[网络软件]世界第一防火墙Look'n'stop使用设置指南

世界第一防火墙Look'n'stop使用设置指南

安装里面有详解，在此不多说，

当你双击系统托盘里Look'n'stop图标时所打开的主界面；Look'n'stop的界面是标签型的，几乎所有的设置都直接在此界面上完成，共有如下六个标签


1.“欢迎”标签：基本运行状态，显示本机的IP地址信息、计算器名、Look'n'stop版本信息和本次开机了的数据流量统计，表示防火墙是否与本机网络设备正确连接并处于工作状态。
2.“应用程序过滤”标签：本文的重点讲解对像，不忙说它。
3.“互联网过滤”标签：同应用程序过滤标签。
4.“日志”标签：地球人都明白，可是不一定知道怎么用，得说说。
5.“选项”标签：顾名思义，不过还是得唠叨一下。
6.“注册”标签：一句话，如果注册成功了，“验证”按钮是灰色的，恭喜。
注意：你在使用下述图解时，请一定先打开Look'n'stop“选项”→“高级选项”→选中“高级模式”，切记。
（一）应用程序过滤----专门对程序进行设定，决定应用程序行为的设置
大家先仔细看看该界面

先看左侧区域，这个区显示是正连接在网络上或者曾经连接过网络目前还没有关闭的应用程序列表。
重点看右侧区域，有N多的门道在里面。猛一看是已允许的信任程序，仔细有很多属性，偶已经列出了11种属性，当然也是全部属性了。同时还可看到应用程序名称和位置信息，能为确定程序的合法性提供一点参考。
现在按此区的“列”来开讲，先确定已选中黑色编号12“应用程序过滤已启用”，否则所做的任何设置都不起作用。
1.第一列只有二种属性，简而言之就是启用或者禁用该规则（即过滤激活），鼠标单击实现二种属性之间的切换。见黑色编号1，黑色编号2所指。

黑色编号1，是指启用该条规则，也就是说让该程序按既定的规则运行，此所谓的应用程序过滤。如果你不想使为这个程序设定的规则起作用的话，那么点击一
下，就会变成黑色编号2所指的样子，此时该规则相当于不存在，当下次启动该应用程序时，Look'n'stop还会询问的。

2.第二列有三种属性，分别是允许（黑色编号5）、禁止（黑色编号4）、自定义（黑色编号3）。单击则在允许与禁止之间切换，如果有自定义属性，则在三者之间进行切换。

黑色编号3：黄色圆饼标志。当你为此程序制定了特殊规则，如指定程序只能连接远程的哪些端口、或者不允许连接哪些端口；允许连接哪些地址、禁止连接哪些地址时，则出现黄色的圆饼标志。具体设置方法如下：

双击某个程序（当然也可以通过点击黑色编号11来实现），就会出现如图3所示的“选择端口和IP地址”窗口，此时你可以设置具体的内容了。


比如，偶的Dreammail邮件客户端，偶只允许它连接远程的25、110和80端口，不允许连接其它端口，那么就按如图3所示进行设置；此时对IP地址没有限制。如果你想让他只连接远程的某个IP地址，那么就在IP地址栏输入。

这个自定义功能并不只是如此简单，重要的不是允许去什么地方，而是禁止它去什么去什么地方。比如，你的CuteFTP一启动就想去它的主站验证一下它的合法性，那么你就可以在这里设置一下了，而又不影响其它程序（如IE）访问CuteFTP的主站。

那么，允许和禁止在这里如何区别开来？其实很简单，允许访问的端口或者IP，则直接输入在里面就行。如果你要禁止某个端口或者地址，只要在端口或者
IP地址前面加上一个半角的感叹号“!”就行了，是不是真的简单？对了，如果是多个IP或者端口，不要忘记在它们之间加上一个半角的分号“;”即可。如果
是端口范围或者IP地址范围，则在起始之间用“-”连接起来就行。
黑色编号4：红色禁止标志。此标志表示禁止该程序连接网络。
黑色编号5：绿色允许标志。此标志表示允许该程序连接网络。
3.现在来看第三列，此列只有二种属性，单击则实现二种属性之间的切换。见黑色编号6、黑色编号7。
这一列是强大功能的一个体现，作用是允许或者禁止此程序调用另一个程序并且使用被调用的这个程序连接网络，也就是说：A程序启动了B程序，B程序有连网企
图，此属性就是对这种情况进行控制的。必须打开“高级选项”中的“高级模式”才会出现此列，不打开则不出现但此列的功能实际上在起作用。
黑色编号6：双箭头标志。为此标志时则意味着允许当前程序去调用另外一个并要使其连接网络的程序。

黑色编号7：红色禁止标志。为此标志时不允许当前程序去调用另外一个要使其连接网络的程序，当然如果被调用的程序没有连接网络的企图，则防火墙是不出现提示的，如果被调用的程序有连接网络的企图，则防火墙拦截这个连接。

4.第四列，此列有三种属性，决定了是否记录日志或者弹出提示窗口，其中二种属性与第一列的属性配合才能看到效果。三种属性分别对应于黑色编号8、黑色编号9、黑色编号10。
黑色编号10：如果是这个标志，则什么也不发生，相当于此功能被禁用。

