wd and cc

— Happy every day

LNS防火墙中级使用指南zz

Posted at — Mar 26, 2006

1.应用程序过滤----专门对程序进行设定,决定应用程序行为的控制。
Click here to open new window
先看看红色编号1区,这个区显示是正连接在网络上或者曾经连接过网络目前还没有关闭的软件清单。
重点是看绝色编号2区,这个区才是重点,有N多的门道在里面。这个区猛一看是已允许的相信的程序,仔细看看,偶已经列出了11种属性,当然也是可能的全部属性了。
现在按此区的“列”来开讲^_^,之前必需选中黑色编号13“应用程序过滤已启用”,否则所做的任何设置都不起作用,嘿嘿。
第一列只有此二种属性,简而言之就是启用或者禁用该规则,单击实现二种属性之间的切换。见黑色编号1,黑色编号2。
黑色编号1,是指启用为它所在行的那个程序制定的规则,也就是说让该程序按既定的规则运行,此所谓的应用程序过滤。如果你不想为这个程序设置的规则起作用的话,那么点击一下,就会变成黑色编号2所指的样子。
第二列有三种属性,分别是允许(黑色编号5)、禁止(黑色编号4)、自定义(黑色编号3)。单击则在允许与禁止之间切换,如果有自定义属性,则在三者之间进行切换。
黑色编号3:黄色圆饼标志。当你为此程序制定了特殊规则,如指定程序只能连接远程的哪些端口、或者不允许连接哪些端口;允许连接哪些地址、禁止连接哪些地址时,则出现黄色的圆。(功能强大,设置之灵活让人唏嘘。)具体看看如下:
双击某个程序(当然也可以通过点击点击黑色编号12来实现),就会出现如图二所示的“选择端口和IP地址”窗口,此时你可以设置具体的内容了。

比如,偶的TW,偶只允许它连接远程的80端口,不允许连接其它端口,那么就按上面的设置;此时对IP地址没有限制。如果你想让他只连接远程的某个IP地址,那么就在IP地址栏输入。当然没有人会这么对待浏览器。
这个自定义功能不会只是如此简单吧?当然不是,其实重要的不是允许去什么地方,而是禁止它去什么去什么地方。比如,你的CuteFTP一启动就想去它的主站验证一下它的合法性,那么你就可以在这里设置一下了,而又不影响其它程序(如IE)访问CuteFTP的主站(目前偶还没有发现哪个防火墙能这样设置的,嘿嘿,如果有恕偶无知)。
说了半天,允许和禁止在这里是看不出区别的,该怎么办?其它很简单,允许访问的端口或者IP,则直接输入在上面就行。如果你要禁止某个端口或者地址,呵呵,只要在端口前面加上一个感叹号“!”就行了,是不是真的简单?对了,如果是多个IP或者端口,不要忘记在它们之间加上一个半角的分号“;”哦。
黑色编号4:红色禁止标志。此标志表示禁止该程序连接网络。
黑色编号5:绿色允许标志。此标志表示允许该程序连接网络。
现在来看第三列,此列只有二种属性,单击则实现二种属性之间的切换。见黑色编号7、黑色编号9。这一列是强大功能的一个体现,作用是允许或者禁止此程序调用另一个程序并且使用被调用的这个程序连接网络,也就是说:A程序启动了B程序,B程序有连网企图,此属性就是对这种情况进行控制的。必须打开“高级选项”中的“高级模式”才会出现此列。
黑色编号7:双箭头标志。当为此标志时则意味着允许当前程序去调用另外一个要使其连接网络的程序。如果发生这种情况,则出现提示窗。
黑色编号9:红色禁止标志。当为此标志时不允许当前程序去调用另外一个要使其连接网络的程序,当然如果被调用的程序没有连接网络的企图,则防火墙是不出现提示的。
第四列,此列有三种属性,其中二种属性与第一列的属性配合才能看到效果。黑色编号6、黑色编号10、黑色编号11。
黑色编号11:如果是这个标志,则什么也不发生。相当于此属性被禁用。
黑色编号10:单感叹号标志。此标志表示在日志中记录该应用程序的连网“企图”,此时要与第一列配合使用,第一列的属性必须是禁止标志才起作用。这个功能的好处太多了,比如:一个被你禁止了的程序,可能也已经关闭了,但频频试图连网,估计它也不是什么好东西,木马常常这么干!
黑色编号6: 双感叹号标志。此标志表示无论该程序是禁止还是允许连网,都在日志中记录。
好了,应用程序过滤篇到此完毕。可以看出,LNS对程序的控制非常灵活且强大,10个属性有36种不同组合。仅一个页面可以实现允许禁止、记录与否、单程序访问控制、进程调用四种功能的控制。
2.互联网过滤----专门对防火墙规则进行设定,也有少量设定涉及到程序。决定网络连接及数据包行为的控制。
图三是互联网过滤,继续按“列”进行讲解。此页面部分功能与“选项”时的“消息框”、“声音”、“日志”配合使用。

