESXi 上的實體伺服器和虛擬機器，並且無需變更實體網路。藉由使用 DFW，可以任何所需的方式進行分割。共有四種基本類型的分割，其中很多類型可以共存，每一種分割可套用於環境中的不同區段。

• 區域分割：一般而言，區域分割可以將生產與非生產用途分開，也可以依業務單位、功能或產品供應項目，進行更詳細的分割。關鍵在於，所定義的每個區域都與區段、VLAN、資料中心或其他建構無關。區域完全是邏輯定義，可用來定義安全性原則。
• VLAN 分割：VLAN 分割最常用於取代傳統防火牆基礎架構。在此模型中，IP 區段是安全性原則來源或目的地的定義元素。
• 應用程式分割：應用程式分割用來定義有關應用程式的邏輯安全環。由於通常不會詳細瞭解應用程式，因此可便於只為給定應用程式定義一個標記，將這個標記套用至其所有元件，並允許在所述元素之間進行完整通訊。這比具有多個應用程式的大型區域定義更加安全，因為無需詳細瞭解微分割。
• 微分割：微分割是一種安全模型，其中已盡可能明確定義元素之間的通訊。在極端情況下，微分割可以明確定義配對元素之間的通訊。顯然地，這操作起來很複雜，因此 NSX 會根據標記來提供微分割，從而允許依群組進行明確定義。例如，您可以定義一條規則，該規則允許對所標記的安全 Web 伺服器使用 SSL，但只允許使用 TLS 1.3 版。根據組織的需求，您可以在不同的區域中對這每一種做法進行分割。

利用 NSX，所有這些分割方法都不具有排他性，而可以共存。您可以決定在區域模型中對實驗室進行分割，這只需在其周圍設定邊界，並在微分割中設定 DMZ 環境即可。您可以僅依應用程式，對非生產環境進行分割，也可以使用 VLAN 對包含敏感客戶資料的生產應用程式進行進一步分割。將一種安全模型變更為另一種安全模型，可透過簡單的原則推送來完成，而無需重新構建任何網路基礎架構。