LNS防火墙中级使用指南
一、LNS特色介绍
1.采用了理想中的防火墙理论
记得一位安全专家说过:最安全的策略的先否定所有,再肯定个别。LNS的原型恰恰是这么设计的,它的策略是先禁止所有本地和所有远程的操作,再允许之,真正做到在本机和远程之间建立一堵墙,在初始时不信任任何程序和操作。这一点,比目前所谓的一流防火墙如ZA、OP等含有所谓“组件控制”功能的防火墙在理论上先进。
ZA、OP的组件控制功能在安装完成就假定了本机上非可直接运行程序(如DLL文件)是可靠的,故当成信任程序对待,但恰好这些程序中就有可能含有非法代码。其它知名的软件防火墙如Tiny的也采用了类似的处理方法。
所以从结构上LNS就有成为王者的先天优势。
2.小巧灵珑,物理内存+虚拟内存共3M左右
3.几乎所有设置都可以在界面上直接完成,方便快捷
4.所有已设置的规则直观明了
二、LNS中级使用指南
我们先对LNS的做一个远观,也就是当你双击系统托盘里LNS图标时所打开的主界面。
欢迎标签:LNS的基本运行状态。
应用程序过滤标签:本文的重点讲解对象。
互联网过滤标签:同应用程序过滤标签。
日志标签:
1
选项标签:
注册标签:如果注册成功,“验证”按钮是灰色的。
注意:你在使用下述图解时,请一定先打开“选项”—>选中'高级选项'→“高级模式”。
1.应用程序过滤----专门对程序进行设定,决定应用程序行为的控制。
编号1区,这个区显示是正连接在网络上或者曾经连接过网络目前还没有关闭的软件清单。
编号2区,已经列出了11种属性。
现在按此区的“列”来开讲,之前必需选中黑色编号13“应用程序过滤已启用”,否则所做的任何设置都不起作用。
第一列只有此二种属性,启用或者禁用该规则,单击实现二种属性之间的切换。见黑色编号1启用,黑色编号2不启用 。LNS默认情况下是不允许任何程序联网的。
第二列有三种属性,分别是允许(黑色编号5)、禁止(黑色编号4)、自定义(黑色编号3)。单击则在允许与禁止之间切换,如果有自定义属性,则在三者之间进行切换。(允许该程序联网,禁止该程序联网,自定义该程序联网的方式。)
黑色编号3:黄色圆饼标志。当你为此程序制定了特殊规则,如指定程序只能连接远程的哪些端口、或者不允许连接哪些端口;允许连接哪些地址、禁止连接哪些地址时,则出现黄色的圆。
2
具体看看如下:
双击某个程序(或点击点击黑色编号12来实现),就会出现如图二所示的“选择端口和IP地址”窗口,此时你可以设置具体的内容了。
比如,偶的TW,偶只允许它连接远程的80端口,不允许连接其它端口,那么就按上面的设置;此时对IP地址没有限制。如果你想让他只连接远程的某个IP地址,那么就在IP地址栏输入。
这个自定义功能不会只是如此简单吧?当然不是,其实重要的不是允许程序去什么地方,而是禁止它去什么去什么地方。比如,你的CuteFTP一启动就想去它的主站验证一下它的合法性,那么你就可以在这里设置一下了,而又不影响其它程序(如IE)访问CuteFTP的主站。
允许访问的端口或者IP,则直接输入在上面就行。如果你要禁止某个端口或者地址,在端口前面加上一个感叹号“!”就行了。如果是多个IP或者端口,不要忘记在它们之间加上一个半角的分号“;”。
黑色编号4:红色禁止标志。此标志表示禁止该程序连接网络。
黑色编号5:绿色允许标志。此标志表示允许该程序连接网络。
现在来看第三列,此列只有二种属性,单击则实现二种属性之间的切换。见黑色编号7、黑色编号9。作用是允许或者禁止此程序调用另一个程序并且使用被调用的这个程序连接网络,也就是说:A程序启动了B程序,B程序有连网企图,此属性就是对这种情况进行控制的。必须打开“高级选项”中的“高级模
3
式”才会出现此列。
黑色编号7:双箭头标志。当为此标志时则意味着允许当前程序去调用另外一个要使其连接网络的程序。如果发生这种情况,则出现提示窗。
黑色编号9:红色禁止标志。当为此标志时不允许当前程序去调用另外一个要使其连接网络的程序,当然如果被调用的程序没有连接网络的企图,则防火墙是不出现提示的。
第四列,此列有三种属性,其中二种属性与第一列的属性配合才能看到效果。黑色编号6、黑色编号10、黑色编号11。(日志的记录)
黑色编号11:如果是这个标志,则什么也不发生。相当于此属性被禁用。
黑色编号10:单感叹号标志。此标志表示在日志中记录该应用程序的连网“企图”(连接情况的记绿),此时要与第一列配合使用,第一列的属性必须是不启用标志才起作用(不启用此行规则的标志,由于规则不起作用,所以程序被禁止以任何方式联网通过,就是“否定一切”的效果)。这个功能的好处太多了,比如:一个被你禁止了的程序,可能也已经关闭了,但频频试图连网,估计它也不是什么好东西,木马常常这么干!