第一列,有三种属性。自定义的启动该规则属性、默认的启用该规则属性、不启用该规则属性,分别对应黑色编号3、黑色编号1和黑色编号2。三种属性之间点击进行切换,但如果没有进行自定义,则只在二种属性间切换。
黑色编号1:绿色带勾标志。此标志表示启用该规则,且该规则没有进行特别的自定义。
黑色编号2:灰色小圆点标志。此标示表示不使用该规则,也就是说防火墙对网络连接请进行检查时不与该规则进行匹配操作。相当于这条规则只是临时放在这里,并没有什么作用。
黑色编号3:暗红色带勾标志。此标志表明这条规则只对特定的程序起作用,当此特定的程序启动后,此标志则变为绝色带勾标志,表示规则启用了,否则为暗红色带勾标志,表示这规则暂时未被启用。这种设置方式似乎也没有在其它防火墙中见到,极其特别,也是LNS灵活的一个体现。它的好象是什么呢?显示易见,当该特定程序没有启动时,就相当于少了一条规则,少一条规则多一分安全是主要的;其次可以加快对规则匹配操作的时间。设置特定程序的方法为双击当前规则,出现一个设置窗如图四所示。

双击一条规则后会出现如红色编号1的窗口,点击些窗口上的“应用程序…”按钮,出现如红色编号2所示的窗口,将此窗口中右侧的程序双击添加到左侧,然后一路确定就可以了。图示是偶为BT添加的自定义规则,只有当BT启动后它才启用,平时这条规则相当于不存在,呵呵,否则会浪费偶的资源的。
第二列,有二种属性。分别是禁止与允许,对应于黑色编号4。此列主要用途是,允许执行与此规则匹配的连接请求,还是禁止与此规则匹配的连接请求。
黑色编号4:红色禁止标志。此标志表示,当某个连接请求或者操作与此规则匹配时,则禁止该连接请求或者操作。如果是灰色圆点标志,则表示此允许此连接请求或者操作。此属性的好处是,可以用来限制某些特定的操作而又不产生全局影响,而当你需要时又可以打开这一特定规则。
第三列,二种属性。记录或者不记录与该规则匹配的操作信息。
黑色编号6:单感叹号标志。表示当某个连网请求或者操作与此规则匹配时,则记录些操作的信息,这些信息一定会在日志标签的窗口里显示出来。如果你启用了“选项”标签中的日志文件功能,则这些信息保存在日志文件中,如果没有启用日志文件功能,则不保存。另一灰色圆点标志表示不记录也不保存这些信息。本人建议把LNS的记录功能打开,这样一旦某些软件不能正常上网时,可以在日志中发现并生成规则(后面讲到如何用日志生成适用规则)。
第四列,二种属性。分别对应黑色编号7、黑色编号8。功能比较简单,但却非常的有用啊。
黑色编号7:黄色下箭头标志。些标志表示,如果某个操作与此规则匹配时,则直接进行相应的操作(即第一列、第二列、第三列所定义的属性及具体规则内容进行操作),不再继续匹配后续的其它规则,因为LNS匹配规则的顺序是自上而下的(故大家最好不要调整那些LNS默认生成的规则的上下顺序,否则可能什么程序也上不了网)。这种属性产生的操作带来的好处是:不用将所有规则匹配一遍,极大地减少了LNS规则匹配操作所用的时间;其次如果你添加了一条过于宽泛自己不知道有没有漏洞的规则,那么你可以关闭此属性,则当有某个操作与此规则匹配后,后续规则继续对其进行检测,以发现问题。
黑色编号8:灰色圆点标志。此标志表示匹配完此规则后,再继续匹配后续规则。
第五列,三种属性。对应于黑色编号9、黑色编号10。作用是当有某操作与此规则匹配时,以什么方式来报警。
黑色编号9:小喇叭标志。此标志表示某操作与此规则匹配时,以发生声音的方式报警。打开此属性必须同时在“选项”标签中选中“声音”功能。
黑色编号10:双感叹号标志。此标志表示某操作与此规则匹配时,不但发出声音报警,而且跳出消息框报警。也必须同时打开“选项”标签中的“声音”与“消息框”功能,否则不起作用。
灰色小圆点标志,表示不需要报警。
此列的属性建议对系统默认的规则打开,此时能看到一些异常操作,及时采用措施。对于其它的频繁正常操作,如果打开了会不胜其烦的。比如在你为BT设置的规则上设置此属性,消息框会跳满一屏幕,呵呵。
最后再说一下,如果你取消对图三右下角的“互联网过滤已启用”选中的话,则此规则表中所有规则都相当于不存在,基本上是门户大开啊。切记!
3.规则编辑----定义符号你自己需要的规则。
在LNS里定义规则有两种方法,在“互联网过滤”里“添加”规则是最难的一种;另一种方法是从“日志”标签里进行添加,则简单得多了,后面再讲到。
图五是规则编辑窗的界面,分为8个区域,按“区”讲吧。分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“标识”、“来源”、“目标”8个区。
Click here to open new window
首先,LNS防火墙在编辑时规则是中性的,也就是说在编辑界面上,我们不能够确定该规则是禁止了某个操作还是允许了某个操作,一旦“确定”后,LNS默认这个规则是允许与之匹配的操作的;如果你编制规则的目的是想禁止某种操作,那么你只要把规则说清楚,“确定”后再点图四所示的第二列的“红色禁止”标志就行了,此时在该规则也会出现一个禁止标志,意思就是禁止那些与此规则匹配的操作。这一点与任何防火墙都不同。
