世界顶级防火墙Look n Stop 中文版 使用指南

首先，lns防火墙在编辑时规则是中性的，也就是说在编辑界面上，我们不能够确定该规则是禁止了某个操作还是允许了某个操作，一旦“确定”后，lns默认这个规则是允许与之匹配的操作的；如果你编制规则的目的是想禁止某种操作，那么你只要把规则说清楚，“确定”后再点图四所示的第二列的“红色禁止”标志就行了，此时在该规则也会出现一个禁止标志，意思就是禁止那些与此规则匹配的操作。这一点与任何防火墙都不同。

lns防火墙的规则的信任关系是基于ip地址+mac地址的，这是一种理想的信任关系模式。ip地址是可以欺骗的，mac地址也同样，但ip+mac的欺骗就困难得多，所以lns安全性能可想而知。因此在图五中大家会看到“以太网：类型”和“以太网：地址”区域，使设置显得复杂常常令人困惑。其实了解了它的作用就不感到复杂了。

“规则名称”区
黑色编号1：规则名称，不用多说。

“方向”区
黑色编号2：设定此规则的数据方向。你可以定义这条规则只对传入的连接（数据）起作用，或是对传出的生效，或对传入传出都起作用。此设置与“来源”和“目标”区有关联，选中“传入”或者“传出”则“来源”和“目标”内容有变化，此时更直接；但选中“两者”时，“来源”和“目标”区域显得复杂。

“规则说明”区
黑色编号3：可以对该规则进行说明，以便记忆或了解。

“以太网:类型”区
黑色编号4：可能也是让大家头痛的地方，常常不知道如何设置这个地方。“以太网：类型”其实就是告诉防火墙你的机器是局域网中的机器还是独立的一台机器，或者你理解“以太网：类型”就是要告诉lns此条规则是适用于网域局中的通讯或者适用于互联网中的通讯。在这里就得多唠叨几句。这个类型里有四种选择，分别是“全部”、“ip”、“arp”、“其它”，“全部”即指包括“ip、arp、其它”的全部类型。
“全部”类型极少用到，除非你的机器处于混合网络（如同时有windows、linux、unix、mac os、vax、netware等操作系统的机器）中，可能会同时存在多种不同的局域网协议时。因此不赞成独立pc和单纯局域网选择该类型。
"ip”类型，网际协议类型，用于把数据包从源地址发往目的地，多数情况下选择这种类型是合适的，尤其你的机器是通过非代理非网关直接上网时至少得（选择“全部”当然可以，但开放了不必要的协议）选择此类型，制定那些与互联网连接相关的规则时必须选择它，当然如果规则是局域相关的也同样可以选择它。
“arp”类型，地址解析协议，它的作用是把ip地址解析（转换）为与此ip对应的mac地址，从而找到该机器，只能用于与局域网相关的规则中，用在与互联网相关的规则中会造成该规则不起作用。除非你是在局域网中使用本机，否则不要生成选中此类型的规则；如果你是在局域网中通过代理或者网关上网，那么lns默认有一条规则使用的此类型，规则名是“arp : authorize all arp packets”，则必须打开并允许此规则，否则你无法上互联网。

“ip”区
黑色编号5：也就是为当前规则指定协议，共有8种类型。最常用的是tcp和udp，偶一般人用这2个协议足够，其它协议给高手们用。编号右侧的“碎片偏移”和“碎片标志”俺不知道是个啥，所以通常用“全部”没有不良影响，呵呵。如果选择了tcp协议，则右侧的“tcp标志”是可选的；如果选择了icmp/igmp，侧“标志”内容也不同。

“来源”区，我想它后面的一串文字和方向，是造成大家不好理解的重要原因。与其它任何防火墙不同的是：在lns的这个规则编辑器里，“来源”完全表示本地，“目标”则表示远程，而不管实际的连接请求或者数据包方向，大家在此一定要转变思路。所以，“来源”区所填写的数据都是与本地有关的，比如你要打开或者关闭本机的某个端口、允许或禁止本地的某个ip（当lns安装在网关或者代理服务器上时有用），都可以把端口、ip地址信息输入在这里，理解了这一点，规则就好编了。

