deny構成要素のないPermissiveフィルタでは、どのIPがallow構成要素で明確に許可されているかに関係なく、すべてのIPからのログオンを許可します。Permissiveフィルタの拒否要素を使用して、ユーザーリストに対する拒否IPを定義することができます。また、その後オプションとして、許可要素を使用して拒否範囲内のいくつかのIPを有効にすることが可能です。
ゲートウェイは、まずPermissiveフィルタ拒否要素を処理し、その後に許可要素を処理します。結果として、ゲートウェイは、拒否要素にリストされたすべてのIPアドレスを拒否します。ただし、許可要素にも表示されている場合は除きます。そのような場合、ゲートウェイはそのIPがデータベースにアクセスするのを許可します。