■动态IP地址是指每次强制分配给不同的上网主机的地址。ISP的拔号服务器中经常使用动态IP地址－－节点机每次拔号上网，都会被分配一个不同的IP地址。
无论IP地址是静态还是动态的，它都被用于网络传输中。

　　当你的计算机和一台远程计算机建立联连（Connection）时，各种对话随之产生。我已在第６章“TCP/IP快速入门”对其中的一些进行了说明，其中最常见的一种－－是TCP/IP的三次握手方式。对方可在三次握手过程中得知你主机的IP地址。

　　⒉防火墙由哪些组成部分构成？
  　　防火墙最基本的构件既不是软件也不是硬件，而是构造防火墙的人的思想。
尽管防火墙有各种不同的类型，但所有的防火墙都有一个共同的特征：基于源地址基础上的区分或拒绝某些访问的能力。

　　⒊防火墙的各种类型
  　　目前存在着许多类型的防火墙，每种都有各自的优缺点，最常见的一种上称为“网络层防火墙”的防火墙。网络层防火墙通常以路由器为基础，换句话说路由器决定“谁”和“什么”能访问你的网络。这种方案采用了一种所谓的“数据报过滤”技术，即检查到达路由器的外部数据报并作出选择的技术。

  　　以路由器为基础的防火墙要对每个联结请求的源地址（即发出数据报的主机的IP地址）进行检查。确认了每个IP源地址后，防火墙构造者所制定的规则将被实施。基于路由器的防火墙有很快的速度，这是因为它被草草地检查一下源地址，没有发挥路由器的真正作用，并根本不判断地址是否是假的或伪装的。然而速度的加快是有代价的，基于路由器防火墙将源地址作为索引，这就意味着带有伪造源地址的数据报能在一定程度对你的服务器进行访问。

　　庆幸的是许多数据报过滤技术能弥补基于路由器的防火墙的缺陷。数据报的IP地址域并不是路由器唯一能捕捉的域。随着数据报过滤技术变得越来越复杂，系统管理员可使用的规则和方案也越来越复杂。现在系统管理员甚至能数据报中的车家信息作为过滤条件，当然还能以时间、协议、端口等作为过滤条件。

　　对照参考：
http://www.unix.geek.org.uk/~arny/pktfilt.ps
http://www.telstra.com.au/pub/docs/security/800-10/node51.html
http://www.alw.nih.gov/security/first/papers．firewall/cstater.ps

　　⑴数据报过滤工具

　　不需要构造一个完整的防火墙就可实现数据报过滤的功能。

　　■TCP_Wrappers
此工具以系统守护程序的形式运行并记录所有的联接请求、联结时间和最重要的信息－－联接发起者，因此TCP_Wrapper是最重要的证据收集工具之一。同时它还能挑出不想要的网络IP地址并阻止用户从这些地址上和你的机器建立联接。