LNS防火墙的规则的信任关系是基于IP地址+MAC地址的,这是一种理想的信任关系模式。IP地址是可以欺骗的,MAC地址也同样,但IP+MAC的欺骗就困难得多,所以LNS安全性能可想而知。因此在图五中大家会看到“以太网:类型”和“以太网:地址”区域,使设置显得复杂常常令人困惑。其实了解了它的作用就不感到复杂了。
“规则名称”区
黑色编号1:规则名称,不用多说。
“方向”区
黑色编号2:设定此规则的数据方向。你可以定义这条规则只对传入的连接(数据)起作用,或是对传出的生效,或对传入传出都起作用。此设置与“来源”和“目标”区有关联,选中“传入”或者“传出”则“来源”和“目标”内容有变化,此时更直接;但选中“两者”时,“来源”和“目标”区域显得复杂。
“规则说明”区
黑色编号3:可以对该规则进行说明,以便记忆或了解。
“以太网:类型”区
黑色编号4:可能也是让大家头痛的地方,常常不知道如何设置这个地方。“以太网:类型”其实就是告诉防火墙你的机器是局域网中的机器还是独立的一台机器,或者你理解“以太网:类型”就是要告诉LNS此条规则是适用于网域局中的通讯或者适用于互联网中的通讯。在这里就得多唠叨几句。这个类型里有四种选择,分别是“全部”、“IP”、“ARP”、“其它”,“全部”即指包括“IP、ARP、其它”的全部类型。
“全部”类型极少用到,除非你的机器处于混合网络(如同时有windows、Linux、Unix、Mac os、VAX、Netware等操作系统的机器)中,可能会同时存在多种不同的局域网协议时。因此不赞成独立PC和单纯局域网选择该类型。
"IP”类型,网际协议类型,用于把数据包从源地址发往目的地,多数情况下选择这种类型是合适的,尤其你的机器是通过非代理非网关直接上网时至少得(选择“全部”当然可以,但开放了不必要的协议)选择此类型,制定那些与互联网连接相关的规则时必须选择它,当然如果规则是局域相关的也同样可以选择它。
“ARP”类型,地址解析协议,它的作用是把IP地址解析(转换)为与此IP对应的MAC地址,从而找到该机器,只能用于与局域网相关的规则中,用在与互联网相关的规则中会造成该规则不起作用。除非你是在局域网中使用本机,否则不要生成选中此类型的规则;如果你是在局域网中通过代理或者网关上网,那么LNS默认有一条规则使用的此类型,规则名是“ARP : Authorize all ARP packets”,则必须打开并允许此规则,否则你无法上互联网。
“IP”区
黑色编号5:也就是为当前规则指定协议,共有8种类型。最常用的是TCP和UDP,偶一般人用这2个协议足够,其它协议给高手们用。编号右侧的“碎片偏移”和“碎片标志”俺不知道是个啥,所以通常用“全部”没有不良影响,呵呵。如果选择了TCP协议,则右侧的“TCP标志”是可选的;如果选择了ICMP/IGMP,侧“标志”内容也不同。
“来源”区,我想它后面的一串文字和方向,是造成大家不好理解的重要原因。与其它任何防火墙不同的是:在LNS的这个规则编辑器里,“来源”完全表示本地,“目标”则表示远程,而不管实际的连接请求或者数据包方向,大家在此一定要转变思路。所以,“来源”区所填写的数据都是与本地有关的,比如你要打开或者关闭本机的某个端口、允许或禁止本地的某个IP(当LNS安装在网关或者代理服务器上时有用),都可以把端口、IP地址信息输入在这里,理解了这一点,规则就好编了。
黑色编号的7、8:用来限定MAC地址的,当编号7选择了“全部”时,后面的不用填任何地址,填了也没用;只有当编号7选择了“等于”或者“不等于”时填MAC地址才有用,而且此时LNS也应该在代理服务器或者网关上才真正有用。它的作用就是限制内网的一个或某些机器的特定操作的,具体是什么特定操作还要看其它设置的配合情况。
黑色编号9:用来对IP地址进行各种组合和排除的,共10种方法,真是了得!当选择了“全部”时,它下面黑色编号11的地址栏是灰色不能进行输入的,否则要进行输入。但LNS有个BUG,即在此输入的IP地址无法输入3位数,解决方法是先能输入多少输入多少,保存后,用文本工具打开LNS目录的对应的规则文件,按你在此所定义的规则名称,找到你所输入的内容后把IP地址改为3位数保存后,重启LNS就行了,呵呵,这个BUG真不应该。
黑色编号10:用来定义具体的端口号的,此时建议尽量选择你想要的协议,然后输入端口号。如果不选择协议就输入端口号,则此端口号对所有协议开放,安全性应该会下降。同样黑色编号12有7种方法,以便对端口号进行排除。
黑色编号13:用来指定程序的。也就是说,当你指定了程序后,该规则只对此程序起作用,当该程序没有启动时,该规则是不执行的,因而也不会影响到其它程序。比如你为BT制定了特殊的规则,那么就可以在这里设置好,当BT启动后该规则也自动加载。有此功能,就既可以定义特殊规则,又不会让此规则影响到全部程序了。
“目标”区,此区是与“来源”区相对应的,一定要注意,你的本地的信息永远不要出现在这个区,虽然它叫“目标”,但它完全是指远程机器的,那怕你的本地机器被全宇宙的黑客当成“目标”!所以在这个区出现的IP地址、端口号都是批你想要访问或者你不想要访问,再或者你不想让它来访问你的那些远程机器的IP和端口号。我想现在大家知道了“来源”和“目标”的实质,编规则也好办了。那么此区的“以太网:地址”、“IP地址”、“TCP/UDP端口”的设置方法与“来源”区所讲到的完全相同,不用再说了,不同的是它们是指的远程!!!