黑色编号9：单感叹号标志。此标志表示弹出消息框（如果你在“日志”标签中勾选了“消息框”的话）或在日志中记录（也需要打开“日志”标签中的记录日
志功能）该应用程序的连网“企图”，此时要与第一列配合使用，第一列的属性必须是禁止标志才起作用。这个功能的好处太多了，比如：一个被你禁止了的程序，
可能也已经关闭了，但在日志中频频出现试图连网的记录，估计它也不是什么好东西，木马常常这么干！
黑色编号8：
双感叹号标志。此标志表示无论该程序是禁止还是允许连网，都在日志中记录或者弹出消息框。正常使用时最好不打开此属性，调试Look'n'stop时是便利的办法。

好了，应用程序过滤部分到此完毕。可以看出，Look'n'stop对程序的控制非常灵活且强大，方便简洁，10个属性有36种不同组合。仅一个页面可以实现允许禁止、记录与否、单程序访问、进程调用四种功能的控制


当一个应用程序需要访问网络的时候，Look'n'stop会弹出如上图A对话框提示，使用两个单选框（虽然看起来是复选的，但只能单选）配合两个按钮可
以指定这个应用程序的联网行为，指定了的程序就会显示在上面图2所示的应用程序列表里了，例如图2第6行的TheWorld.exe。单纯点“允许”就是
允许该应用程序访问网络，如果同时选择了“只此一次”就是只允许当前的一个连接请求（一个程序连接到一个相同的地方可能会发起几个连接请示而不是一个），
如果这个程序再次发起一个连接请求的话，会看到同样的验证提示。如果选择了“只此会话”，会话的意思是这次的Look'n'stop会话过程，这个选项意
思是允许直到这次Look'n'stop关闭为止。某些地方说“直到重启系统”，是不严谨的。（选择了“只此ｘｘ”的应用程序会暂时出现在列表中，直到他
的验证有效到期，自动被从列表删除）当然相应的选择对于“拦截”也有相同的意义，不再细述。
有时，还会看到如下这种验证对话框


出现图B这种验证对话框的情况就是：一个程序（显示在上面的）启动了另一个应用程序（显示在下面），并且被启动的应用程序连接网络。请注意这种情况，一些木马就有这种行为。

需要注意的是，在这里选择允许或者拦截，针对的是上面的程序启动下面的程序访问网络这个行为，也就是说，如果选择了“允许”，则在列表中添加了显示在
上面的应用程序，其自身禁止访问网络，但是被这个程序启动的其它程序可以访问网络。例如图2中第三行的TMShell.exe。（类似的还有QQ珊瑚虫外
挂的CoralQQ.exe，它自身不用访问网络，而是启动了QQ.exe来访问网络）但是，如果这里选择了“允许直接连接”，那么这个应用程序则也可以
直接访问网络，选择这个选项的时候应确定这个程序是安全的。“只此一次”和“只此会话”选项的用途和前面介绍的相同。

还需要注意的是，这个对话框的“允许”只是针对显示在上面的应用程序（如图B中的TWTweaker.exe），也就是说如果被它启动的显示在下面的应用程序(如图B中的TheWorld.exe)尚未验证的话，又会跳出另一个如图A的单独验证对话框。

（二）互联网过滤----专门对数据包或连接规则进行设定，也有少量设定涉及到程序，决定网络连接行为及数据包内容的控制
互联网过滤如图4所示，继续按“列”进行讲解。此页面部分功能与“选项”里的“消息框”、“声音”、“日志”配合使用。

1.第一列，有三种属性。自定义的启动该规则属性、默认的启用该规则属性、不启用该规则属性，分别对应黑色编号3、黑色编号1和黑色编号2。三种属性之间点击进行切换，但如果没有进行自定义，则只在二种属性间切换。
黑色编号1：绿色带勾标志。此标志表示启用该规则，且该规则没有进行特别的自定义。

黑色编号2：灰色小圆点标志。此标示表示不使用该规则，也就是说防火墙对网络连接请求进行检查时不与该规则进行匹配操作。相当于这条规则只是临时放在这里，并没有什么作用。

黑色编号3：暗红色带绿勾标志。此标志表明这条规则只对特定的程序起作用，当此特定的程序启动后，此标志则变为绿色带勾标志，表示规则启用了，否则为
暗红色带勾标志，表示这规则暂时未被启用。这种设置方式似乎也没有在其它防火墙中见到，极其特别，也是Look'n'stop灵活的一个体现。它的好处是
什么呢？显示易见，当该特定程序没有启动时，就相当于少了一条规则，少一条规则多一分安全是主要的；其次可以加快对规则匹配操作的时间。设置特定程序的方
法为双击当前规则，出现一个设置窗界面，如图5所示。

点击此界面黑色编号1窗口上的“应用程序…”按钮，出现如黑色编号2所示的窗口，将此窗口中右侧的列表的应用程序双击添加到左侧，然后一路确定就可以了。图标是偶为BT添加的自定义规则，只有当BT启动后它才启用，平时这条规则相当于不存在，否则会浪费偶的资源的。

