همانطور که قبلا اشاره شد یکی از تفاوت های اصلی بین CBAC و ZBPFW استفاده از Security Zone می باشد. این Zoneها باعث می شود شبکه به چند بخش خاص تقسیم شود. در هر سازمان بخش های از شبکه دارای اهمیت ویژه ای است و باید قبل از اجرای ZBPFW این بخش ها مشخص شوند. به طور معمولا برای فایروال سه بخش اصلی زیر را در نظر می گیرند:

Internal : شبکه داخلی سازمان
DMZ : محلی است برای سرورهایی که می خواهیم از طریق شبکه خارجی به آنها دسترسی داشته باشم
External : شبکه خارج از سازمان مثل اینترنت

بعد از اینکه Zoneها ایجاد شد باید اینترفیس ها را عضو Zone مربوطه شوند و ترافیک ورودی و خروجی هر اینترفیس توسط Policyهای مربوط به Zone کنترل شوند. برخی از نقش که به صورت پیش فرض زمانی که ZBPFW استفاده می شود وجود دارد که به شرح زیر است:

ترافیک داخل هر Zone به صورت پیش فرض اجازه عبور دارد و کنترلی روی آن انجام نمی شود. اما از IOS 15.0.1M به بعد این امکان فراهم شده است که این ترافیک نیز کنترل شود.
ترافیک بین Zoneها به صورت پیش فرض اجازه عبور ندارد و تنها در صورت تنظیم Policy این امکان فراهم می شود.
همه اینترفیس ها نیاز نیست که عضو Zone باشند ولی ترافیک بین یک اینترفیس عضو Zone و یک اینترفیس که عضو Zone نیست اجازه عبور ندارد.