“规则编辑”看来不讲例子是不行的,下面先讲一个开放特殊端口的例子,以BT为例,见图
Click here to open new window
事先说明偶的BT监听的端口是10521,Bt(Emule、Edonkey都是工作原理类似的软件)比较特殊,它与其它下载工具的工作原理不同,偶认为BT是用其它端口发送连接请求等等信息,而用10521端口来专门进行数据包的传输,故10521端口是不主动向外发送信息,因而当其它的远程BT端收到本地BT发出的信息后,便把回应信息向10521端口发送,此时在LNS里便认为这个操作有隐患,故而拦截。那么便需要对LNS进行设置,让它放这种信息一马,这样BT才能正常工作。(随便说一下,多数防火墙基于程序的信任程度更高一些,在此类防火墙里,应用程序所打开的所有端口都是对外开放的,也就是说外部程序可以主动联系该程序打开的所有端口,因而不用进行端口设置。看起来没有在LNS里这么麻烦,但仔细想想,安全性要低一些。就象是在一个正常卖票的窗口旁边有一个本来不是卖票的关着窗口,但当有人去敲了敲,窗口竞然打开了或许还进行了某种交易?!)
言归正传,下面说如何为BT打开这个被动的端口,通过下述设置偶在BT里每任务最大100个连接,当有80个左右的用户时,下载速度可以轻松达到120KB以上。
?首先给该规则起个名,定义方向,略加说明,如图六中的1、2、4所示;
?然后在“以太网:类型”里选择“IP”,等于告诉LNS这是一条通关于数据包往来的规则,如3所示;
?在黑色编号5的“IP”里选择“TCP或UDP”,告诉LNS这是基于TCP或者UDP协议的数据包的规则(通常在BT里只用TCP协议,但偶在日志中发现它偶有用到UDP,所以也打开了,偶对BT的机制并不熟悉);
?在黑色编号7里不用填任何MAC地址,本规则是对本机的,不需要进行MAC地址的排除组合等(但如果LNS安装在网关上,而BT在你的机器上,则可以在MAC地址里填写上你的MAC地址,呵呵,则只有你可以用BT了因为MAC地址在局域网里有唯一性,尤其它你们的局域网是自动分配IP地址的话。);
?黑色编号8,IP地址选择“等于本机”就不用手工输入了。同样,如果你的机器在内网,而LNS在网关上,你就可以指定哪些IP可以使用BT而哪些机器不能使用了;比如你的内部机器IP=192.168.2.4,此时可以在“IP地址”里选择“等于”,并把192.168.2.4填写在正文,那么只有这台机器的10521端口可以被外部其它机器连接。大家多试试就可以体会。
?黑色编号9,选择“等于”,然后填写你的BT监听的端口号。
?点“应用程序”,如果黑色编号13、14所示,把你的Bt软件添加上,然后一路确定,回到“互联网过滤”界面,保存和应用就可以了(OK,此时打开BT开始下载,看看“日志”里有没有大量的记录,如果没有恭喜了,如果有大量的与端口有关的记录,说明某个地方弄错了,再仔细检查一下该规则)。这样该条规则就是BT专用的了,绝对不影响其它程序。
同样的道理,如果你是想禁用远程机器与本地/本机的某个端口进行连接,那么只要在图三所示的“第二列”为该规则打上禁止标示就可以了,那么此时与该IP地址或者Mac地址匹配的机器的10521端口就永远无法被其它连接,且该端口也无法向外发送信息了。

