In der Firewall ist es möglich, die im QoS konfigurierten Queues regelbasiert zuzuweisen. Diese Zuweisung ist unabhängig vom DSCP-Wert im IP-Header. Die Zuweisung erfolgt über Aktionen, die einer Regel zugewiesen werden. Wenn eine Regel mit einer solchen Aktion übereinstimmt und in der Firewall eine Session erzeugt wird, dann wird geprüft, ob dem Ziel- oder Quell-Interface der Session eine solche Queue zugewiesen wurde und die Zuweisung in der Aktion vermerkt. Wenn Daten über die Session laufen und die Aktion ausgeführt wird, wird das jeweilige Paket mit der Zuweisung markiert und wird dadurch vom DSCP-Classifier ignoriert und in der QoS-Statistik für die jeweilige Queue als "Pre-Classifed" gezählt.
Die Queue-Zuweisung bezieht sich auf Queues, die physikalischen Interfaces zugewiesen wurden, wird aber auf darüber gestapelte Interfaces vererbt, d. h. wenn z. B. das Ziel-Interface einer Session ein VPN-Interface ist, dann propagiert sich die Queue-Zuweisung bis zum physikalischen Interface (WAN) durch und nutzt dieses dann zur Zuweisung.
Da sich die IPv4- und die IPv6-Firewall in ihrer Konfiguration unterscheiden, werden sie im Folgenden getrennt aufgeführt.