特别说明:LNS 一开始就默认:“禁止所有程序连接网络向外发送和接收信息”,只有建立了<应用程序过滤规则>,并且激活了此规则的程序才能上网连接发送和接收信息。否则一切程序都不准联网通过,这一点对本机的安全防范至关重要!这也是LNS有别于其它防火墙的绝招和优点所在!
黑色编号6: 双感叹号标志。此标志表示无论该程序是禁止还是允许连网,都在日志中记录。
10个属性有36种不同组合。
2.互联网过滤----专门对防火墙规则进行设定,也有少量设定涉及到程序。决定网络连接及数据包行为的控制。
图三是互联网过滤,继续按“列”进行讲解。此页面部分功能与“选项”时的“消息框”、“声音”、“日志”配合使用。
4
第一列,有三种属性。自定义的启动该规则属性、默认的启用该规则属性、不启用该规则属性,分别对应黑色编号3、黑色编号1和黑色编号2。三种属性之间点击进行切换,但如果没有进行自定义,则只在二种属性间切换。
黑色编号1:绿色带勾标志。此标志表示启用该规则,且该规则没有进行特别的自定义。(此时该规则对所有程序都起作用!)。
黑色编号2:灰色小圆点标志。此标示表示不使用该规则,也就是说防火墙对网络连接请求进行检查时不与该规则进行匹配操作。相当于这条规则只是临时放在这里,并没有起到什么作用。(此时该规则对所有程序都不起作用!)。
黑色编号3:暗红色带勾标志。此标志表明这条规则只对特定的程序起作用,当此特定的程序启动后,此标志则变为红色带勾标志,表示规则启用了,否则为暗红色带勾标志,表示这规则暂时未被启用。设置特定程序的方法为双击当前规则,出现一个设置窗如图四所示。(或单击当前规则,接着单击编辑,再后单击应用程序按钮.)
