Trong phần “Kỹ thuật lọc gói tĩnh”, chúng ta đã thảo luận lọc gói dựa trên các tiêu chí nhất định: Các cổng, địa chỉ nguồn và đích, hƣớng truyền và giao diện. Nếu TCP đƣợc sử dụng nhƣ giao thức lớp vận chuyển, các cờ (SYN / ACK / FIN / RST vv) cũng đƣợc sử dụng để thực hiện phép lọc gói. Lọc gói tĩnh cung cấp một phƣơng pháp khá hoàn thiện để ngăn chặn các gói tin độc hại xâm nhập vào hệ thống, nhƣng khá phức tạp để tạo ra một các luật hoàn chỉnh mà không gặp lỗi.
Hơn nữa, các luật phải đƣợc xác định để cho phép các gói trả lời của các kết nối đi qua BTL để giao thức hoạt động chính xác. BTL cho phép một phạm vi lớn các cổng tạm thời nhƣng không có cách nào thông báo để các máy chủ từ xa sử dụng các cổng tạm thời này trong tiêu đề gói tin trả lời.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ Lọc gói động, còn gọi là “Lọc gói trạng thái thái đầy đủ”, tạo ra các trạng thái trên BTL cho mỗi kết nối đi ra từ mạng nội bộ qua BTL và ghi nhớ các cổng và địa chỉ nguồn và đích của gói tin. Trạng thái này tạo ra một quy tắc động trong tập các quy tắc lọc gói, cho phép các gói tin trả lời về qua bộ lọc gói. Điều này có nghĩa rằng không cần thiết xác định các quy tắc theo chiều ngƣợc lại trong các tập quy tắc cho mỗi dịch vụ đƣợc cho phép thông qua bộ lọc. Vì vậy, lọc gói động đƣợc sử dụng để đơn giản hóa tập các quy tắc lọc gói nhằm tránh các cuộc tấn công chèn và bắt cóc kết nối có thể xảy ra nếu dùng lọc gói tĩnh. Nó cũng đƣợc sử dụng để chặn các chƣơng trình quét cổng và theo vết từ xa, đảm bảo rằng các gói tin của giao thức TCP từ khi thiết lập kết nối với mảng tin SYN, đến SYN/ACK cùng các mảng dữ liệu cho đến khi kết thúc với mảng tin FIN thuộc về một kết nối.