上面的例子是控制本地/本机资源的,那么如何限制你本地/本机应用程序对远程机器的访问,将在下面再举一例。见图七。
Click here to open new window
虽然在“应用程序过滤”里已经讲到了如何限制对远程的访问,但它不具有全局性,也就是说“应用程序过滤”里的规则优先级低于“互联网过滤”,LNS先匹配“应用程序过滤”然后再匹配“互联网过滤”,如果在“应用程序过滤”里已经禁止了的,在“互联网过滤”里将继续禁止;如果在“应用程序过滤”里允许了的,那么还得经过“互联网过滤”的审查。在这里编写的规则具有全局性,当然也可以针对某个特定程序。
讲一个禁止与远程某个端口连接的例子,或者理解为禁止本地与远程某个端口进行通讯,此例子规则的意思为:禁止与12.10.2.20地址的77777端口进行双向联系。编写一条禁止规则通常有二个步骤。
第一步:远程机器的信息只能设置在图七所示的目标区,黑色编号1选择“IP”类型,编号2选择“TCP”或者其它协议,如果不能确定,填上“TCP或者UDP”也不会有问题。
在“目标”区域,如果你要禁止具体的某个远程主机,则在“IP地址”里选择“等于”(如果是对所有的远程主机则选择“全部”),然后再下面填写具体IP地址(例子里随便写了个12.10.2.20),“TCP/UDP端口”里填上端口号77777。
如果这个禁止规则是与某个具体程序对应的,那么点“应用程序”,把具体的程序加入就行了;如果是对本机所有程序的,侧不需要添加任何程序。一路确定,回到“互联网过滤”界面。
第二步:点击如图三所示的“第二列”(当然位置要与此条规则对应),当出现红色禁止标志时,点击“保存”和“应用”,OK!此时12.10.2.20地址的77777端口不能联系你的机器,你的机器也不能联系12.10.2.20机器的77777端口。当然其它端口是可以双向联系的。
如果你想写一条禁止本地/本机的具体地址的具体端口与远程的具体地址的具体端口进行连接的规则时,则在“目标”区域填写你的本地/本机的IP和端口信息,而在“目标”区域填写远程机器的IP和端口信息,完成后再在“互联网过滤”界面上打上禁止标志就行了。通常很难存在一条这样的“允许”规则的。

