按照防火墙CPU架构分类，可以分为通用CPU、ASIC（Application Specific Intagrated Circuit，专用集成电路）、NP（Network Processor，网络处理器）架构防火墙。

（一）Intel x86（通用CPU）架构防火墙

通用CPU架构目前在国内的信息安全市场上是最常见的，其多是基于Intelx86系列架构的产品，又被称为工控机防火墙。在百兆防火墙中，Intelx86架构的硬件具有高灵活性、扩展性开发、设计门槛低、技术成熟等优点。

由于采用了PCI总线接口，Intel x86架构的硬件虽然理论上能达到2Gbit/s的吞吐量，但是x86架构的硬件并非为了网络数据传输而设计，对数据包的转发性能相对较弱，在实际应用中，尤其是在小包情况下，远远达不到标称性能。

由于国内安全厂商并没有掌握x86架构的核心技术，其BIOS中存在着隐藏的漏洞，有可能影响防火墙的安全可靠性。

（二）ASIC架构防火墙

ASIC技术是国外高端网络设备几年前广泛采用的技术。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用。基于硬件的转发模式、多总线技术、数据层面与控制层面分离等技术，ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。(www.daowen.com)

ASIC技术开发成本高，开发周期长，并且难度大。ASIC技术的性能优势主要体现在网络层转发上，对于需要强大计算能力的应用层数据的处理，则不占优势。由于对ASIC不可编程，所以根本无法对新的功能进行添加，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。

（三）NP架构防火墙

NP（Network Pressor，网络处理器）是专门为处理数据包而设计的可编程处理器，特点是内含了多个数据处理引擎。这些引擎可以并发进行数据处理工作，在处理2～4层的分组数据上，比通用处理器具有明显的优势，能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范，具有较高的I/O能力，包处理能力得到了很大提升。

NP具有完全的可编程性、简单的编程模式、开放的编程接口及第三方支持能力，一旦有新的技术或者需求出现，资深设计师可以很方便地通过微码编程实现。这些特性使基于NP架构的防火墙与传统防火墙相比，在性能上得到了很大的提高。NP防火墙和ASIC的防火墙实现原理相似，相比升级和维护比ASIC的防火墙好。但是从性能和编程灵活性一起考虑，多核架构防火墙会胜出。

（四）多核架构防火墙

多核处理器在同一个硅晶片上集成了多个独立物理核心（所谓核心，就是指处理器内部负责计算、接受/存储命令、处理数据的执行中心，可以理解成一个单核CPU），每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和总线接口等逻辑单元，通过高速总线、内存共享进行通信。多核处理器编程开发周期短，数据转发能力强。目前国内、外大多数厂家都采用多核处理器。