5
双击一条规则后会出现如红色编号1的窗口,点击些窗口上的“应用程序…”按钮,出现如红色编号2所示的窗口,将此窗口中右侧的程序双击添加到左侧,然后一路确定就可以了。图示是偶为BT添加的自定义规则,只有当BT启动后它才启用,平时这条规则相当于不存在,呵呵,否则会浪费偶的资源的。(此时该规则只对特定程序起作用!对其它程序都不起作用!)。
第二列,有二种属性。分别是禁止与允许,对应于黑色编号4。此列主要用途是,允许执行与此规则匹配的连接请求,还是禁止与此规则匹配的连接请求。(当某一程序的连接请求匹配此规则时,是允许它通过还是禁止它连接上网)。
黑色编号4:红色横白条禁止标志。此标志表示,当某个连接请求或者操作与此规则匹配时,则禁止该连接请求或者操作,不准联网。如果是灰色圆点标志,则表示此允许此连接请求或者操作,允许联网 。此属性的好处是,可以用来限制某些特定的操作而又不产生全局影响,而当你需要时又可以打开这一特定规则。
第三列,二种属性。记录或者是不记录与该规则匹配的操作信息。
黑色编号6:单感叹号标志。表示当某个连网请求或者操作与此规则匹配时,则记录这些操作的信息,这些信息一定会在日志标签的窗口里显示出来。如果你启用了“选项”标签中的日志文件功能,则这些信息保存在日志文件中,如果没有启用日志文件功能,则不保存。另一灰色圆点标志表示不记录也不保存这些信息。本人建议把LNS的记录功能打开,这样一旦某些软件不能正常上网时,可以在日志中发现并生成规则(后面讲到如何用日志生成适用规则)。
第四列,二种属性。分别对应黑色编号7、黑色编号8。
6
黑色编号7:黄色下箭头标志。些标志表示,如果某个操作与此规则匹配时,则直接进行相应的操作(即第一列、第二列、第三列所定义的属性及具体规则内容进行操作),不再继续匹配后续的其它规则,因为LNS匹配规则的顺序是自上而下的(故大家最好不要调整那些LNS默认生成的规则的上下顺序,否则可能什么程序也上不了网)。这种属性产生的操作带来的好处是:不用将所有规则匹配一遍,极大地减少了LNS规则匹配操作所用的时间;其次如果你添加了一条过于宽泛自己不知道有没有漏洞的规则,那么你可以关闭此属性,则当有某个操作与此规则匹配后,后续规则继续对其进行检测,以发现问题。
黑色编号8:灰色圆点标志。此标志表示匹配完此规则后,再继续匹配后续规则。
第五列,三种属性。对应于黑色编号9、黑色编号10。作用是当有某操作与此规则匹配时,以什么方式来报警。(报警方式)
黑色编号9:小喇叭标志。此标志表示某操作与此规则匹配时,以发生声音的方式报警。打开此属性必须同时在“选项”标签中选中“声音”功能。
黑色编号10:双感叹号标志。此标志表示某操作与此规则匹配时,不但发出声音报警,而且跳出消息框报警。也必须同时打开“选项”标签中的“声音”与“消息框”功能,否则不起作用。
灰色小圆点标志,表示不需要报警。
此列的属性建议对系统默认的规则打开,此时能看到一些异常操作,及时采用措施。对于其它的频繁正常操作,如果打开了会不胜其烦的。比如在你为BT设置的规则上设置此属性,消息框会跳满一屏幕,呵呵。
最后再说一下,如果你取消对图三右下角的“互联网过滤已启用”选中的话,则此规则表中所有规则都相当于不存在,基本上是门户大开啊。
3.规则编辑----定义符号你自己需要的规则。
在LNS里定义规则有两种方法,一种是在“互联网过滤”里“添加”规则是最难的一种;另一种方法是从“日志”标签里进行添加,则简单得多了。
7
图五是规则编辑窗的界面,分为8个区域,按“区”讲吧。分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“标识”、“来源”、“目标”8个区。
首先,LNS防火墙在编辑时规则是中性的,也就是说在编辑界面上,我们不能够确定该规则是禁止了某个操作还是允许了某个操作,一旦“确定”后,LNS默认这个规则是允许与之匹配的操作的;如果你编制规则的目的是想禁止某种操作,那么你只要把规则说清楚,“确定”后再点图四所示的第二列的“红色禁止”标志就行了,此时在该规则也会出现一个禁止标志,意思就是禁止那些与此规则匹配的操作。这一点与任何防火墙都不同。
LNS防火墙的规则的信任关系是基于IP地址+MAC地址的,这是一种理想的信任关系模式。IP地址是可以欺骗的,MAC地址也同样,但IP+MAC的欺骗就困难得多,所以LNS安全性能可想而知。
“规则名称”区
黑色编号1:规则名称。
“方向”区
