یک فایروال برای اعمال سیاست های دسترسی بین بخش های مختلف شبکه استفاده می شود. در ZBPFW هر بخش از شبکه تحت عنوان Security Zone استفاده می شود. نسخه قبلی IOS فایروال سیسکو تحت عنوان Context-Based Access Control یا CBAC نامیده می شد و اعمال Policy براساس بازرسی و استفاده از ACL بین اینترفیس ها انجام می گرفت. ZBPFW سیاست ها را براساس Cisco Common Classification Policy Language (C3PL) اعمال می کند که مشابه ساختار Modular QoS Command-Line Interface (MQC) است. و به طور کلی با استفاده از Class maps ترافیک طبقه بندی می شود سپس با Policy Map ترکیب می شود و در انتها این Policy mapها به Security Zone اعمال می شوند.
ZBPFW ازstateful inspection ، Application Inspection and Control (AIC)وDeep Packet Inspection (DPI) پشتیبانی می کند که شامل بازرسی از لایه سوم تا هفتم می باشد. Stateful inspection این قابلیت را به ما می دهد که بتوانیم Connection های فعال بین Security zone ها را ردیابی و کنترل کنیم. این قابلیت باعث می شود که اجازه ورود ترافیک برگشتی به یک Security Zone را بدهد. AIC این قابلیت را فراهم می کند که Sessionهای لایه چهارم را در حافظه سرهم کند تا بتواند اطلاعات مربوط به جریان ترافیک بین دو Host متصل بهم را بدست آورد و همچنین این قابلیت را دارد که اطلاعات مربوط به پروتکل های لایه هفتم را با استانداردها مطابقت دهد.