2.第二列，有二种属性。分别是禁止与允许，对应于黑色编号4。此列主要用途是，允许执行与此规则匹配的连接请求，还是禁止与此规则匹配的连接请求。

黑色编号4：红色禁止标志。此标志表示，当某个连接请求或者操作与此规则匹配时，则禁止该连接请求或者操作。如果是灰色圆点标志，则表示此允许此连接请求或者操作。此属性的好处是，相同的规则内容可以在需要时通行，在另一种情况下禁止。
3．第三列，有二种属性。记录或者不记录与该规则匹配的操作信息。

黑色编号6：单感叹号标志。表示当某个连网请求或者操作与此规则匹配时，则记录此操作的信息，这些信息一定会在日志标签的窗口里显示出来。如果你启用
了“选项”标签中的“日志文件”功能，则这些信息保存在日志文件中，如果没有启用日志文件功能，则不保存。另一灰色圆点标志表示不记录也不保存这些信息。
本人建议在调试某个特定规则时把Look'n'stop的记录功能打开，这样一旦某些软件不能正常上网时，可以在日志中发现并生成规则（后面讲到如何用日
志生成适用规则）。
4.第四列，有二种属性。分别对应黑色编号7、黑色编号8。功能比较简单，但却非常的有用啊。

黑色编号7：黄色下箭头标志。些标志表示，如果某个操作与此规则匹配时，则直接进行相应的操作（即按第一列、第二列、第三列所定义的属性及具体规则内
容进行操作），不再继续匹配后续的其它规则，因为Look’n’stop匹配规则的顺序是自上而下的（故大家最好不要调整那些Look'n'stop默认
生成的规则的上下顺序，否则可能导致上不了网）。这种属性带来的好处是：不用将所有规则匹配一遍，极大地减少了Look'n'stop规则匹配操作所用的
时间；其次如果你添加了一条过于宽泛自己不知道有没有漏洞的规则，那么你可以关闭此属性，则当有某个操作与此规则匹配后，后续规则继续对其进行检测，以发
现问题。
黑色编号8：灰色圆点标志。此标志表示匹配完此规则后，再继续匹配后续规则。
5.第五列，有三种属性。对应于黑色编号9、黑色编号10。作用是当有某操作与此规则匹配时，以什么方式来报警。

黑色编号9：小喇叭标志。此标志表示某操作与此规则匹配时，以发出声音的方式报警。打开此属性必须同时在“选项”标签中选中“声音”选项。

黑色编号10：双感叹号标志。此标志表示某操作与此规则匹配时，不但发出声音报警，而且跳出消息框报警。也必须同时打开“选项”标签中的“声音”与“消息框”功能，否则不起作用。
灰色小圆点标志，表示不需要报警。

此列的属性建议在调试某个规则时打开；建议对系统默认的规则也打开，此时能看到一些异常操作，及时采用措施。对于其它的频繁正常规则，如果打开了会不胜其烦的，建议关闭。比如在你为BT设置的规则上设置此属性，消息框会跳满屏幕。

最后再说一下，如果你取消对图4右下角的“互联网过滤已启用”选中的话，则此规则表中所有规则都相当于不存在，基本上是门户大开啊，切记！
（三）规则编辑----定义符合你自己需要的规则

在Look'n'stop里自定义规则有两种方法，在“互联网过滤”里直接“添加”规则是最难的一种；另一种方法是从“日志”标签里进行添加，则简单得多了，后面再讲到。

规则编辑窗的界面如图6所示，分为8个区域，按“区”讲吧。分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“标识”、“来源”、“目标”8个区。
[img]http://www.goto133.com/bbs/attachment/Mon_0601/28_330340_62f10c47f3d792
首先需要说明的是：Look'n'stop防火墙在编辑规则时该规则是中性的，也就是说在编辑界面上，我们不能够确定该规则是禁止了某个操作还是允许了某
个操作，一旦“确定”后，Look'n'stop默认这个规则是禁止与之匹配的操作的；如果你编制规则的目的是想禁止某种操作，那么你只要把规则说清楚，
“确定”就行了。如果要允许那些与此规则匹配的操作，再点图4所示的第二列的“红色禁止”标志，则出现灰色小加点标志。这一点与任何防火墙都不同。

Look'n'stop防火墙的规则的信任关系是基于IP地址+MAC地址的，这是一种理想的信任关系模式。IP地址是可以欺骗的，MAC地址也同
样，但IP+MAC的欺骗就困难得多，完全可以对一些关键规则采用这种规则方式，所以Look'n'stop安全性能很好。因而在图6中大家会看到“以太
网：类型”和“以太网：地址”区域，使设置显得复杂且常常令人困惑，其实了解了它的作用就不感到复杂了。
1.“规则名称”区
黑色编号1：规则名称，给规则起一个易于理解的名字。
2.“方向”区

