La figure suivante montre un segment d'un réseau d'entreprise sécurisé à partir d'autres segments au moyen d'un pare-feu.
Dans l'exemple illustré, le trafic passe par le routeur compatible Diffserv où les paquets sont filtrés et mis en attente. Tout le trafic entrant, transféré par le routeur, transite alors par le pare-feu IPQoS. Pour utiliser IPQoS, le pare-feu ne doit pas passer outre la pile de transmission IP.
La stratégie de sécurité du pare-feu détermine si le trafic entrant est autorisé à entrer ou à sortir du réseau interne. La stratégie QoS contrôle les niveaux de service applicables au trafic entrant ayant traversé le pare-feu. Selon la stratégie QoS retenue, le trafic sortant peut également être associé à un comportement de transmission particulier.