防火墙上的 IPQoS

下图显示了某公司网络的一段，由其他段通过防火墙保障该段的安全。

图 33–3 由启用了 IPQoS 的防火墙保护的网络

在此方案中，通信流入可识别 Diffserv 的路由器，在此路由器中对包进行过滤和排队。然后，所有由路由器转发的传入通信通过启用 IPQoS 的防火墙。要使用 IPQoS，防火墙不能跳过 IP 转发栈。

防火墙的安全策略决定是允许传入通信进入内部网络还是远离内部网络。QoS 策略控制已经通过防火墙的传入通信的服务级别。根据 QoS 策略，还可以使用转发行为标记传出通信。