В правилах NGFW могут использоваться списки IP,  geo IP и списки доменных имен. Эти списки представляют из себя разные сущности и обрабатываются в правилах по-разному. 

В общем случае правила обработки выглядят так:

1. условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

2. условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

В устройствах UserGate для корректной работы сервисов при наличии виртуальных маршрутизаторов (VRF) введены некоторые ограничения на доступ к сервисам зон.

Пакет будет пропущен к сервису, если он поступил на интерфейс зоны, в которой разрешена работа данного сервиса. Если затем, в результате внутренней маршрутизации, пакет был перенаправлен на интерфейс другой зоны (например, запрос из одной зоны осуществляется по IP-адресу, находящемуся в другой зоне), то такой пакет будет заблокирован даже несмотря на наличие доступа к сервису обоих зон.