4.日志标签---告诉你当前阻止了哪些连接;允许了哪些连接(如果你也设置了记录的话,LNS默认对阻止的规则进行记录);可以用来建立特殊规则。如图八所示。
Click here to open new window
当你使用了某些软件并允许了它上网但却不能正常使用,此时可以查看“日志标签”,只是此时日志中不显示对应的程序名称,会显示连续的规则名称相同的一些信息。首先你确保这些信息是因为阻止了此类连接而生成的(通过规则名称在“互联网过滤标签”里看此规则前面是否有禁止标志),然后再看在端口号上有没有规律性,当规则名称相同、端口号也有规律性时,就可以用它来生成规则了。
以例子说明,图八所示为BT在没有打开端口时的日志情况。黑色编号4区显示的是规则名称,几乎完全一样;黑色编号3区是端口;黑色编号2区所示为有一致性的端口号,都为10521(偶的BT监听端口)。从日志可以明显看出,BT的10521端口不允许被外界连接,也就是造成BT下载速度慢的全部原因(虽然已经把BT设置为任凭程序了,但对它的端口还是有限制的。)。
设置方法:在任意一条记录上点鼠标右键,会出现图八黑色编号1所示的菜单,菜单上总共会出现2个选择,你应该用鼠标点在黑色编号3区域中看到的那个频繁出现的端口所在的选择项。如本例中在黑色编号3区域中看到的频繁出现的端口号是10521,则在此菜单上就选择“允许Port10521-服务器”(此外的“服务器”意思是本机被其它机器连接,有点服务器的味道P),选择后会返回到“互联网过滤”标签,此时可以看到LNS已经为你自动增加了一条规则,并为此规则起了一个名称和简单的说明,你可以双击此规则改变规则名称和说明以使你清楚知道此规则的作用。
回到日志来继续看,如果在某条日志上双击,则出现如图九中红色编号1所示的窗口,在此窗口中可以看到该条日志的详细信息(可惜没有与程序具体对应),有源/目标的IP地址、端口、数据报等详细内容,有经验的用户可以就此进行深入分析,以手工建立规则。在此不详细讲了。
Click here to open new window

5.选项标签-高级设置及其它杂项,如图十所示
Click here to open new window
这一部分没有什么内容可讲,当鼠标停留在某个选项上时,都会自动跳出提示的。主要说说选择网络接口的操作。
图中红色编号1区即为选择界面,通常按“自动选择”方式就能很好的工作,如果不能时,请按图十二所示按自己的上网方式进行选择。

