性能优异的防火墙Look'n'stop之规则编辑(图)

规则编辑----定义符合你自己需要的规则

    在Look’n’stop里自定义规则有两种方法，在“互联网过滤”里直接“添加”规则是最难的一种；另一种方法是从“日志”标签里进行添加，则简单得多了，后面再讲到。
    规则编辑窗的界面如图6所示，分为8个区域，按“区”讲吧。分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“标识”、“来源”、“目标”8个区。

   首先需要说明的是：Look’n’stop防火墙在编辑规则时该规则是中性的，也就是说在编辑界面上，我们不能够确定该规则是禁止了某个操作还是允许了某个操作，一旦“确定”后，Look’n’stop默认这个规则是禁止与之匹配的操作的；如果你编制规则的目的是想禁止某种操作，那么你只要把规则说清楚，“确定”就行了。如果要允许那些与此规则匹配的操作，再点图4所示的第二列的“红色禁止”标志，则出现灰色小加点标志。这一点与任何防火墙都不同。
   Look’n’stop防火墙的规则的信任关系是基于IP地址+MAC地址的，这是一种理想的信任关系模式。IP地址是可以欺骗的，MAC地址也同样，但IP+MAC的欺骗就困难得多，完全可以对一些关键规则采用这种规则方式，所以Look’n’stop安全性能很好。因而在图6中大家会看到“以太网：类型”和“以太网：地址”区域，使设置显得复杂且常常令人困惑，其实了解了它的作用就不感到复杂了。

    1.“规则名称”区
    黑色编号1：规则名称，给规则起一个易于理解的名字。

    2.“方向”区
    黑色编号2：决定此规则的连接或者数据流方向。你可以定义该规则只对传入的连接（数据）起作用，或是对传出的生效，或对传入传出都起作用。此设置与“来源”和“目标”区有关联，具体请参见本节第6条。

    3.“规则说明”区
    黑色编号3：可以对该规则进行说明，以便了解其它作用。

    4.“以太网:类型”区
   黑色编号4：可能也是让大家头痛的地方，常常不知道如何设置这个地方。“以太网：类型”其实就是告诉防火墙你的机器是局域网中的机器还是独立的一台机器，或者你理解“以太网：类型”就是要告诉Look’n’stop此条规则是适用于局域网中的通讯或者适用于互联网中的通讯。在这里就得多唠叨几句。这个类型里有四种选择，分别是“全部”、“IP”、“ARP”、“其它”，“全部”即指包括“IP、ARP、其它”的全部类型。
    ①“全部”类型极少用到，除非要建立一条严格的阻挡规则，如Look’n’stop的最后一条规则；如果是建立其它的允许规则，请尽量不要使用此类型，否则可能造成安全隐患。
   ②“IP”类型，网络协议类型，用于把数据包从源地址发往目的地，多数情况下选择这种类型是合适的，尤其你的机器是通过非代理非网关直接上网时至少得（选择“全部”当然可以，但开放了不必要的协议）选择此类型；制定那些与互联网连接相关的规则时必须选择它；当然如果规则是局域相关的也同样可以选择它，但不一定起作用，局域网中更多会用ARP类型。
   ③“ARP”类型，地址解析协议，它的作用是把IP地址解析（转换）为与此IP对应的MAC地址，从而找到该机器，只能用于与局域网相关的规则中，用在与互联网相关的规则中会造成该规则不起作用。除非你是在局域网中使用本机，否则不要生成选中此类型的规则；如果你是在局域网中通过代理或者网关上网，那么Look’n’stop默认有一条规则使用此类型，规则名是“ARP : Authorize all ARPpackets”，则必须打开并允许此规则，否则你可能无法上互联网（因为局域网内不能通讯）。

    5.“IP”区
   黑色编号5：也就是为当前规则指定协议，共有8种类型。最常用的是TCP和UDP，偶一般人用这二种协议足够，其它协议给高手们用。编号右侧的“碎片偏移”和“碎片标志”涉及到数据包报头标志位，熟悉数据包结构才能理解，且Look’n’stop内置了全状态包检测功能和一些防止利用标志位进行欺骗和攻击的功能，所以通常用默认“全部”没有不良影响。如果选择了TCP协议，则右侧的“TCP标志”是可选的；如果选择了ICMP/IGMP，侧“标志”内容也不同。对于此部分内容，采用Look’n’stop默认的参数是安全的。