黑色编号2:设定此规则的数据方向。你可以定义这条规则只对传入的连接(数据)起作用,或是对传出的生效,或对传入传出都起作用。此设置与“来源”和“目标”区有关联,选中“传入”或者“传出”则“来源”和“目标”内容有变化,此时更直接;但选中“两者”时,“来源”和“目标”区域显得复杂。
“规则说明”区
8
黑色编号3:可以对该规则进行说明,以便记忆或了解。
“以太网:类型”区
黑色编号4:“以太网:类型”其实就是告诉防火墙你的机器是局域网中的机器还是独立的一台机器,或者你理解“以太网:类型”就是要告诉LNS此条规则是适用于网域局中的通讯或者适用于互联网中的通讯。这个类型里有四种选择,分别是“全部”、“IP”、“ARP”、“其它”,“全部”即指包括“IP、ARP、其它”的全部类型。
“全部”类型极少用到,除非你的机器处于混合网络(如同时有windows、Linux、Unix、Mac os、VAX、Netware等操作系统的机器)中,可能会同时存在多种不同的局域网协议时。因此不赞成独立PC和单纯局域网选择该类型。
\"IP”类型,网际协议类型,用于把数据包从源地址发往目的地,多数情况下选择这种类型是合适的,尤其你的机器是通过非代理非网关直接上网时至少得(选择“全部”当然可以,但开放了不必要的协议)选择此类型,制定那些与互联网连接相关的规则时必须选择它,当然如果规则是局域相关的也同样可以选择它。
“ARP”类型,地址解析协议,它的作用是把IP地址解析(转换)为与此IP对应的MAC地址,从而找到该机器,只能用于与局域网相关的规则中,用在与互联网相关的规则中会造成该规则不起作用。除非你是在局域网中使用本机,否则不要生成选中此类型的规则;如果你是在局域网中通过代理或者网关上网,那么LNS默认有一条规则使用的此类型,规则名是“ARP : Authorize all ARP packets”,则必须打开并允许此规则,否则你无法上互联网。
“IP”区
黑色编号5:也就是为当前规则指定协议,共有8种类型。最常用的是TCP和UDP,偶一般人用这2个协议足够,其它协议给高手们用。编号右侧的“碎片偏移”和“碎片标志”俺不知道是个啥,所以通常用“全部”没有不良影响,呵呵。如果选择了TCP协议,则右侧的“TCP标志”是可选的;如果选择了ICMP/IGMP,侧“标志”内容也不同。
“来源”区与其它任何防火墙不同的是:在LNS的这个规则编辑器里,“来源”完全表示本地,“目标”则表示远程,而不管实际的连接请求或者数据包方向,大家在此一定要转变思路。所以,“来源”区所填写的数据都是与本地有关的,比如你要打开或者关闭本机的某个端口、允许或禁止本地的某个IP(当LNS安装在网关或者代理服务器上时有用),都可以把端口、IP地址信息输入在这里,理解了这一点,规则就好编了。
9
黑色编号的7、8:用来限定MAC地址的,当编号7选择了“全部”时,后面的不用填任何地址,填了也没用;只有当编号7选择了“等于”或者“不等于”时填MAC地址才有用,而且此时LNS也应该在代理服务器或者网关上才真正有用。它的作用就是限制内网的一个或某些机器的特定操作的,具体是什么特定操作还要看其它设置的配合情况。
黑色编号9:用来对IP地址进行各种组合和排除的,共10种方法,当选择了“全部”时,它下面黑色编号11的地址栏是灰色不能进行输入的,否则要进行输入。
黑色编号10:用来定义具体的端口号的,此时建议尽量选择你想要的协议,然后输入端口号。如果不选择协议就输入端口号,则此端口号对所有协议开放,安全性应该会下降。同样黑色编号12有7种方法,以便对端口号进行排除。
黑色编号13:用来指定程序的。也就是说,当你指定了程序后,该规则只对此程序起作用,当该程序没有启动时,该规则是不执行的,因而也不会影响到其它程序。比如你为BT制定了特殊的规则,那么就可以在这里设置好,当BT启动后该规则也自动加载。有此功能,就既可以定义特殊规则,又不会让此规则影响到全部程序了。
“目标”区,此区是与 “来源”区相对应的,一定要注意,你的本地的信息永远不要出现在这个区,虽然它叫“目标”,但它完全是指远程机器的,所以在这个区出现的IP地址、端口号都是让你想要访问或者你不想要访问,再或者你不想让它来访问你的电脑的那些远程机器的IP和端口号。我想现在大家知道了“来源”和“目标”的实质,编规则也好办了。那么此区的“以太网:地址”、“IP地址”、“TCP/UDP端口”的设置方法与“来源”区所讲到的完全相同,不用再说了,不同的是它们是指的远程!!!
