Inspect : cette action permet de contrôler le trafic en fonction de l'état. Par exemple, si le trafic circulant de la zone PRIVATE vers la zone PUBLIC est inspecté, le routeur conserve les informations de connexion ou de session pour le trafic TCP et UDR Le routeur autorise alors le trafic de retour envoyé par les hôtes de la zone PUBLIC en réponse aux demandes de connexion de la zone PRIVATE.

Drop : il s'agit de l'action par défaut pour tout le trafic. Semblable au deny implicite à la fin de chaque ACL, il y a une drop explicite appliquée par l'IOS à la fin de chaque policy-map. Elle est répertoriée comme classe class-default dans la dernière section de toute configuration de mappage de politiques. D'autres class-maps dans un policy-map peuvent également être configurés pour abandonner le trafic indésirable. Contrairement aux listes de contrôle d'accès, le trafic est abandonné en mode silencieux et aucun message ICMP inaccessible n'est envoyé à la source du trafic.

Pass : cette action permet au routeur de transférer le trafic d'une zone à une autre. Cela n'assure pas le suivi de l'état des connexions ou des sessions. Le laissez-passer n'autorise le trafic que dans une seule direction. Une politique correspondante doit être appliquée pour permettre au trafic de retour de passer dans la direction opposée. L'action de réussite est idéale pour les protocoles sécurisés avec un comportement prévisible, comme IPsec. Cependant, la plupart du trafic des applications est mieux géré dans la ZPF avec l'action inspect.