千兆防火墙的特点是网络吞吐性能要求高（即带宽要求高），普通的硬件主板不能承受，市场出货量又少。因此，在世界上能够实现的厂家很少，而且必须是世界级的进行市场推广的公司才能推出真正的千兆防火墙。千兆防火墙的代表产品包括Netscreen的5000系列防火墙，以及Nodia-CheckPoint的IP720以上的产品。业界中有很多的防火墙也名曰千兆防火墙，但是即使是名为千兆，实际上也只是假千兆，说穿了就是把千兆卡用到百兆防火墙的内核上，实际上达不到千兆性能。要了解其中原因，首先要了解防火墙的工作原理。

众所周知，防火墙的工作核心其实就是对IP包头与预定政策的匹配控制。防火墙在工作的时侯，首先从内存读出政策链的第一条放进寄存器，然后经系统总线(pci0)，再经pci-pci桥，再经pci1到pci网卡读取IP包的头信息，把它与寄存器中的政策进行匹配，然后决定该IP包的处理。一来一去需要两次经过PIC总线。如果IP包比较大，那么这个包头信息与包的大小比较就相对小得多，这时侯系统带宽的瓶颈就是网卡的内存暂存能力，也就是我们所说的百兆网卡和千兆网卡的区别，或者称为线速的限制(wirespeed).但如果IP包很小，那么IP包头所占的比例就相当高，这时，瓶颈就是PCI 总线的交换能力了。

任何来往于该PCI的其他传输，都将由于总线争夺而受到限制。在这一数据交换中，数据通过Hubink,从ICH（I/O Controller Hub)）到MCH(Memory Controller Hub)的传输有四次，经过PCI总线的传输有两次。由于HubLink的最大数据吞吐量是266MB，约2.2Gbps；但由于32位PCI总线以 33MHz运行，所以数据传输率被限制到1.06Gbps左右。而且还要连接运行各种系统数据交换。由于PCI总线的带宽限制，PCI网卡永远也不能实现真正的全双工的2Gbps带度，最高理论速度是单向1Gbps，而实际达到的不超过一半，即500M。

换句话说，对于硬件确定的系统，每秒能够处理IP包的数量是一个相对的常数。这个常数与CPU处理能力和寄存器数目，以及系统总线的交换速度形成的整体能力密切相关。对于使用PIII处理器和 X86服务器主板（或工控主板，32位PCI总线）的防火墙，这个数字大致在五十万到一百万之间。（注意不要把它和最大的会话保持这个标称参数混淆，最大会话主要与系统的可分配内存有关系）。