Voor iedere instelling wordt er op het SURFfirewall cluster een virtueel domein aangemaakt. Deze virtuele domeinen maken het mogelijk om op één firewall meerdere onafhankelijke en geïsoleerde firewalls aan te maken met ieder hun eigen configuratie, netwerken en firewallregels. Elke instelling krijgt hierbij dus zijn eigen virtueel domein en heeft enkel toegang tot zijn eigen domein.
Ondanks dat de virtuele domeinen fungeren als onafhankelijke virtuele firewalls op het gebied van configuratie, netwerk en firewallregels, delen ze bepaalde fysieke resources van de onderliggende fysieke firewall. Dit betekent dat als één VDOM buitenproportioneel veel processorkracht, geheugen of netwerkbandbreedte gebruikt, het de prestatie van de andere virtuele domeinen op deze fysieke firewall kan beïnvloeden. In een dergelijk geval zal SURF de desbetreffende instelling hierover informeren en upgraden naar een zwaardere variant.