黑色编号的7、8：用来限定mac地址的，当编号7选择了“全部”时，后面的不用填任何地址，填了也没用；只有当编号7选择了“等于”或者“不等于”时填mac地址才有用，而且此时lns也应该在代理服务器或者网关上才真正有用。它的作用就是限制内网的一个或某些机器的特定操作的，具体是什么特定操作还要看其它设置的配合情况。

黑色编号9：用来对ip地址进行各种组合和排除的，共10种方法，真是了得！当选择了“全部”时，它下面黑色编号11的地址栏是灰色不能进行输入的，否则要进行输入。但lns有个bug，即在此输入的ip地址无法输入3位数，解决方法是先能输入多少输入多少，保存后，用文本工具打开lns目录的对应的规则文件，按你在此所定义的规则名称，找到你所输入的内容后把ip地址改为3位数保存后，重启lns就行了，呵呵，这个bug真不应该。

黑色编号10：用来定义具体的端口号的，此时建议尽量选择你想要的协议，然后输入端口号。如果不选择协议就输入端口号，则此端口号对所有协议开放，安全性应该会下降。同样黑色编号12有7种方法，以便对端口号进行排除。

黑色编号13：用来指定程序的。也就是说，当你指定了程序后，该规则只对此程序起作用，当该程序没有启动时，该规则是不执行的，因而也不会影响到其它程序。比如你为bt制定了特殊的规则，那么就可以在这里设置好，当bt启动后该规则也自动加载。有此功能，就既可以定义特殊规则，又不会让此规则影响到全部程序了。

“目标”区，此区是与 “来源”区相对应的，一定要注意，你的本地的信息永远不要出现在这个区，虽然它叫“目标”，但它完全是指远程机器的，那怕你的本地机器被全宇宙的黑客当成“目标”！所以在这个区出现的ip地址、端口号都是批你想要访问或者你不想要访问，再或者你不想让它来访问你的那些远程机器的ip和端口号。我想现在大家知道了“来源”和“目标”的实质，编规则也好办了。那么此区的“以太网：地址”、“ip地址”、“tcp/udp端口”的设置方法与“来源”区所讲到的完全相同，不用再说了，不同的是它们是指的远程！！！

“规则编辑”看来不讲例子是不行的，下面先讲一个开放特殊端口的例子，以bt为例，见图六。

事先说明偶的bt监听的端口是10521，bt（emule、edonkey都是工作原理类似的软件）比较特殊，它与其它下载工具的工作原理不同，偶认为bt是用其它端口发送连接请求等等信息，而用10521端口来专门进行数据包的传输，故10521端口是不主动向外发送信息，因而当其它的远程bt端收到本地bt发出的信息后，便把回应信息向10521端口发送，此时在lns里便认为这个操作有隐患，故而拦截。那么便需要对lns进行设置，让它放这种信息一马，这样bt才能正常工作。（随便说一下，多数防火墙基于程序的信任程度更高一些，在此类防火墙里，应用程序所打开的所有端口都是对外开放的，也就是说外部程序可以主动联系该程序打开的所有端口，因而不用进行端口设置。看起来没有在lns里这么麻烦，但仔细想想，安全性要低一些。就象是在一个正常卖票的窗口旁边有一个本来不是卖票的关着窗口，但当有人去敲了敲，窗口竞然打开了或许还进行了某种交易？！）
言归正传，下面说如何为bt打开这个被动的端口，通过下述设置偶在bt里每任务最大100个连接，当有80个左右的用户时，下载速度可以轻松达到120kb以上。

ø首先给该规则起个名，定义方向，略加说明，如图六中的1、2、4所示；
ø然后在“以太网：类型”里选择“ip”，等于告诉lns这是一条通关于数据包往来的规则，如3所示；