点击红色编号2,则出现如图十一所示的“高级选项”界面,这个也大概说一下。

除了黑色编号3所在区域,其它编号区当鼠标指向时都有提示跳出,而且容易理解,不详细讲了,如果以后有时间再补充。重点讲黑色编号4、5、6、7区的。先来看看黑色编号3区的。
“高级模式”----选中它,则在“应用程序过滤”、“互联网过滤”标签里才有一些高级属性出现。大家视自己的情况决定,不过偶建议打开。
“原始日志”----选中它,则在日志文件中记录更多的信息,也就是日志文件更加详细,提供更多的基层信息,而且需要用第三方的工具才能打开察看日志文件。一般人没有必要打开,而且偶不建议记录日志文件,一来作用不大,二来记录日志文件的话,会增加CPU使用量。
“退出时确认”----不用说。
“TCP全状态包检测”----读为“TCP全状态?包检测”,一种数据包过滤技术,通过对报文的TCP标志进行检测而实现的。建议大家打开此功能;但这个功能默认是记录日志的,不能更改。
“在此程序退出后保持互联网过滤处于活动状态”----2000以上有用。作用是当退出LNS,互联网过滤规则也在后台运行。偶想不出这个功能的必要性,故不建议大家打开,尤其是新安装LNS还处于调试阶段时更不要打开这个功能。否则可能会造成退出LNS了,上网还不正常。
“监视DNS呼叫”----2000以上才起作用,用于监视应用程序向DNS服务器发出地址解析请求的。建议打开,但如果打开它LNS经常导致机器蓝屏,请关闭它。另外,在2003下千万不要打开,否则肯定蓝屏。
“监视线程侵加(恶意代码插入)”----2000以上有用。也就是对付内存数据改写之类操作的,建议打开。
最后面二条一看就明白,建议选中。
黑色编号7,当你在图十中选中了网络界面接口的“自动选择”时,这个功能必较有用。它是用来排除那些不用检测的网卡的,比如说,你机器上有2个以上的网卡,其中一个是连接互联网的,其它的是连接不同网段的,那么你就把其它网段的IP输入在这里,以保证LNS能正常检测到你的上网网卡。可以在这里输入多个网段,之间用半角的分号分隔开。
黑色编号4,点击后出现图十三所示的界面。

黑色编号1为本机现有网络协议以及LNS是否允许此协议,当前哪些协议处于活动状态等信息。不同的操作系统显示的不同,2000以上系统只有NETBT.SYS和TCPIP.SYS二种。这二种协议的属性都是默认,且不可更改。当有其它协议时,比如图中的NPF.sys(网络监视),可以用“拦截”来控制是否允许它,也可以用“移除”删除它而不对该协议进行监控。
黑色编号2,此区域决定了是否对已经激活的协议进行过滤(控制与该协议相关的网络操作),当选择禁用时不对当前活动的协议进行过滤,如果启用了则进行过滤,以增加安全性。建议打开“启用”。
当点击图十一中的黑色编号5“插件”时,则出现一个已安装插件的选择窗口,选择了某个插件后就具备相关的扩展功能。这个不多讲了,除了多语言支持插件以外,其它都太高深了,偶们一般也用不到。
当点击图十一中的黑色编号6“动态链接库”,会出现如图十四所示的动态链接库设置的窗口。此时勾“启用动态链接库检测”则当程序第一次加载一个DLL时LNS会询问允许或禁止,经过一些时间的学习后就不询问了。但当某个DLL的数字签名发生了变化,则LNS会再询问以保证DLL是合法修改,确保系统安全性;当然你也可以手工直接添加那些你认为有必要进行检测的DLL。2000以上系统才有此功能。使用windows2003的兄弟注意了,在2003下不要打开这个功能,否则Crash。这个功能也就是ZA、OP等的“组件功能”,但应该说LNS的这种处理方式更安全一些。

