A hozzáférésvezérlés alapja, a zónák

Minden olyan kliensnek vagy szervernek, melyek a tűzfalon keresztül kommunikálnak, pontosan egy zónába kell tartozniuk.

Minden zóna definíciójánál meg kell adni azokat a szolgáltatásokat, mely az adott zónából kiindulhat (outbound_services), valamint ami a többi zónából befelé engedélyezett (inbound_services).

Example 3-2. Zóna definíció

	    InetZone("site-net", "192.168.1.0", "255.255.255.0", None,
                 # list of allowed outbound services, '*' matches anything
                 outbound_services=["intra_http", "intra_ftp", "intra_cvs"],
                 # list of allowed inbound services, '*' matches anything
                 inbound_services=[]),