ASIC架構防火墻性能高，靈活性不足
　
ASIC防火墻是通過專門設計的ASIC芯片邏輯進行硬件加速處理，通過把指令或計算邏輯固化到芯片中，獲得很高的處理能力，由此，明顯地提升了防火墻的性能。新一代高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。另外，基于ASIC芯片架構的防火墻將包括狀態表項、路由表項以及VLAN表項等存儲在芯片中，以提高防火墻的處理速度。
但是，ASIC防火墻的缺點也同樣明顯:靈活性和擴展性不夠、開發費用高、開發周期過長，還不能支持太多的功能。從每秒新建連接數這一性能指標來看，某些廠家推出的基于ASIC芯片架構的64M內存的防火墻在最理想情況下，最大并發連接數為5萬，每秒新建連接數是400。如果每秒新建連接數達到900的話，其最大并發連接數只能是7190。可見，ASIC芯片本身的局限性對每秒新建連接數造成了直接影響。
NP架構防火墻可按需定制

NP的體系結構和指令集對于防火墻常用的包過濾、轉發等算法和操作都進行了專門的優化，可以高效地完成TCP/IP棧的常用操作，并對網絡流量進行快速的并發處理。
就防火墻來說，由于處理的就是網絡數據包，所以，基于NP架構的防火墻與X86、ASIC架構的防火墻相比，性能得到了很大的提高。由于NP通過專門的指令集和配套的軟件開發系統，可提供強大的編程能力。因而，它便于開發應用，支持可擴展的服務，而且研制周期短、成本較低。
應用NP的高端網絡設備具有以下特點:

● 可管理性:NP提供了和上層CPU標準的接口或者內置管理CPU，可以和其他CPU實現高速通信，NP一般都提供了大量硬件計數器，可以方便地實現各種MIB統計功能，為網管提供支持，對業務系統而言，沒有開銷，不會因為復雜、細致的網管功能影響業務系統的性能;
● 可擴展性:可以通過NP的不同形式組合或者和其他CPU的組合，實現系統的靈活配置，滿足不同設備的需求;
● 可編程性:NP擁有硬件可編程功能，一旦有新的技術或者需求出現，就可以很方便地通過微碼編程進行實現，系統的硬件功能可以通過軟件模塊(微碼)的方式方便地進行添加、刪除。所以，對于特殊的用戶需求，基于NP的產品可以實現定制開發。
以聯想推出的基于NP架構的萬兆級的超性能防火墻為例，其64Bytes小數據包處理能力可達7Gbps，512Bytes以上數據包處理能力可達到萬兆級。它可以根據最終用戶的個性化需求靈活配置多塊NP防火墻主板，可以組合配置線速千兆防火墻接口模塊、線速千兆VPN模塊、線速百兆陣列接口模塊。在軟件設計方面，不但支持硬件平臺“按需配置”，而且在功能上做了大量的優化和完善。
如何按需選擇NP和ASIC防火墻
ASIC防火墻對于模式簡單、對吞吐量和時延指標要求較高的電信級的大流量處理更適用，由于其靈活性低，定型后再擴展十分困難。對于其他非電信行業的用戶來說，并不適用，而現在的NP防火墻完全可以達到電信行業的應用要求。
除此之外，用戶在選擇NP和ASIC防火墻時，還應該首先明確自己的安全需求;其次，在防火墻的安全功能與性能之間作出必要的折衷。檢查的層次越高，防火墻消耗的資源就越多，花費的時間就越長，性能就會越低。在應用環境時還要考慮網絡拓撲、用戶規模、流量帶寬、通信類型以及環境的復雜惡劣程度等。