一个开放特殊端口的例子:BT,见图六。
10
事先说明偶的BT监听的端口是10521,Bt(Emule、Edonkey都是工作原理类似的软件)比较特殊,它与其它下载工具的工作原理不同,偶认为BT是用其它端口发送连接请求等等信息,而用10521端口来专门进行数据包的传输,故10521端口是不主动向外发送信息,因而当其它的远程BT端收到本地BT发出的信息后,便把回应信息向10521端口发送,此时在LNS里便认为这个操作有隐患,故而拦截。那么便需要对LNS进行设置,让它放这种信息一马,这样BT才能正常工作。(随便说一下,多数防火墙基于程序的信任程度更高一些,在此类防火墙里,应用程序所打开的所有端口都是对外开放的,也就是说外部程序可以主动联系该程序打开的所有端口,因而不用进行端口设置。看起来没有在LNS里这么麻烦,但仔细想想,安全性要低一些。就象是在一个正常卖票的窗口旁边有一个本来不是卖票的关着窗口,但当有人去敲了敲,窗口竞然打开了或许还进行了某种交易?!)
为BT打开这个被动的端口,通过下述设置偶在BT里每任务最大100个连接,当有80个左右的用户时,下载速度可以轻松达到120KB以上。
首先给该规则起个名,定义方向,略加说明,如图六中的1、2、4所示;
然后在“以太网:类型”里选择“IP”,等于告诉LNS这是一条通关于数据包往来的规则,如图3所示;
在黑色编号5的“IP”里选择“TCP或UDP”,告诉LNS这是基于TCP或者UDP协议的数据包的规则(通常在BT里只用TCP协议,但偶在日志中发现它偶有用到UDP,所以也打开了,偶对BT的机制并不熟悉);
在黑色编号7里不用填任何MAC地址,本规则是对本机的,不需要进行MAC地址的排除组合等(但如果LNS安装在网关上,而BT在你的机器上,则可以在MAC地址里填写上你的MAC地址,呵呵,则只有你可以用BT了因为MAC地址在局域网里有唯一性,尤其它你们的局域网是自动分配IP地址的话。);
黑色编号8,IP地址选择“等于本机”就不用手工输入了。同样,如果你的机器在内网,而LNS在网关上,你就可以指定哪些IP可以使用BT而哪些机器不能使用了;比如你的内部机器IP=192.168.2.4,此时可以在“IP地址”里选择“等于”,并把192.168.2.4填写在正文,那么只有这台机器的10521端口可以被外部其它机器连接。大家多试试就可以体会。
黑色编号9,选择“等于”,然后填写你的BT监听的端口号。
点“应用程序”,如果黑色编号13、14所示,把你的Bt软件添加上,然后一路确定,回到“互联网过滤”界面,保存和应用就可以了(OK,此时打开BT开始下载,看看“日志”里有没有大量的记录,如果没有恭喜了,如果有大量的与端口有关的记录,说明某个地方弄错了,再仔细检查一下该规则)。这样
11
该条规则就是BT专用的了,绝对不影响其它程序。
同样的道理,如果你是想禁用远程机器与本地/本机的某个端口进行连接,那么只要在图三所示的“第二列”为该规则打上禁止标示就可以了,那么此时与该IP地址或者Mac地址匹配的机器的10521端口就永远无法被其它连接,且该端口也无法向外发送信息了。
限制本地/本机应用程序对远程机器的访问举例。见图七。
虽然在“应用程序过滤”里已经讲到了如何限制对远程的访问,但它不具有全局性,也就是说“应用程序过滤”里的规则优先级低于“互联网过滤”,LNS先匹配“应用程序过滤”然后再匹配“互联网过滤”,如果在“应用程序过滤”里已经禁止了的,在“互联网过滤”里将继续禁止;如果在“应用程序过滤”里允许了的,那么还得经过“互联网过滤”的审查。在这里编写的规则具有全局性,当然也可以针对某个特定程序。
