Le firewall rarement surtout sur des tarifs qui restent non prohibitifs. Ce n'est pas tellement son rôle en fait et c'est compliqué à faire tout en gardant des performances raisonnables. Le truc c'est que les firewalls un minimum costauds font l'essentiel du filtrage sur des ASIC. La table des connexions est hardware.
Regarde le datasheet des 6500 par exemple, c'est une référence en matière de firewall d'entreprise, tu verras qu'il ne fait pas de DPI, la seule inspection un peu plus poussée consiste à repérer les ports annexes (genre FTP qui ouvre un flux data)

À la limite ce modèle est capable de déléguer une DPI, et uniquement sur des flux HTTP, HTTPS et FTP. Mais c'est une fonctionnalité récente et présente uniquement sur le haut de la gamme.

Si tu veux davantage de fonctionnalités il faut de l'équipement plus spécialisé. Soit mettre un proxy soit utiliser des appliances de sécurité spécialisées.

(tu trouves parfois du DPI sur de petits firewalls destinés à fournir des solutions clé en mains pour PME, qui sont généralement des firewalls purement logiciels, même si embarqués dans une appliance qui est en fait juste un petit serveur)