ø在黑色编号5的“ip”里选择“tcp或udp”，告诉lns这是基于tcp或者udp协议的数据包的规则（通常在bt里只用tcp协议，但偶在日志中发现它偶有用到udp，所以也打开了，偶对bt的机制并不熟悉）；

ø在黑色编号7里不用填任何mac地址，本规则是对本机的，不需要进行mac地址的排除组合等（但如果lns安装在网关上，而bt在你的机器上，则可以在mac地址里填写上你的mac地址，呵呵，则只有你可以用bt了因为mac地址在局域网里有唯一性，尤其它你们的局域网是自动分配ip地址的话。）；

ø黑色编号8，ip地址选择“等于本机”就不用手工输入了。同样，如果你的机器在内网，而lns在网关上，你就可以指定哪些ip可以使用bt而哪些机器不能使用了；比如你的内部机器ip=192.168.2.4，此时可以在“ip地址”里选择“等于”，并把192.168.2.4填写在正文，那么只有这台机器的10521端口可以被外部其它机器连接。大家多试试就可以体会。

ø黑色编号9，选择“等于”，然后填写你的bt监听的端口号。

ø点“应用程序”，如果黑色编号13、14所示，把你的bt软件添加上，然后一路确定，回到“互联网过滤”界面，保存和应用就可以了（ok，此时打开bt开始下载，看看“日志”里有没有大量的记录，如果没有恭喜了，如果有大量的与端口有关的记录，说明某个地方弄错了，再仔细检查一下该规则）。这样该条规则就是bt专用的了，绝对不影响其它程序。
同样的道理，如果你是想禁用远程机器与本地/本机的某个端口进行连接，那么只要在图三所示的“第二列”为该规则打上禁止标示就可以了，那么此时与该ip地址或者mac地址匹配的机器的10521端口就永远无法被其它连接，且该端口也无法向外发送信息了。

上面的例子是控制本地/本机资源的，那么如何限制你本地/本机应用程序对远程机器的访问，将在下面再举一例。见图七。

虽然在“应用程序过滤”里已经讲到了如何限制对远程的访问，但它不具有全局性，也就是说“应用程序过滤”里的规则优先级低于“互联网过滤”，lns先匹配“应用程序过滤”然后再匹配“互联网过滤”，如果在“应用程序过滤”里已经禁止了的，在“互联网过滤”里将继续禁止；如果在“应用程序过滤”里允许了的，那么还得经过“互联网过滤”的审查。在这里编写的规则具有全局性，当然也可以针对某个特定程序。

讲一个禁止与远程某个端口连接的例子，或者理解为禁止本地与远程某个端口进行通讯，此例子规则的意思为：禁止与12.10.2.20地址的77777端口进行双向联系。编写一条禁止规则通常有二个步骤。

第一步：远程机器的信息只能设置在图七所示的目标区，黑色编号1选择“ip”类型，编号2选择“tcp”或者其它协议，如果不能确定，填上“tcp或者udp”也不会有问题。

在“目标”区域，如果你要禁止具体的某个远程主机，则在“ip地址”里选择“等于”（如果是对所有的远程主机则选择“全部”），然后再下面填写具体ip地址（例子里随便写了个12.10.2.20），“tcp/udp端口”里填上端口号77777。

如果这个禁止规则是与某个具体程序对应的，那么点“应用程序”，把具体的程序加入就行了；如果是对本机所有程序的，侧不需要添加任何程序。一路确定，回到“互联网过滤”界面。

第二步：点击如图三所示的“第二列”（当然位置要与此条规则对应），当出现红色禁止标志时，点击“保存”和“应用”，ok！此时12.10.2.20地址的77777端口不能联系你的机器，你的机器也不能联系12.10.2.20机器的77777端口。当然其它端口是可以双向联系的。

如果你想写一条禁止本地/本机的具体地址的具体端口与远程的具体地址的具体端口进行连接的规则时，则在“目标”区域填写你的本地/本机的ip和端口信息，而在“目标”区域填写远程机器的ip和端口信息，完成后再在“互联网过滤”界面上打上禁止标志就行了。通常很难存在一条这样的“允许”规则的。