Правила в этих устройствах просматриваются сверху вниз. Правилом отбираются пакеты, полностью удовлетворяющие всем его условиям, как то адрес источника(source nets), адрес приемника(destination nets), тип сервиса (service), аутентификация источника и приемника (users/groups), правило времени (schedule). То есть пакет, удовлетворяющий определенному правилу, должен совпадать по всем параметрам.

Если применено управление правилом по времени, то вне времени, указанном в schedule, пакеты под правило не попадают.

Если требуется аутентификация, а клиент не аутентифицирован, то пакет под правило не подпадает и так далее.

Если пакет не удовлетворяет правилу, то его сравнивают по параметрам с условиями правила, расположенного в следующей строке. И так далее, если правил для сравнения больше нет (проверили последнее), то пакет отбрасывается.

Рассмотрим следующее правило:

Данному правилу удовлетворяют все пакеты, проходящие по направлению из LAN в WAN с любым адресом источника и любым адресом приемника по любому протоколу во любое время (Always). Действие по этому правилу - Allow, то есть разрешить прохождение. Это последнее правило из стандартного набора, с которым устройство поставляется. Данное правило предоставляет доступ всем компьютерам из локальной сети во внешние сети.

Рассмотрим другое правило:

Под это правило подпадает пакет, проходящий из LAN в WAN и исходящий с адреса, аутентифицированного как user. Остальные пакеты под это правило не попадают. Если включить аутентификацию адреса получателя, то получатель трафика должен будет аутентифицироваться для того, чтобы пакеты попадали под правило.

Общий принцип: пакет должен удовлетворять ВСЕМ условиям правила для того, чтобы правилу соответствовать. Правила просматриваются сверху вниз, просмотр правил заканчивается после обнаружения подходящего. Если пакет не удовлетворяет условиям ни одного правила, то он отбрасывается и регистрируется в журнале.