黑色编号2：决定此规则的连接或者数据流方向。你可以定义该规则只对传入的连接（数据）起作用，或是对传出的生效，或对传入传出都起作用。此设置与“来源”和“目标”区有关联，具体请参见本节第6条。
3.“规则说明”区
黑色编号3：可以对该规则进行说明，以便了解其它作用。
4.“以太网:类型”区

黑色编号4：可能也是让大家头痛的地方，常常不知道如何设置这个地方。“以太网：类型”其实就是告诉防火墙你的机器是局域网中的机器还是独立的一台机
器，或者你理解“以太网：类型”就是要告诉Look'n'stop此条规则是适用于网域局中的通讯或者适用于互联网中的通讯。在这里就得多唠叨几句。这个
类型里有四种选择，分别是“全部”、“IP”、“ARP”、“其它”，“全部”即指包括“IP、ARP、其它”的全部类型。

①“全部”类型极少用到，除非要建立一条严格的阻挡规则，如Look'n'stop的最后一条规则；如果是建立其它的允许规则，请尽量不要使用此类型，否则可能造成安全隐患。

②“IP”类型，网络协议类型，用于把数据包从源地址发往目的地，多数情况下选择这种类型是合适的，尤其你的机器是通过非代理非网关直接上网时至少得
（选择“全部”当然可以，但开放了不必要的协议）选择此类型；制定那些与互联网连接相关的规则时必须选择它；当然如果规则是局域相关的也同样可以选择它，
但不一定起作用，局域网中更多会用ARP类型。

③“ARP”类型，地址解析协议，它的作用是把IP地址解析（转换）为与此IP对应的MAC地址，从而找到该机器，只能用于与局域网相关的规则中，用
在与互联网相关的规则中会造成该规则不起作用。除非你是在局域网中使用本机，否则不要生成选中此类型的规则；如果你是在局域网中通过代理或者网关上网，那
么Look'n'stop默认有一条规则使用此类型，规则名是“ARP : Authorize all ARP
packets”，则必须打开并允许此规则，否则你可能无法上互联网（因为局域网内不能通讯）。
5.“IP”区

黑色编号5：也就是为当前规则指定协议，共有8种类型。最常用的是TCP和UDP，偶一般人用这二种协议足够，其它协议给高手们用。编号右侧的“碎片
偏移”和“碎片标志”涉及到数据包报头标志位，熟悉数据包结构才能理解，且Look'n'stop内置了全状态包检测功能和一些防止利用标志位进行欺骗和
攻击的功能，所以通常用默认“全部”没有不良影响。如果选择了TCP协议，则右侧的“TCP标志”是可选的；如果选择了ICMP/IGMP，侧“标志”内
容也不同。对于此部分内容，采用Look'n'stop默认的参数是安全的。

6.“来源”区，我想它后面的一串文字和方向，是造成大家不好理解的重要原因。与其它任何防火墙不同的是：在Look'n'stop的这个规则编辑器
里，如果数据流是通过某个端口双向进行
，则“来源”完全表示本地，“目标”则表示远程，而不管实际的连接请求或者数据包方向，大家在此一定要转变思路。所以，在双向通讯的规则中，“来源”区所
填写的参数都是与本地有关的，比如你要打开或者关闭本机的某个端口、允许或禁止本地的某个IP（当Look'n'stop安装在网关或者代理服务器上时有
用），都可以把端口、IP地址信息输入在这里，理解了这一点，规则就好编了。而如果数据流是单向的，则“来源”和“目标”的IP地址及端口要填写在对应的
“来源”和“目标”位置。

黑色编号的7、8：用来限定MAC地址的，当编号7选择了“全部”时，后面编号8中不用填任何地址，填了也没用；只有当编号7选择了“等于”或者“不
等于”时填MAC地址才有用，而且此时Look'n'stop也应该在代理服务器或者局域网中才真正有用。它的作用就是限制内网的一个或某些机器的特定操
作的，具体是什么特定操作还要看其它设置的配合情况。另外，某些拨号软件和认证客户端需要建立一些与MAC地址相关的规则，如部分地区的网通拨号、长宽拨
号、一些校园网等。

黑色编号9：用来对IP地址进行各种组合和排除的，共10种方式，真是了得！当选择了“全部”时，它下面黑色编号11的地址栏是非活动状态不能进行输
入的，否则要进行输入。但Look'n'stop有个BUG，即在此输入的IP地址无法输入3位数，解决方法是先能输入多少输入多少，保存后，用文本工具
打开Look'n'stop目录里对应的规则文件，按你在此所定义的规则名称，找到你所输入的内容后把IP地址改为3位数保存后，重启
Look'n'stop就行了，这个BUG真不应该。

黑色编号10：用来定义具体的端口号的，此时选择你想要的协议，然后输入端口号。同样黑色编号12也有7种方式，以便对端口号进行排除及组合。

黑色编号13：用来指定程序的。也就是说，当你指定了程序后，该规则只对此程序起作用，当该程序没有启动时，该规则是不执行的，因而也不会影响到其它
程序。比如你为BT制定了特殊的规则，那么就可以在这里设置好，当BT启动后该规则也自动启用。有此功能，就既可以定义特殊规则，又不会让此规则影响到全
部程序了。
7.“目标”区，此区是与 “来源”区相对应的，设置方法相同，一定要注意通讯方向。
8.“规则编辑”不讲例子是不行的，下面先讲一个开放特殊端口的例子，以BT为例，如图

