考虑到安全和功能两方面的因素，使网络获得质量服务保证最简单的办法是让网络中的部件，而非应用，在一个能够导致网络瓶颈的节点去控制网络数据流量。

    传输过程中，流量分配是用大量可配置参数通过测量和排列ip包的方式实现的。与实施防火墙规则的方法十分相似，能够根据源、目的和协议参数限制不同的速率并保证不同流量。流量分配的工作原理是：

    1 带宽限制 可以对用户ip地址、服务等通过防火墙的带宽进行限制，同时可以定义发起访问的数据与返回的数据走不同的管道，即：进行不同的带宽限制。例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。

    2 带宽保证 保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。

    3 优先级控制 阿姆瑞特防火墙通过定义管道的方式提供cos/qos功能，并且管道没有数量的限制，也就是说带宽控制的级别没有数量的限制，同时可在每一个管道中，可以设定8个优先级（0-7）,这样在管道嵌套的时候可以对不同的数据定义出不同的优先级别，保证优先级别高的数据优先进出网络。

    4 动态流量均衡 为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。例如：假如某网络带宽为256k，设定主机a的带宽为100k，主机b带宽为156k,如果主机b目前只用到120k，而主机a100k的带宽不够用，此时主机a可以动态获得主机b剩余的36k带宽。如果主机b某一时刻的突发速率到156k，他会动态的从主机a那里获得属于他的36k带宽，从而保证重要服务或者用户优先进行数据传输。

    5 管道用户分组 阿姆瑞特防火墙提供对同一应用中的每一个ip的带宽进行限制和保证，并且提供对管道用户之间的动态流量均衡。例如：我们定义ssh这种应用的管道宽度为64kbit/s(即：带宽为64kbit/s)，同时我们可以通过管道分组定义每一用户最大带宽为16kbit/s，那么每一个ip通过这个管道作ssh访问时候最大带宽便为16k，如果同时有10个人通过ssh管道对外作访问，那么，通过流量均衡可以保证每个ip作ssh访问的带款为6.4kbit/s（64/10=6.4），而不是所有ssh应用的数据包先到先发。

    以下是阿姆瑞特防火墙作带宽管理所涉及到的一些概概念和术语。

    管道的原理

    阿姆瑞特防火墙的流量分配是由一个基于“管道”的概念实现的，每个管道都具有优先级分级、限制和分组等特点。各个管道可通过不同的方式链接起来，以建立远远超出单个管道能力的带宽管理单元。

    与防火墙规则集紧密集成

    可以给防火墙的每条规则分配一或多个管道。

    流量优先级与带宽限制

    每个管道有若干优先级别，每个优先级别都有各自以kbps（千比特/秒）或pps（包/秒）表示的带宽限制。也可以规定管道的总体限制。

    分组

    通过一个管道的数据流能够被自动分为“管道用户”，在此，如果希望的话，每个管道用户或“用户管道”可以按主要管道配置成同样的级别。

    可以根据如源或目的ip网络、ip地址或端口号等多个参数对流量进行分组。

    动态带宽平衡

    如果整个管道已超出限制，流量分配工具可以用来动态平衡不同管道用户的带宽分配。

    这意味着对所选分组管道均匀地平衡可用带宽。

    管道链

    给规则分配管道时，最多可连接8条管道形成一条管道链。这样能够以非常复杂的方式进行过滤和限制。

    流量保证

    使用适当的管道配置，可用阿姆瑞特防火墙的流量分配能保证通过防火墙数据流的带宽（以及质量）。

    ipsec 集成

    如果防火墙使用选件ipsec vpn模块，便可以为vpn通道以及防火墙普通规则配置带宽和优先级别。