looknstop 規(guī)則

1、二.原理篇：規(guī)則與通信以前我們介紹過防火墻的原理，在里面，我提到了“防火墻規(guī)則”（FirewallRules），規(guī)則是防火墻的思維，它們其實(shí)是一條條描述語句，用于設(shè)置防火墻行為等，每一條規(guī)則都對(duì)應(yīng)了一種特定的行為判斷，防火墻根據(jù)規(guī)則的內(nèi)容對(duì)符合條件（端口、協(xié)議類型、甚至包數(shù)據(jù)）的數(shù)據(jù)包給予攔截或通行，當(dāng)然也可以記錄數(shù)據(jù)。眾多的規(guī)則結(jié)合，防火墻工具才得以給我們帶來一個(gè)牢固而靈活的安全保護(hù)體系。配置防火墻規(guī)則往往是網(wǎng)絡(luò)管理員最頭痛的事情，一

2、個(gè)防火墻的工作效率、攔截放行、總體安全系數(shù)除了要求防火墻的引擎功能強(qiáng)大以外，就全看規(guī)則的設(shè)置了，如果防火墻引擎不能識(shí)別復(fù)雜的數(shù)據(jù)包結(jié)構(gòu)，那么一些描述復(fù)雜的規(guī)則就不能正常工作，但是一個(gè)防火墻越強(qiáng)大，其相應(yīng)的規(guī)則設(shè)置也就更復(fù)雜，對(duì)這種防火墻而言，一條好的規(guī)則就比什么都重要了。規(guī)則并不是隨便設(shè)置的，它圍繞著一定的“安全策略”實(shí)施，許多防火墻產(chǎn)品在市場(chǎng)上出售時(shí)，就已經(jīng)有了默認(rèn)規(guī)則，而這些規(guī)則就是廠商的“安全策略”的實(shí)體對(duì)象，許多用戶安裝或購(gòu)買一

3、個(gè)防火墻產(chǎn)品后，就一直沒對(duì)這些規(guī)則做過修改，或者不知道防火墻規(guī)則的存在，但是他們依然能得到防火墻的保護(hù)，就是因?yàn)閺S商已經(jīng)為廣大群體套用了“兼容的”規(guī)則集合，換句話說，就是用戶在接受一款防火墻產(chǎn)品的時(shí)候，就已經(jīng)得到了廠商為大家定制的“安全策略”。但是這種面對(duì)大眾的策略并不一定適合每一個(gè)人，有時(shí)候，一些用戶會(huì)覺得默認(rèn)規(guī)則不太適合自己的實(shí)際環(huán)境，他們便會(huì)根據(jù)自己的要求，修改增加這個(gè)規(guī)則集合，例如一臺(tái)網(wǎng)站服務(wù)器，使用的防火墻默認(rèn)規(guī)則里限制了外部

4、對(duì)1024以下低端口號(hào)的訪問，這顯然就和做網(wǎng)站需要開放80端口的要求沖突了，所以網(wǎng)絡(luò)管理員會(huì)修改防火墻規(guī)則，去掉這條限制規(guī)則或者從規(guī)則里除掉80端口的條件。許多用戶并不知道，他們刪改或增加規(guī)則的行為，其實(shí)就是自身“安全策略”的實(shí)施過程。但是在把安全策略轉(zhuǎn)化為規(guī)則實(shí)體之前，我們還必須慎密的思考一件事情，那就是“安全體系結(jié)構(gòu)”。所謂“安全體系結(jié)構(gòu)”，就是整個(gè)防火墻最終為用戶帶來的安全效果，安全策略可以是片面的，管理員在思考策略的時(shí)候不一定要