   6.“来源”区，我想它后面的一串文字和方向，是造成大家不好理解的重要原因。与其它任何防火墙不同的是：在Look’n’stop的这个规则编辑器里，如果数据流是通过某个端口双向进行 ，则“来源”完全表示本地，“目标”则表示远程，而不管实际的连接请求或者数据包方向，大家在此一定要转变思路。
   所以，在双向通讯的规则中，“来源”区所填写的参数都是与本地有关的，比如你要打开或者关闭本机的某个端口、允许或禁止本地的某个IP（当Look’n’stop安装在网关或者代理服务器上时有用），都可以把端口、IP地址信息输入在这里，理解了这一点，规则就好编了。
   而如果数据流是单向的，则“来源”和“目标”的IP地址及端口要填写在对应的“来源”和“目标”位置。具体的说，如果方向选择了“传入”，那么规则里本机相关信息应该写在“目标”区，而远程或者外部机器的相关信息应该写在“来源”区里。如果方向选择了“传出”，则填写位置与“传入”相反，本机是“来源”，远程或外部主机是“目标”。

   黑色编号的7、8：用来限定MAC地址的，当编号7选择了“全部”时，后面编号8中不用填任何地址，填了也没用；只有当编号7选择了“等于”或者“不等于”时填MAC地址才有用，而且此时Look’n’stop也应该在代理服务器或者局域网中才真正有用。它的作用就是限制内网的一个或某些机器的特定操作的，具体是什么特定操作还要看其它设置的配合情况。另外，某些拨号软件和认证客户端需要建立一些与MAC地址相关的规则，如部分地区的网通拨号、长宽拨号、一些校园网等。
   黑色编号9：用来对IP地址进行各种组合和排除的，共10种方式，真是了得！当选择了“全部”时，它下面黑色编号11的地址栏是非活动状态不能进行输入的，否则要进行输入。但Look’n’stop有个BUG，即在此输入的IP地址无法输入3位数，解决方法是先能输入多少输入多少，保存后，用文本工具打开Look’n’stop目录里对应的规则文件，按你在此所定义的规则名称，找到你所输入的内容后把IP地址改为3位数保存后，重启Look’n’stop就行了，这个BUG真不应该。
    黑色编号10：用来定义具体的端口号的，此时选择你想要的协议，然后输入端口号。同样黑色编号12也有7种方式，以便对端口号进行排除及组合。
   黑色编号13：用来指定程序的。也就是说，当你指定了程序后，该规则只对此程序起作用，当该程序没有启动时，该规则是不执行的，因而也不会影响到其它程序。比如你为BT制定了特殊的规则，那么就可以在这里设置好，当BT启动后该规则也自动启用。有此功能，就既可以定义特殊规则，又不会让此规则影响到全部程序了。

    7.“目标”区，此区是与 “来源”区相对应的，设置方法相同，一定要注意通讯方向。

    8.“规则编辑”不讲例子是不行的，下面先讲一个开放特殊端口的例子，以BT为例，如图7。

   事先说明偶的BT监听的端口是10521，Bt比较特殊（Emule、Edonkey都是工作原理类似的软件），与其它下载工具的工作原理不同，BT是用其它端口发送连接请求等等信息，而用10521端口来专门进行数据包的传输，故10521端口是不主动向外发送信息，因而当其它的远程BT端收到本地BT发出的信息后，便把回应信息向10521端口发送，默认情况下Look’n’stop便认为这个操作有隐患，故而拦截。那么便需要对Look’n’stop进行设置，让它放这种信息一马，这样BT才能正常工作，可以达到很高的速度，否则会因为BT监听端口失效使速度很低。随便说一下，多数防火墙基于程序的信任程度更高一些，在此类防火墙里，应用程序所打开的所有端口都是对外开放的，也就是说外部程序可以主动联系该程序打开的所有端口，因而不用进行端口设置。看起来没有在Look’n’stop里这么麻烦，但仔细想想，安全性要低一些。就象是在一个正常卖票的窗口旁边有一个本来不是卖票的关着的窗口，但当有人去敲了敲，窗口竟然打开了或许还进行了某种交易！