事先说明偶的BT监听的端口是10521，Bt比较特殊（Emule、Edonkey都是工作原理类似的软件），与其它下载工具的工作原理不同，BT是用
其它端口发送连接请求等等信息，而用10521端口来专门进行数据包的传输，故10521端口是不主动向外发送信息，因而当其它的远程BT端收到本地BT
发出的信息后，便把回应信息向10521端口发送，默认情况下Look'n'stop便认为这个操作有隐患，故而拦截。那么便需要对
Look'n'stop进行设置，让它放这种信息一马，这样BT才能正常工作，可以达到很高的速度，否则会因为BT监听端口失效使速度很低。随便说一下，
多数防火墙基于程序的信任程度更高一些，在此类防火墙里，应用程序所打开的所有端口都是对外开放的，也就是说外部程序可以主动联系该程序打开的所有端口，
因而不用进行端口设置。看起来没有在Look'n'stop里这么麻烦，但仔细想想，安全性要低一些。就像是在一个正常卖票的窗口旁边有一个本来不是卖票
的关着的窗口，但当有人去敲了敲，窗口竟然打开了或许还进行了某种交易！
言归正传，下面说如何为BT打开这个被动的端口。
①首先给该规则起个名，定义方向，略加说明，如黑色编号1、黑色编号2、黑色编号4所示；
②然后在“以太网：类型”里选择“IP”，等于告诉Look'n'stop这是一条通关于数据包往来的规则，如黑色编号3所示；

③在黑色编号5的“IP”里选择“TCP或UDP”，告诉Look'n'stop这是基于TCP或者UDP协议的数据包的规则（通常在BT里只用TCP协议，但偶在日志中发现它偶有用到UDP，所以也打开了，偶对BT的机制并不完全了解）；

④在黑色编号7里不用填任何MAC地址，本规则是对本机的，不需要进行MAC地址的排除组合等。但如果Look'n'stop安装在网关上，而BT在
你的机器上，则可以在MAC地址里填写上你的MAC地址，只有你可以用BT了，因为MAC地址在局域网里有唯一性，尤其当局域网是自动分配IP地址时；

⑤黑色编号8，IP地址选择“等于本机”就不用手工输入了。同样，如果你的机器在内网，而Look'n'stop在网关上，你就可以指定哪些IP可以
使用BT而哪些机器不能使用了；比如你的内部机器IP=192.168.2.4，此时可以在“IP地址”里选择“等于”，并把192.168.2.4填写
在黑色编号10所在位置，那么只有这台机器的10521端口可以被外部其它机器连接。大家多试试就可以体会；
⑥黑色编号9，选择“等于”，然后在黑色编号11中填写你的BT监听的端口号；

⑦点“应用程序”，如黑色编号12、13所示，把你的Bt软件添加上，然后一路确定，回到“互联网过滤”界面，保存和应用就可以了（OK，此时打开
BT开始下载，看看“日志”里有没有大量的记录，如果没有则恭喜了，如果有大量的与端口有关的记录，说明某个地方弄错了，再仔细检查一下该规则）。这样该
条规则就是BT专用的了，绝对不影响其它程序。

同样的道理，如果你是想禁用远程机器与本地/本机的某个端口进行连接，那么只要在图4所示的“第二列”为该规则打上禁止标示就可以了，那么此时与该IP地址或者Mac地址匹配的机器的10521端口就永远无法被其它连接，且该端口也无法向外发送信息了。
上面的例子是控制本地资源的，那么如何限制你本地应用程序对远程机器的访问，下面再举一例，如图

虽然在“应用程序过滤”里已经允许了某个应用程序访问网络，但它不具有全局性，也就是说“应用程序过滤”里的规则优先级低于“互联网过滤”，
Look'n'stop先匹配“应用程序过滤”然后再匹配“互联网过滤”，如果在“应用程序过滤”里已经禁止了的，在“互联网过滤”里将继续禁止；如果在
“应用程序过滤”里允许了的，那么还得经过“互联网过滤”的审查。但如果你在“应用程序过滤”里指定了具体的IP及端口，则“互联网过滤”不再对此应用程
序的对该IP地址或者该端口的访问进行审查，可以直接通过，只是此时定义的IP及端口都是对远程而言的，并非是打开本地的端口。
在“互联网过滤”的规则表里编写的规则具有全局性，当然也可以仅针对某个特定程序。

图8是一个禁止与远程某个端口连接的例子，或者理解为禁止本地与远程某个端口进行通讯，此例子规则的具体意思为：禁止与12.10.2.20地址的55555端口进行双向联系。编写一条禁止规则通常如下：

①远程机器的信息只能设置在图8所示的“目标”区，黑色编号1选择“IP”类型，编号2选择“TCP”或者其它协议，如果不能确定，填上“TCP或者UDP”也不会有问题。