讲一个禁止与远程机器的某个端口连接的例子,或者理解为禁止本地与远程某个端口进行通讯,此例子规则的意思为:禁止与12.10.2.20地址的77777端口进行双向联系。编写一条禁止规则通常有二个步骤。
第一步:远程机器的信息只能设置在图七所示的目标区,黑色编号1选择“IP”类型,编号2选择“TCP”或者其它协议,如果不能确定,填上“TCP或者UDP”也不会有问题。
在“目标”区域,如果你要禁止具体的某个远程主机,则在“IP地址”里选择“等于”(如果是对所有的远程主机则选择“全部”),然后再下面填写具体IP地址(例子里随便写了个12.10.2.20),“TCP/UDP端口”里填上端口号77777。
12
如果这个禁止规则是与某个具体程序对应的,那么点“应用程序”,把具体的程序加入就行了;如果是对本机所有程序的,侧不需要添加任何程序。一路确定,回到“互联网过滤”界面。
第二步:点击如图三所示的“第二列”(当然位置要与此条规则对应),当出现红色禁止标志时,点击“保存”和“应用”,OK!此时12.10.2.20地址的77777端口不能联系你的机器,你的机器也不能联系12.10.2.20机器的77777端口。当然其它端口是可以双向联系的。
如果你想写一条禁止本地/本机的具体地址的具体端口与远程的具体地址的具体端口进行连接的规则时,则在“来源”区域填写你的本地/本机的IP和端口信息,而在“目标”区域填写远程机器的IP和端口信息,完成后再在“互联网过滤”界面上打上禁止标志就行了。通常很难存在一条这样的“允许”规则的。
4.日志标签---告诉你当前阻止了哪些连接;允许了哪些连接(如果你也设置了记录的话,LNS默认对阻止的规则进行记录);可以用来建立特殊规则。如图八所示。
当你使用了某些软件并允许了它上网但却不能正常使用,此时可以查看“日志标签”,只是此时日志中不显示对应的程序名称,会显示连续的规则名称相同的一些信息。首先你确保这些信息是因为阻止了此类连接而生成的(通过规则名称在“互联网过滤标签”里看此规则前面是否有禁止标志),然后再看在端口号上有没有规律性,当规则名称相同、端口号也有规律性时,就可以用它来生成规则了。
以例子说明,图八所示为BT在没有打开端口时的日志情况。黑色编号4区显示的是规则名称,几乎完全一样;黑色编号3区是端口;黑色编号2区所示为有一致性的端口号,都为10521(偶的BT监听端口)。从日志可以明显看出,BT的10521端口不允许被外界连接,也就是造成BT下载速度慢的全部原因(虽然已经把BT设置为任凭程序了,但对它的端口还是有限制的。)。
13
设置方法:在任意一条记录上点鼠标右键,会出现图八黑色编号1所示的菜单,菜单上总共会出现2个选择,你应该用鼠标点在黑色编号3区域中看到的那个频繁出现的端口所在的选择项。如本例中在黑色编号3区域中看到的频繁出现的端口号是10521,则在此菜单上就选择“允许Port10521-服务器”(此处的“服务器”意思是本机被其它机器连接,有点服务器的味道吧),选择后会返回到“互联网过滤”标签,此时可以看到LNS已经为你自动增加了一条规则,并为此规则起了一个名称和简单的说明,你可以双击此规则改变规则名称和说明以使你清楚知道此规则的作用。
回到日志来继续看,如果在某条日志上双击,则出现如图九中红色编号1所示的窗口,在此窗口中可以看到该条日志的详细信息(可惜没有与程序具体对应),有来源/目标的IP地址、端口、数据报等详细内容,有经验的用户可以就此进行深入分析,以手工建立规则。在此不详细讲了。
14
因篇幅问题不能全部显示,请点此查看更多更全内容