    言归正传，下面说如何为BT打开这个被动的端口。
    ①首先给该规则起个名，定义方向，略加说明，如黑色编号1、黑色编号2、黑色编号4所示；
    ②然后在“以太网：类型”里选择“IP”，等于告诉Look’n’stop这是一条通关于数据包往来的规则，如黑色编号3所示；
    ③在黑色编号5的“IP”里选择“TCP或UDP”，告诉Look’n’stop这是基于TCP或者UDP协议的数据包的规则（通常在BT里只用TCP协议，但偶在日志中发现它偶有用到UDP，所以也打开了，偶对BT的机制并不完全了解）；
   ④在黑色编号7里不用填任何MAC地址，本规则是对本机的，不需要进行MAC地址的排除组合等。但如果Look’n’stop安装在网关上，而BT在你的机器上，则可以在MAC地址里填写上你的MAC地址，只有你可以用BT了，因为MAC地址在局域网里有唯一性，尤其当局域网是自动分配IP地址时；
   ⑤黑色编号8，IP地址选择“等于本机”就不用手工输入了。同样，如果你的机器在内网，而Look’n’stop在网关上，你就可以指定哪些IP可以使用BT而哪些机器不能使用了；比如你的内部机器IP=192.168.2.4，此时可以在“IP地址”里选择“等于”，并把192.168.2.4填写在黑色编号10所在位置，那么只有这台机器的10521端口可以被外部其它机器连接。大家多试试就可以体会；
    ⑥黑色编号9，选择“等于”，然后在黑色编号11中填写你的BT监听的端口号；
   ⑦点“应用程序”，如黑色编号12、13所示，把你的Bt软件添加上，然后一路确定，回到“互联网过滤”界面，保存和应用就可以了（OK，此时打开BT开始下载，看看“日志”里有没有大量的记录，如果没有则恭喜了，如果有大量的与端口有关的记录，说明某个地方弄错了，再仔细检查一下该规则）。这样该条规则就是BT专用的了，绝对不影响其它程序。
    同样的道理，如果你是想禁用远程机器与本地/本机的某个端口进行连接，那么只要在图4所示的“第二列”为该规则打上禁止标示就可以了，那么此时与该IP地址或者Mac地址匹配的机器的10521端口就永远无法被其它连接，且该端口也无法向外发送信息了。
    上面的例子是控制本地资源的，那么如何限制你本地应用程序对远程机器的访问，下面再举一例，如图8。

   

   虽然在“应用程序过滤”里已经允许了某个应用程序访问网络，但它不具有全局性，也就是说“应用程序过滤”里的规则优先级低于“互联网过滤”，Look’n’stop先匹配“应用程序过滤”然后再匹配“互联网过滤”，如果在“应用程序过滤”里已经禁止了的，在“互联网过滤”里将继续禁止；如果在“应用程序过滤”里允许了的，那么还得经过“互联网过滤”的审查。但如果你在“应用程序过滤”里指定了具体的IP及端口，则“互联网过滤”不再对此应用程序的对该IP地址或者该端口的访问进行审查，可以直接通过，只是此时定义的IP及端口都是对远程而言的，并非是打开本地的端口。
    在“互联网过滤”的规则表里编写的规则具有全局性，当然也可以仅针对某个特定程序。
    图8是一个禁止与远程某个端口连接的例子，或者理解为禁止本地与远程某个端口进行通讯，此例子规则的具体意思为：禁止与12.10.2.20地址的55555端口进行双向联系。编写一条禁止规则通常如下：
    ①远程机器的信息只能设置在图8所示的“目标”区，黑色编号1选择“IP”类型，编号2选择“TCP”或者其它协议，如果不能确定，填上“TCP或者UDP”也不会有问题。
    在“目标”区域，如果你要禁止具体的某个远程主机，则在“IP地址”里选择“等于”（如果是对所有的远程主机则选择“全部”），然后再下面填写具体IP地址（例子里随便写了个12.10.2.20），“TCP/UDP端口”里填上端口号55555。
    如果这个禁止规则是与某个具体程序对应的，那么点“应用程序”，把具体的程序加入就行了；如果是对本机所有程序的，侧不需要添加任何程序。一路确定，回到“互联网过滤”界面。
   ②如果你想写一条禁止本地/本机的具体地址的具体端口与远程的具体地址的具体端口进行连接的规则时，则在“来源”区域填写你的本地/本机的IP和端口信息，而在“目标”区域填写远程机器的IP和端口信息，完成后默认就是禁止的。通常情况下很难存在一条这样的“允许”规则的，如果允许了也就是“只允许”访问此特定的IP和端口。