在“目标”区域，如果你要禁止具体的某个远程主机，则在“IP地址”里选择“等于”（如果是对所有的远程主机则选择“全部”），然后再下面填写具体IP地址（例子里随便写了个12.10.2.20），“TCP/UDP端口”里填上端口号55555。

如果这个禁止规则是与某个具体程序对应的，那么点“应用程序”，把具体的程序加入就行了；如果是对本机所有程序的，侧不需要添加任何程序。一路确定，回到“互联网过滤”界面。

②如果你想写一条禁止本地/本机的具体地址的具体端口与远程的具体地址的具体端口进行连接的规则时，则在“来源”区域填写你的本地/本机的IP和端口
信息，而在“目标”区域填写远程机器的IP和端口信息，完成后默认就是禁止的。通常情况下很难存在一条这样的“允许”规则的，如果允许了也就是“只允许”
访问此特定的IP和端口。

（四）日志标签----告诉你当前阻止了哪些连接；允许了哪些连接（如果你也设置了记录的话，Look'n'stop默认只对阻止的规则进行记录）；可以用来建立特殊规则。如图

当你使用了某些软件并允许了它上网但却不能正常使用，此时可以查看“日志”标签，只是此时日志中不显示对应的程序名称，会显示连续的相同规则名称的一些信
息。首先你确保这些信息是因为阻止了此类连接而生成的（通过规则名称在“互联网过滤标签”里看此规则前面是否有禁止标志），然后再看端口号上有没有规律
性，当规则名称相同、端口号也有规律性时，就可以用它来生成规则了。

以例子说明，上图所示为BT在没有打开端口时的日志情况。黑色编号4区显示的是规则名称，几乎完全一样；黑色编号3区是端口；黑色编号2区所示为有一
致性的端口号，都为10521（偶的BT监听端口）。从日志可以明显看出，BT的10521端口不允许被外界连接，也就是造成BT下载速度慢的全部原因
（虽然已经把BT设置为信任程序了，但对它的端口还是有限制的。）。

设置方法：在任意一条记录上点鼠标右键，会出现图9黑色编号1所示的菜单，菜单上总共会出现2个选择，你应该用鼠标点从黑色编号3区域中看到的那个频
繁出现的端口所在的选择项。如本例中在黑色编号3区域中看到的频繁出现的端口号是10521，则在此菜单上就选择“允许Port10521-服务器”（此
处的“服务器”意思是本机被其它机器连接，有点服务器的味道），选择后会返回到“互联网过滤”标签，此时可以看到Look'n'stop已经为你自动增加
了一条规则，并为此规则起了一个名称和简单的说明，你可以双击此规则改变规则名称和说明以使你清楚知道此规则的作用。

回到日志来继续看，如果在某条日志上双击，则出现下图中黑色编号1所示的窗口，在此窗口中可以看到该条日志的详细信息（可惜没有与程序具体对应），有源/目标的IP地址、端口、数据报等详细内容，有经验的用户可以就此进行深入分析，以手工建立规则。在此不详细讲了

很好帅哥

好详细啊，谢谢楼主的介绍

谢谢楼主，正需要呢

前几天这个防火墙出新版了,不知这个设置方案是不是新版的.

个人对世界排名前三名的防火墙看法：

Look 'n' Stop
LNS这个墙太强了,600K的源文件，安装稳定后只占2M多一点的的内存.监控强，任何出站入站的数据包都难逃它法眼.但对专业性要求太高。要自己写规则。我们都是普通用户，图的是省事，装个太专业的防火墙，如果没设置好，反而会误事（相信大家对调防火墙调着调着 会连网都上不了心有余悸吧）


Outpost
不用写规则，但是不停的跳出询问框，让你同意到手软。outpost 是值得使用的专业防火墙.它的强大功能和简单设置大家应该有目共睹!但他对于远程IP主机欺骗的攻击显得无能为力,一旦目标主机遭受IP欺骗,在仅仅使用这款防火墙的话,恐怕只能重起了! 缺点

ZoneAlarm
装好的时候所有设置都帮你调好了，把那个弹出提示的关掉，基本上就什么都不用管了。还可以在线升级。ZoneAlarm功能强劲。防火墙还有病毒监控功能，还能关闭网站广告、禁止插件....等选项.，虽然个头很大，可是占用的资源却跟天网差不多，它在电子邮件病毒防范方面有独特之处，还能检测杀毒软件，而且有可靠的保护密码的功能.ZA有一个功能对于玩网络游戏的人来说非常有用，那就是锁定网络。这时候只有被允许的程序才能通过网络，可以设定只允许你玩的网游通过网络，任何其它程序想上网，ZA就会自动拦截，不再弹出对话框问你是否允许了，你只管玩游戏，没有什么打扰你。别的防火墙就不是这样了，你正在玩网游，突然弹出一个对话问你什么什么程序要访问网络，你是否允许。你的游戏界面或者被关闭，或者被遮挡，你急着点允许或者不允许，很可能因为来不急细想把木马放行了，而且还可能因为在关键时刻这么一折腾你就给挂了。最人性化的，简单明了.简约而不简单！！！感觉方便\设置简单\性能也好.就是运行一段时间后，机器变得很慢。

