三. 实战：LooknStop防火墙的规则设置

1.概述

LooknStop作为一款强大的防火墙，其采用的原型是非常严格的，首先， LooknStop先禁止所有本地和远程的网络访问操作，然后才逐项允许，在初始时不信任任何程序和网络操作，正是因为这过于严厉的策略原型， LooknStop才能成为一堵树立在系统和网络之间的“墙”，而也正是因为这样的模型，LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对LooknStop时吃的第一个下马威：无法连接网络。

LooknStop的主界面并不难理解，从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”，欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。

我们先解决第一个燃眉之急：如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户，请先进入“互联网过滤”界面，然后双击最后一条规则“All other packets”，它就是罪魁祸首，选择“以太网类型”为IP，保存应用即可。

这一故障是LooknStop默认的严格规则造成的，它把所有未在规则里定义的数据包都过滤了，于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里……由此可见，与某些防火墙比起来，LooknStop是多么的严格！

解决这个问题后，我们回到正题。

2.基于界面的设置

既然LooknStop的规则如此严格，我们也遵循它的规则，严格依照从左到右的顺序讲解吧：P（老勇不许扔鸡蛋！）

首先是“欢迎”界面，这里是作为快捷数据统计而设的，用户可以在这个界面看到基本的数据流量情况以及网络信息，如果网络已经连通，LooknStop会报告你的计算机IP地址，如果这里为0.0.0.0，则说明没有连接网络或者 LooknStop没能检测出活动的连接，用户必须自己到“选项”的“网络接口”里手工选择一个作为LooknStop的监控对象。

其次，是众多软件防火墙都会提供的“应用程序过滤”功能，LooknStop“不信任任何人”的思想在这里又一次得到了发挥，每个程序第一次启动的时候都会被拦截询问，用户允许通过的程序都在里面列举出来，并且在左边出现一个活动列表，可是即使这样，LooknStop仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮，分别为“过滤激活”、“过滤类型”、“进程调用”、“连接记录”。

在“过滤激活”里可以选择两种状态，分别为“启用”和“禁止”，用于告诉防火墙是否允许该应用程序按照后面的规则运行，如果状态为“禁止”，则后面设置的独立应用程序规则不起作用，但是这并不意味着程序能摆脱防火墙的限制——每次这个程序访问网络的时候，防火墙都会再次询问你是否允许这个程序访问网络。

“过滤类型”里提供了3种类型选择，分别为“允许”、“自定义”和“禁止”，如果用户没有为这个程序设置特殊规则，则只会在“允许”和“禁止”两种类型之间选择，否则为三种。直接双击程序名字就可以设置“过滤类型”，里面分别提供了 TCP和UDP协议的端口和IP设置，LooknStop强大的灵活设置性能再次体现了出来：单独输入IP或端口，则规定这个程序只能访问用户指定的IP 或端口，多个端口之间用分号“;”分隔，IP同上。

看到这里，一些用户可能会想，是不是只能设置允许访问的地址呀？其实不然， LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——要设置程序禁止访问的IP，只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可，可以说，LooknStop把“简洁就是美”的信奉发挥到了极致！

现在让我们来看看“进程调用”，首先我要简单介绍一下“进程调用”的概念，有时候，一个程序要访问网络并不是通过它自身实现的，而是调用了外置的DLL函数，这样的话，最终访问网络的程序就是那个DLL文件而不是程序本身，许多防火墙都认为，通过程序宿主进程启动进而访问网络的模块也是符合条件的，因此不会做任何阻拦，但是LooknStop仍然不信任任何模块，它会忠实的报告并控制每个子进程DLL的网络连接并提示用户，在如今这个“代码插上翅膀”（线程注射）越来越猖獗的年代里，这样的限制是十分有必要的，很多防火墙正因为过于信任程序调用的进程模块，导致一些DLL类型的木马得以搭载顺风车，给用户的系统安全带来威胁。针对这种情况，LooknStop提供了“进程调用”的控制功能，分别为“允许”（双箭头标志）和“禁止”（红色停止标志），一旦某个程序的“进程调用”被设置为禁止，该程序就只能通过自身访问网络了，所有通过它调用的模块都无法突破限制，这个设置对一些经常被后门搭顺风车的系统程序是很有用的，设置禁止后，我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、 Svchost.exe等程序突破传统意义的防火墙连接了。

最后，是一个标示为感叹号的设置项，它代表“连接记录”：灰色的点表示不记录，两个感叹号表示记录该程序的所有连接，而单独一个感叹号则是与“过滤激活”配合使用的，如果你把一个程序的“过滤激活”设置为“禁止”，以后这个程序再次请求访问网络的时候就会被LooknStop记录下来，如果一个奇怪的程序频频要求连接网络，那么它是木马的可能性将会很大！

从“应用程序过滤”这一部分就可以看出，LooknStop对程序的控制非常灵活和精巧，仅使用一个界面和一个对话框就能完成对4种程序控制方式，包括多达10个属性36种不同组合的控制能力，其对程序的控制能力可见一斑。

那么，LooknStop对网络协议的控制功能又如何呢？让我们进入“互联网过滤”，这里正是用户噩梦开始的地方。

这里同样是简洁而复杂的界面，简洁在于按钮的稀少，复杂在于太多列表控制的项目，一眼看去，几乎能让人摸不到头脑，但是这里正是所有防火墙思维的起点：防火墙规则集合。

从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。

上一页  [1] [2] [3] [4] [5] 下一页