服务质量（QoS）是那些众所周知的、难以描述的术语之一。似乎我们都需要QoS，但它是什么，它为我们做了什么，以及我们将如何获得QoS，目前还不清楚。在两种场景下，最常听到QoS。第一种场景是IP电话（VoIP），VoIP顾问说：“如果你没有QoS，我不能保证正常工作。”第二种场景是下载控制，经理说：“难道我们不能通过限制下载来保持互联网连接的可响应？”

　　在这两种情况下，答案是：网络带宽管理。网络工程师把带宽控制和管理看作是QoS的一部分。在规模较小的网络中，保证或限制带宽，我们需要QoS。进行网络带宽管理最好的地方是在网络边界，这通常是在位于网络和因特网之间的防火墙上。这里有五个小提示，帮助您在边界防火墙上应用QoS控制。

1. 弄清楚你将怎样标识你想要控制的流量。如果防火墙要保证带宽，那么您可能需要配置以保证带宽的特定流量。如果你使用IP地址识别你想要保证带宽的流量，那会更容易。例如，如果你需要保证VoIP设备的带宽，那么可以将它们分组在一起，使用IP地址来识别它们的流量。使用TCP和UD P端口号来识别流量可能会适得其反，因为许多类型的多媒体流量（如VoIP）需要借助位于防火墙中正常运作的应用层网关（ALGs）来分离流量——并且这些ALGs往往不能正常工作。使用IP地址识别流量是一件有把握的事。
2. 在时间不够的情况下，QoS保证非常重要。防火墙并不能保证一定的带宽，除非它认为该电路是满载的。我最常见的防火墙错误之一是忘记把实际的上行带宽放置在防火墙QoS配置中。如果没有这个数字，防火墙不能告诉你什么时候充分利用了链路，且QoS将不能工作。如果它是一条流向你的ISP的以太网，带宽可能不是100 Mbps或1000 Mbps，而是你正在支付的某个上行带宽。在QoS配置中放入真正的带宽，而不是以太网端口的速度。
3. 防火墙只能保证出向带宽，而不能保证入向带宽。只能在上行流量方向上管理QoS。一旦流量到达你的防火墙，它已经经过了最慢的链路，现在去进行流量限制为时已晚。如果你想QoS在两个方向上保证带宽，你将不得不让你的ISP帮忙，在流量通过链路发送到你的业务网络之前，对流量划分优先级或控制。
4. 最有效QoS是关于保证带宽。试图限制带宽——又一个常被问及的特征——是一件棘手的事儿，可能很有效也可能无效。带宽限制仅仅对基于TCP协议的应用起作用。对UDP流量应用带宽限制意味着简单地丢失数据包，并且取决于应用的不同，可能意味着简单地使越来越多的数据包涌向网络，试图使流量获得通过。如果你想应用带宽限制，就集中在TCP应用。当应用带宽限制时，好的防火墙实际上作用在TCP数据流，通过延迟ACK数据包，使流量速度缓慢下来，这使应用就很好地工作，避免异常的洪泛行为阻止你完成工作。
5. 不要得意忘形。边界防火墙是防火墙，而不是QoS执行设备，无论宣传手册或PowerPoint说什么。如果你想要复杂的控制和报告，就得指望QoS的设备，如Blue Coat的PacketShaper，或它的竞争对手的任何其他产品。思科路由器也有一些强大的带宽管理工具，但它几乎没有报告。如果你的防火墙任意一侧有这样的设备，你可以使用它们来完成防火墙不能实现的流量控制。