Outpost 比 ZoneAlarm 小（测试两款软件开机很长一段时间后，Outpost 比ZoneAlarm 占用进程小一些，但我们这些普通用户是觉察不出的! 而两款防火墙对大家来说已经够用了,所以在性能上我想需要比较, 主要是比较谁更小巧速度更快 ）

以上三款防火墙性能，绝对不是天网、瑞星、金山、KV等国内防火墙可以比拟的。


nod32杀木马实在不行，特别是国内木马，相信不是nod不会杀木马，而是他们的指导方针有问题，他们认为有些木马严格说不算病毒，况且由于在中国销的不好，nod对中国也不重视（不包括香港，据说nod在香港等地特火，市场占有率达70%），所以单一nod使用，监控没问题，对付木马，流氓软件就不是那么让人放心了，所以还要搭配点别的，杀木马no.1是ewido，防火墙no.1是ZoneAlarm，如果nod+ewido+ZA，实在太站资源了，而且越是牛的东西越不愿意和别人配合，所以不建议这么使用，合理建议是nod32+outpost，原因：1，outpost作为防火墙本身不弱，国际评测仅次于ZoneAlarm，名列第二，而且它的机制和ZA不同，应当说它与ZA不分伯仲。2，outpost自身有防杀木马的功能模块，不用再加专杀木马的软件。3，outpost是nod官方推荐的防火墙，不会有冲突。4， nod32和outpost都有办法找到免费终身升级的站点，无后顾之忧。

至于xp的防火墙还是免了吧，几次国际评测，xp的墙得分竟然都是零分，汗，更差的是费尔（费斯特拉）防火墙不仅得分同样是零，而且和杀软还冲突，动不动就死了，这叫什么防火墙啊！

look'n'stop防火墙使用心得

一、引言：
使用look`n`stop（以下简称lns）防火墙已经有一段时间了，我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后，被lns的小巧内核和强大功能所吸引，而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐，很多人是刚装上lns就卸载了，正是这点吸引我去研究这个只有633kb的软件（用软件就是不复杂没有劲，复杂了受折磨，不过我还是喜欢受折磨、瞎折腾）。

二、安装：
本来安装没什么好说的，但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙，最好还是看一看。比如我，在安装lns时候不是那么顺利，出了点问题。
我在3台不同的电脑上安装lns，3台都出现了问题。第一台的问题是：安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯一的可能是我的mcafee virusscan enerpriese8.0i的设置问题。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是：进安全方式安装lns，重启后再进安全方式，安装lns驱动。第三次重启后lns工作正常。

第二台的问题是：安装正常，不过只能导入一条规则，导入第二条规则铁定跳启，比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题，不具普遍性。

第三台的问题是：安装后，重启，结果死活找不到lns驱动，运行lsn就提示“找不到设备”。后来发现是lns和mdf（mcafee desktopfire 8.0zh）冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他，有他没我，独霸一处的。

三、使用补遗：
在看本段使用补遗之前，建议大家先拜读一下zeus首发龙族，后被多处转载的帖子——《 look`n`stop防火墙中级使用指南（7月19日更新）》。指南很详尽地介绍了lns的设置和使用技巧，正是这个帖子才使我对lns有更深入和全面的了解。

1、不能上网的补遗
有些adsl用户反应装了lns后就不能上网。很不幸，我也遇到了，我在家里的一台电脑装了lns后就不能上网了，不过可以进行pppoe拨号并建立连接，可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度，我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个，一个是不要指定网卡的ip，另一个是在lns的选项标签页中，勾除自动选择网络接口的选项，手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip（不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外）

2、优化补遗
在zeus《look`n`stop防火墙中级使用指南（7月19日更新）》这个帖子的末尾，有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns，并不允许svchost.exe调用其他程序连接。这个设置的思路是对的：是让svchost.exe只访问一个ip的特定端口，阻止一些利用svchost.exe进行调用，并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标，就不能连上网，一些浏览器的跳转也被阻止。所以还是把[禁止启动其他连接]给恢复成[允许]吧。

3、rules—规则补遗
a、新建一条针对特定应用程序才启动的规则时，必须重启该应用程序才能生效。比如，你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则，要让该规则生效（就是暗红的钩子变绿色）必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行，这个规则还是暗红的没有启用。
b、很多高手为我们定制了现成的规则表，直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手，逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴，其监听端口都是不一样的。有些规则不指定ip和端口，只要特定程序运行，就开放所有端口通信，这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制，了解程序访问网络的手续和步骤，还可以锻炼你创建规则和分析问题的能力，虽然麻烦了点，但好处多多。
c、lns对不同的用户建立不同的应用程序过滤列表（网络过滤列表是全局的），如果你嫌麻烦让不同的用户去逐个授权，可以打开注册表，找到hkey_current_user\software\soft4ever\looknstop\applis这里保存着当前用户的应用程序列表，dll过滤列表也保存在这里哦。以后重装lns就不用授权应用程序了，导入就可以了。

