过滤型防火墙

在Linux系统下,过滤功能是内建于核心的（作为一个核心模块，或者直接内建），同时还有一些可以运用于数据包之上的技巧，不过常用的依然是查看包头以决定包的命运。 过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据包的包头，按照过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。过滤是在IP层实现的，过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等包头信息及数据包传输方向等信息来判断是否允许数据包通过。

防火墙-缓冲区溢出病毒

缓冲区溢出是病毒编写者和木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处，运行特别程序，获得优先级，指示计算机***文件，改变数据，***敏感信息，产生后门访问点，传播或者攻击其他计算机。缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。缓冲区边界检查被认为是不会有收益的管理支出，计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由，然而技术的飞速发展已经使这一理由失去了存在的基础，并没有检查缓冲区边界的功能。

NGFW?下一代防火墙随着云计算、大数据、物联网、移动互联网、人工智能等新兴技术的不断发展，ICT网络环境持续变化。网络安全威胁的范围和内容不断扩大和演变，网络、***网站、分布式拒绝服务等网络安全威胁有增无减，软件、持续威胁(APT攻击)等新型网络攻击愈演愈烈，网络攻击趋向复杂化、系统化、化、规模化。下一代防火墙作为网络安全的道防线，要积极适应这些变化，融合更多更有效的安全检测、防护能力。