5、考慮到整體效果，但是當(dāng)一條條安全策略作為規(guī)則集合出現(xiàn)之前，它就必須先轉(zhuǎn)化為面向整體的“安全體系結(jié)構(gòu)”，這是一種考慮全局的策略集，還是上面的網(wǎng)站服務(wù)器例子，管理員需要開放基本的80端口，如果有FTP，還要開放21端口，甚至SSL端口443，這個(gè)環(huán)境的安全策略則可以描述為以下列表：1.開放80端口2.開放443端口3.開放21端口但是光有這些還不夠，管理員必須保證它與已有的規(guī)則集合不會(huì)發(fā)生沖突以及實(shí)際環(huán)境中防火墻的性能取決于最終的規(guī)則設(shè)定，

6、稍有疏錯(cuò)，再?gòu)?qiáng)大的核心也只能發(fā)揮入門級(jí)的防御了。例如，一個(gè)用戶在設(shè)置防火墻規(guī)則時(shí)取消了低端口訪問限制，卻遺忘了139端口可能帶來的危害，不久后，該用戶機(jī)器被入侵者成功連接并種植了后門。、這種情況下，我們?cè)撠?zé)怪防火墻，還是責(zé)怪用戶規(guī)則設(shè)置得不嚴(yán)密呢？這是個(gè)問題。同樣，LooknStop在為用戶帶來強(qiáng)大防御功能的同時(shí)也帶來了規(guī)則復(fù)雜難以設(shè)置的代價(jià)，許多用戶第一次打開它的規(guī)則設(shè)定界面時(shí)，傻了——包括我在內(nèi)。正因?yàn)檫@樣，許多用戶選擇了退而求其次

7、的道路，改用了其他防火墻產(chǎn)品。難道LooknStop就真的那么難以馴服嗎？今天，就讓我們一起來馴服這匹上好的烈馬。三.實(shí)戰(zhàn)：LooknStop防火墻的規(guī)則設(shè)置1.概述LooknStop作為一款強(qiáng)大的防火墻，其采用的原型是非常嚴(yán)格的，首先，LooknStop先禁止所有本地和遠(yuǎn)程的網(wǎng)絡(luò)訪問操作，然后才逐項(xiàng)允許，在初始時(shí)不信任任何程序和網(wǎng)絡(luò)操作，正是因?yàn)檫@過于嚴(yán)厲的策略原型，LooknStop才能成為一堵樹立在系統(tǒng)和網(wǎng)絡(luò)之間的“墻”，而也正是

8、因?yàn)檫@樣的模型，LooknStop也造成了一部分用戶安裝完畢后無法連接網(wǎng)絡(luò)的問題——它把所有數(shù)據(jù)包都攔截了。所以我們首先要解決的就是大部分用戶面對(duì)LooknStop時(shí)吃的第一個(gè)下馬威：無法連接網(wǎng)絡(luò)。LooknStop的主界面并不難理解，從左到右分別為“歡迎”、“應(yīng)用程序過濾”、“互聯(lián)網(wǎng)過濾”、“日志”、“選項(xiàng)”和“注冊(cè)”，歡迎界面主要用于顯示一些概要信息如連接狀態(tài)、IP地址、數(shù)據(jù)包情況等。我們先解決第一個(gè)燃眉之急：如果你不幸成為安裝Lo

9、oknStop后無法成功進(jìn)行ADSL撥號(hào)的用戶，請(qǐng)先進(jìn)入“互聯(lián)網(wǎng)過濾”界面，然后雙擊最后一條規(guī)則“Allotherpackets”，它就是罪魁禍?zhǔn)?，選擇“以太網(wǎng)類型”為IP，保存應(yīng)用即可。這一故障是LooknStop默認(rèn)的嚴(yán)格規(guī)則造成的，它把所有未在規(guī)則里定義的數(shù)據(jù)包都過濾了，于是計(jì)算機(jī)向遠(yuǎn)程MODEM設(shè)備發(fā)送的PPPoE協(xié)議包全部被扼殺在了系統(tǒng)的門口里……由此可見，與某些防火墻比起來，LooknStop是多么的嚴(yán)格！解決這個(gè)問題后，我