Đây là một hiện tượng chung của các firewall (mà nhiều người quản trị chưa chắc đã biết)
Firewall hiện nay là "stateful firewall", bạn chỉ cần tạo rule chiều đi (A to B) mà không cần tạo rule chiều về (B to A) thì A và B vẫn trao đổi được thông tin 2 chiều. Đó là do firewall sẽ ghi nhớ session khi A tạo kết nối đến B nên bản tin trả về sẽ tự động được cho qua, trong khi kết nối từ B đến A mới bị chặn.
Khi nhận bản tin A > B thì firewall sẽ xem connection đó có trong bảng các session đang active hay không. Nếu có thì nó sẽ cho qua mà không cần duyệt lại rule, nếu không thì nó mới đem bộ rule ra so, nếu pass được 1 rule nào đó thì connection này sẽ được đưa vào bảng session và từ đó không cần duyệt lại rule nữa.
Vì vậy chỉ khi nào một connection được tạo mới thì nó mới được đem xét với rule, còn connection đang tồn tại thì không. Ví dụ nếu đang có 1 kết nối A > B và bạn tạo 1 rule "deny A to B" thì kết nối cũ vẫn duy trì chứ không bị "đá" ra, chỉ kết nối mới thì mới bị deny.
Riêng về tính năng giới hạn thời gian của con Zyxel này thì nó cũng được thiết kế theo nguyên tắc như vậy, mình cũng không rõ có loại firewall nào có thể thường xuyên check lại giờ hệ thống để tự động đá ra hay không.
 

vậy nó cũng giống như ACL đó giờ mình cũng chưa biết firewall như thế này