三、特定事件处理
1.阻止网络执法官控制
  网络执法官是利用的ARp欺骗的来达到控制目的的。  
  ARP协议用来解析IP与MAC的对应关系,所以用下列方法可以实现抗拒网络执法官的控制。
如果你的机器不准备与局域网中的机器通讯,那么可以使用下述方法:
  A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;
  B.但这个规则默认会把网关的信息也禁止了,处理的办法是把网关的MAC地址(通常网关是固定的)放在这条规则的“目标”区,在“以太网:地址”里选择“不等于”,并把网关的MAC地址填写在那时;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。
  C.在最后一条“All other packet”里,修改这条规则的“目标”区,在“以太网:地址”里选择“不等于”,MAC地址里填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。其它不改动。
  这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯,且网关地址是固定的情况下。
  如果你的机器需要与局域网中的机器通讯,仅需要摆脱网络执法官的控制,那么下述方法更简单实用(此方法与防火墙无关):
  进入命令行状态,运行“ARP -s 网关IP 网关MAC”就可以了,想获得网关的MAC,只要Ping一下网关,然后用Arp-a命令查看,就可以得到网关的IP与MAC的对应。此方法应该更具通用性,而且当网关地址可变时也很好操作,重复一次“ARP -s 网关IP网关MAC”就行了。此命令作用是建立静态的ARP解析表。
2.安装后不能上网
  安装LNS后不能上网的问题很是奇怪,可能与个人的具体上网方式关系较大。此时先确保在LNS中的网络接口选择是正确的(参见图十二)。
  其次看看LNS的“欢迎”标签里的“已连接”前面有没有勾,并且在“IP地址”里面有没有地址,如果这二项都没有问题,那么请把“互联网过滤”的规则表最后一条规则的“以太网:类型”中的“全部”改为“IP”再试,一般应该可以解决。如果这样做都无法解决上网,请再后面发帖,详细说明上网方式和LNS的设置情况,偶研究一下。^^_
3.记不住规则
  LNS记不住规则的情况是:当你的应用程序安装在一个中文目录中时。所以你重新安装应用程序,不要安装在中文目录下就可以解决。
4.“已连接”没有选中
  “已连接”前面没有出现一个勾,此时并不意味着LnS不正常工作。出现此现象时,说明LNS并不确定网络接口选择的是否正确,特殊的上网方式或者一台机器安装有几块网卡时会出现此现象,而且要注意自己的IP地址是否与“高级选项”中的“网络自动检测时排除的IP”中的地址有冲突。
  解决办法是:先排除不是由于“网络自动检测时排除的IP”中包含了本机IP,如果是此情况,请删除“网络自动检测时排除的IP”列表中与自己IP冲突的数值;如果不是此情况,请手工在“网络接口”窗口中选择接口,直到“已连接”前面出现勾,且“IP地址”栏里出现正确的本机IP为止。
5.关机超慢
  关机慢通常是由于没有退出网络连接造成的(通过网关上网的机器应该没有此现象),解决办法是关闭连接(比如断开ADSL连接)后再关机。
四、LNS的优化
(一).应用程序过滤区的优化
  对应用程序过滤区的优化可以把程序类型分为操作系统软件和第三方软件。
  1.对于操作系统自己的文件,允许连网的数量越少越好,但数量取决于你希望系统提供哪些服务。比如,偶在内网,通过网关代理上网,本机不开任何其它服务,访问局域网中的其它机器的共享文件,那么偶只允许SVChost.exe通过防火墙(虽然SVChost.exe自己不上网,只加载其它程序)。而SVchost.exe想要做什么呢?它调用了其它系统某个网络应用(偶不知道是哪个)去进行域名解析,也就是连接到你的DNS的53端口,这样就可以在LNS里对Svchost.exe的行为进行限定。
  方法是:
  A.双击“应用程序过滤”列表里的Svchost.exe,在出现的窗口中端口填写53,IP填写你自己所在地的域名解析服务器的IP地址;
  B.点SVChost.exe所在行的绿色双箭头标志,让它变为红色的禁止标志;
  C.其它所有如Explorer.exe等系统程序都禁止通过。
  这样,SVChost.exe所调用的系统文件、包括所调用的其它程序也只能访问这个地址和53号端口;且当系统启动后Svchost.exe也不能再调用并运行其它程序了。好处是让SVChost.exe只访问一个IP的一个端口,即使中了一些利用Svchost.exe调用以运行并且连网的病毒也不怕此病毒下载安装其它东东。
  2.第三方应用软件,则尽量根据各软件的特点,设定对应的端口就行了,IP地址不做限制。
A.邮件客户端软件。则在前面所说的端口里只打开110和25端口就好了,方法是输入“110;25”不包括双引号。这样邮件客户端就只连接远程的这二个端口。
  B.FTP客户端软件。则打开FTP端口和高端口,方法是输入“20-24;60000-65000”不包括双引号。有些FTP服务端打开的可能是21、22、23端口;而发数据通常是60000以上的端口。有人可能说:“应用程序过滤”的优先级低于“互联网过滤”的优先级,在这里打开60000以上端口会不会也需要制定一条专门的规则呢(因为BT就得专门开一个端口)?其实不用,FTP的原理与BT不同,BT的监听端口是被动的,而FTP的高端口是主动的。


comments powered by Disqus