look n stop
Look n Stop来自法国,被誉为世界顶级防火墙。与同类产品相比具有最为突出的强劲功能以及与众不同的特点,不仅功能评测在知名防火墙中是最强的!而且软件大小只有区区600多k,十分小巧,占内存非常小,可以监控dll,更具强大的御防黑客攻击能力,在一个国外专业网站的试用中,它超过ZA、Kerio、Norton等排在了第一。
软件名称: Look'n'Stop
最新版本: 2.06p2
授权方式: 共享软件(30天试用)
软件大小: 577KB
下载地址: www.looknstop.com/En/index2.htm
软件安装的时候有可能会提示将要安装没有通过微软的WHQL签名和认证的驱动程序,直接仍然继续就可以了。另外该软件规则设置较麻烦,而这些对初学者来说都是比较困难的。
look'n'stop防火墙使用心得
使用look`n`stop(以下简称lns)防火墙已经有一段时间了,我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后,被lns的小巧内核和强大功能所吸引,而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐,很多人是刚装上lns就卸载了,正是这点吸引我去研究这个只有633kb的软件。
二、安装:
本来安装没什么好说的,但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙,最好还是看一看。比如我,在安装lns时候不是那么顺利,出了点问题。
我在3台不同的电脑上安装lns,3台都出现了问题。第一台的问题是:安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯一的可能是我的mcafee virusscan enerpriese8.0i的设置问题(这是麦咖啡锁定系统文件不让修改的原因,注:水云深浪按)。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是:进安全方式安装lns,重启后再进安全方式,安装lns驱动。第三次重启后lns工作正常。
第二台的问题是:安装正常,不过只能导入一条规则,导入第二条规则铁定跳启,比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题,不具普遍性。
第三台的问题是:安装后,重启,结果死活找不到lns驱动,运行lsn就提示“找不到设备”。后来发现是lns和mdf(mcafee desktopfire 8.0zh)冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他,有他没我,独霸一处的。
三、使用补遗:
在看本段使用补遗之前,建议大家先拜读一下zeus首发龙族,后被多处转载的帖子——《 look`n`stop防火墙中级使用指南(7月19日更新)》。指南很详尽地介绍了lns的设置和使用技巧,正是这个帖子才使我对lns有更深入和全面的了解。
1、不能上网的补遗
有些adsl用户反应装了lns后就不能上网。很不幸,我也遇到了,我在家里的一台电脑装了lns后就不能上网了,不过可以进行pppoe拨号并建立连接,可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度,我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个,一个是不要指定网卡的ip,另一个是在lns的选项标签页中,勾除自动选择网络接口的选项,手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip(不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外)
2、优化补遗
在zeus《look`n`stop防火墙中级使用指南(7月19日更新)》这个帖子的末尾,有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns,并不允许svchost.exe调用其他程序连接。这个设置的思路是对的:是让svchost.exe只访问一个ip的特定端口,阻止一些利用svchost.exe进行调用,并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标,就不能连上网,一些浏览器的跳转也被阻止。所以还是把[禁止启动其他连接]给恢复成[允许]吧。
3、rules—规则补遗
a、新建一条针对特定应用程序才启动的规则时,必须重启该应用程序才能生效。比如,你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则,要让该规则生效(就是暗红的钩子变绿色)必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行,这个规则还是暗红的没有启用。
b、很多高手为我们定制了现成的规则表,直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手,逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴,其监听端口都是不一样的。有些规则不指定ip和端口,只要特定程序运行,就开放所有端口通信,这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制,了解程序访问网络的手续和步骤,还可以锻炼你创建规则和分析问题的能力,虽然麻烦了点,但好处多多。
c、lns对不同的用户建立不同的应用程序过滤列表(网络过滤列表是全局的),如果你嫌麻烦让不同的用户去逐个授权,可以打开注册表,找到hkey_current_usersoftwaresoft4everlooknstopapplis这里保存着当前用户的应用程序列表,dll过滤列表也保存在这里哦。以后重装lns就不用授权应用程序了,导入就可以了。
4、漏洞检测补遗
大家可以自己去试试防火墙的可靠性。
漏洞检测:英文为leak test比较著名的检测站点有:
1:诺顿
http://security.symantec.com/ssc ... fkpxkbqw&bhcp=1
2:天网
http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17
3.sygatetech
http://scan.sygatetech.com/prequickscan.html
4.pcflank
http://www.pcflank.com/test.htm
使用LNS防范arp攻击
关于防范arp攻击(也就是P2P终结者使用的arp原理)
1.首先需要获得网关MAC和本机MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应,用ipconfig -all可以得到本机MAC
2.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;
3.在所有规则的最上面,添加一条规则:1.以太网类型:arp,2.来源等于本机MAC,3.目的等于ff:ff:ff:ff:ff:ff,4.方向为传出
4.在上述规则的下面面,添加一条规则:1.以太网类型:arp,2.来源等於本机MAC,3.目的等於网关MAC,4.方向为传入
5.允许3,4两个规则
应用,保存设置