4、漏洞检测补遗
漏洞检测：英文为leak test比较著名的检测站点有：
1：诺顿
http://security.symantec.com/ssc ... fkpxkbqw&bhcp=1
2：天网
http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17
3.sygatetech
http://scan.sygatetech.com/prequickscan.html
4.pcflank
http://www.pcflank.com/test.htm

其中pcflank的检测项目最为全面。
lns不愧为出色的防火墙（世界第一并非浪得虚名），除cookie类隐私保护外，我通过了上面网站的所有漏洞检测。不过另一个叫pcaudit的检测软件却彻底摧毁了我的信心。用这个软件做检测，我彻底失败，包括击键记录、屏幕截图等众多敏感信息在内数据都被发送到检测服务器。这使我对lns产生了疑问。通过几次试验和分析，我发现pcaudit的设计理念很独特很超前，不久的将来会产生n多模仿pcaudit的木马和蠕虫。


下面我简要阐述一下pcaudit的攻击手段和lns通过pcaudit检测的方法：
pcaudit本身是一个模拟木马服务端的小软件，用以检测系统漏洞。和别的木马不同，它的运行后不能被lns的应用程序过滤检测到，任务管理器可以可以看到pcaudit进程，这说明他本身不递交连网要求，其本身不向外发送窃取的信息。通过分析和试验，我发现pcaudit启动时，很多连画笔这种从未有连网请求的程序都会请求通过lns的应用程序过滤授权（这种从未有过的授权请求引起了我的注意，但是如果是一个类似病毒库升级的请求或者软件update的请求就会很轻易地使我相信这是合法的要求，并给予授权）。通过试验发现，pcaudit运行时不发送连网请求，而是通过某种类似进程入侵的方式，按活动进程优先级的高低逐个截获进程，通过受到你信任的进程发送数据。因此，只要在运行pcaudit漏洞检测时，拦截逐个跳出的活动进程的连网要求就可以通过其检测了。


如果逆向考虑：一般的进程都是在运行是发出连网要求的，lns也会在进程运行时就截获其连网要求提交用户审核。因此，已经运行的活动进程是不应该提交连网要求的。可是，就如我前面所说，一个从未有过连网要求的记事本和画笔要求审核可能会引起你的警惕，可是一个update要求呢？我想你也会和我一样相信它是合法的。认识了pcaudit我才知道我们的网络是多么的不安全，这也许就是所谓的道高一尺魔高一丈吧。反病毒技术永远都是落后于病毒的。

look'n'stop 2.05 sp3汉化注册版+规则。（世界排名第一的防火墙_菜鸟勿用法国）

世界顶级防火墙Look n Stop 中文版
软件大小：578KB
软件语言：简体中文
软件类别：国外软件/免费版/网络安全
运行环境：Win9x/NT/2000/XP/
世界第一防火墙Look'n'Stop最新版+正版注册机

无论在防火墙各项防护上或是资源最小占用上都是世界第一,都超过了ZA,尤其是
节省资源方面更是令ZA黯然失色,你完全感觉不到Look'n'Stop在运行,这里是全球最大的防火墙官方测试网站做的评测,大家可以对比一下就知道了.

汉化：
1、将语言文件chinese.lng及语言插件plugin_language.dll复制到Look'n'Stop的安装目录下（默认是C:\Program
Files\Soft4Ever\looknstop）
2、打开 Look'n'Stop （如有提示不必理会，选择“否”）；
1）点击“Options”页面的“Advanced Options”按钮；
2）点击“Plugins”按钮；
3）在“Avilable_plugins”框中打勾plugin_language.dll；
4）点击“Configure”按钮
5）选中“简体中文”，确定。
3、退出Look'n'Stop界面，再打开就可以使用中文了。

软件介绍：
Look n Stop
被誉为世界顶级防火墙！与同类产品相比具有最为突出的强劲功能以及与众不同的特点，不仅功能评测在知名防火墙中是最强的！而且软件大小只有区区600多k十分小巧， 占内存非常小，可以监控dll，更具强大的御防黑客攻击能力！！
安装时几点需要注意到的事情：
1、提示没有经过微软的安全监测，这一点容易理解，微软当然希望所有的人使用它自己开发的软件产品，对于出现的提示，我想经常安装非微软软件产品的朋友都会遇上这种情况。

2、重新启动电脑进入桌面时，没有弹出一个询问你是否需要下载多国语言插件小窗体，则注意注意检查：
1）、是否被其它软件当作弹出广告清除；
2）、安装LooknStop_Setup_205p2.exe后,其自动生成的启动时自动运行文件被人为取消；
3）、确认已经连接网络。

Look n Stop 选择简体中文界面的步骤：
1、将语言文件chinese.lng及语言插件复制到Look n Stop的安装目录下（默认是C:\Program Files\Soft4Ever\looknstop）
2、打开 Look n Stop （如有提示不必理会，选择“否”）；
1）点击“Options”页面的“Advanced Options”按钮；
2）点击“Plugins”按钮；
3）在“Avilable_plugins”框中打勾plugin_language.dll；
4）点击“Configure”按钮
5）选中“简体中文”，确定。
3、退出Look n Stop界面，再打开就可以使用中文了。

好东西啊，呵呵