Win7安全与Lns防火墙

继《活用Lns，简易打造安全防护体系》一文后，已经有一年多了，如今我的笔记本已经换上了Windows 7 32bit企业版，新购的台式机用上了Windows 7 64bit企业版，先后也安装了Look 'n' stop firewall 2.07。在此分享一下我的系统安全观点和防火墙搭配策略，与以前相比，大致的思路是一致的，细节处理上有些更新，当然有很多内容在懂行的人看来是老生常谈了。

系统防御是基于主机的防护，Win 7系统提供了更好、更高的安全考虑。首先是DEP，Win 7延续了从XP时代就有的这个安全功能，我一般习惯是针对所有程序开启DEP。当然，Bios里要确认一下，是否启用了CPU的DEP功能；据说微软现在还为硬件不支持DEP的机子提供了软件解决方案。其次是大名远播的UAC，它能够对系统关键位置提供有效的保护，我推荐开到最高安全模式。然后是APPlocker，这个简单实用即可，建立默认规则和自定义规则，太复杂的设计我个人不太喜欢，因为记忆力不太好，日后维护起来很难。注册表个别位置如HCU下的系统启动项，权限限制一下；系统服务，不必要的统统禁用，自启动的项目尽量减少；组策略账户权限那里，禁止任何远程账户连接，本地账户只有管理员可以关机，审核策略上增加一些失败行为的审核。做了这些，还是不够的，需要一款杀软来实时监控。我是微软控，从前喜欢小红伞，自从知道微软的MSE后就成了MSE的粉丝了。微软自己的杀软监控，很有前景；况且从目前看，已经是很给力了。DEP是防溢出的，UAC是防系统破坏，但绕过UAC的东西还是会存在。一种是绕过UAC防护的盲点，一种是从根本上绕过UAC；前者是癣疥之患，后者比较可怕，容易对系统造成较大的破坏。所以，一款实时监控的杀软那是肯定需要的。其次，作为一个微软控，一定要保持系统及时更新漏洞补丁，0Day对于我们一般人而言不算可怕，可怕的是已经爆发确认而我们还不去采取措施。重中之重，还有上网浏览器的选择，我推荐火狐，IE作为不兼容时候的备用。火狐插件不必太多，一款好的下载插件，一个AD block plus防广告，一个No script防恶意代码，浏览器能做到这个防护地步足矣。除了这些，就是下载安装软件要小心了，尽量使用论坛众多用户推荐的精品、绿色、印象好、来源正的软件。强盗不算可怕，在正义的位子上不做正义之事才更可怕，需要擦亮眼睛加强监护。

下面说说防火墙。
Win7的防火墙非常智能，提供了三个安全策略模板，能够根据检测到的网络类型来灵活选用安全性高、中、低的策略，并且提供用户自定义的设置空间。能做到这一点的个人防火墙是很少的，至少我自己还没有发现，一般就算是提供了策略，也是让用户自己更多来参与改造、调适的。Win7防火墙的配置必须在管理员提权模式下才能更改，这一点保障了防火墙的运行稳定性。内置的规则适应性非常好，基本上不会给用户带来使用上的故障；应用程序入口放行也非常智能，可以配合不同的网络环境自动调整其规则的安全度，并且默认禁止绕过边缘遍历（在NAT边界之外的入站连接；太智能了！）。Win7系统墙有强大的TCP/UDP状态检测，默认丢弃互联网上不会出现的不合法IP地址来源的数据，丢弃不合法的入站连接，在“公共”网络模式下实现隐身，内核机制上防御一些TCP/IP的典型***。另外，系统安全中心实时监控系统防火墙的运行状态。所以，拥有如此强大、智能的一款防火墙，弃之不用实在是暴殄天物。

我们需要做的，只是查漏补缺，在Win7防火墙之外增加一款轻量级、防护精细、二者完美兼容的防火墙——Look 'n' stop firewall。目前这款防火墙支持Win7 32/64bit，支持IPV4/V6，也各有相应的插件以及各语言界面的支持，更有众多爱好者提供的中文教程、规则包等等，使用起来非常容易（我个人觉得）。还有一个好处就是，Win7墙的内置策略设计本身是很和谐的，轻易不要去改动它，而且改动起来还要管理员提权，编辑比较麻烦，不如Lns界面直观，改动操作容易。

Lns使用的是IM NDIS层驱动，并且对网络协议提供清晰直观的监控（又是一个优势），这一点对于安全很重要。我们知道，Win7系统有DEP、UAC等等一系列安全措施，但总会有漏网之鱼成功潜入系统的，而且披着羊皮的狼让你防不胜防。一旦有网络驱动级的***程序成功绕过Win7系统墙的过滤，你的防护就等于国门打开了。所以，Lns在这一点的防护功能非常重要，如图：

Lns的其他贴心设计，比如Raw模式的规则编辑插件、双向过滤规则（无需像有的防火墙那样逐一指定，让用户容易犯错）、开机前禁止任何联网数据出入、DLL检测过滤（win7 32bit）、良好的应用程序过滤界面、SPF机制……，这一切，只要你浏览一下相关的教程、介绍文章就会知道。

对于“Win7系统墙+Lns”防护方案的使用者而言，上面的内容你了解即可，下面主要说明一下我们在网络过滤方面（应用程序过滤参我的旧文《活用Lns》）的措施：
# ARP
Win7系统在ARP协议处理方面有较大改进，系统会主动发送本机的ARP信息单播数据，向与自己有通信关系的主机确认双方的正确Mac信息。这一点对抵御ARP欺骗而言，是一个很大的进步，以往只有ARP专业防火墙才会这样做。但是这还远远不够，所以，我们仍然需要在Lns上实现ARP协议的状态检测，以及加强ARP相关的抗***措施。
# UDP
系统墙虽然强大，有针对UDP协议的状态检测，但在一些基础应用服务上没有提供防护规则（很多个人/企业防火墙也不会提供这样的防护）。例如时间服务器应用（NTP）的***、DHCP分发机制带来的欺骗***、DNS协议机制带来的DNS劫持，这些方面的防护，Lns恰恰能够做到较完美的防护。
# ICMP
Win7系统墙内置有相关的防护措施，也有较强的适用性。但针对利用正常的ICMP应用实施***的行为，则几乎绝大部分的防火墙产品无以应对。但Lns能够实施ICMP的状态检测，同时让网络规则与活动的应用程序绑定，智能地开放或关闭ICMP的大门。
# TCP
这一方面，系统墙已经做的很好。Lns要做的，只是应用程序过滤方面的防护了。当然，你如果需要定制一些特殊的防护，看Lns的网络规则界面你就知道，这是太容易实现了。
# IPV6
目前IPV6还没有广泛采用，相应的***也不普遍，这方面就依靠Win7系统墙的内置规则了。以后这方面的***增多，相应我们也可以采用一些防护措施来加强防御。
以上内容参图：

说了这么多，只是一个Lns爱好者的衷心推荐，所以提供的图示不多，更多详细的实施细节不提供了，太花精力。总之，这个防护安全方案的特点就是：高智能+高灵活+高安全+高可用+高流畅+低维护成本。对我自己而言，这个方案让人很放心，很贴心。
最后附言：
对于互联网的安全而言，以上只是基于主机的防护措施。个人要做的，还需一款可靠的×××代理，出行必备，尤其是在一些较大的公共场合。还有一点，要做一个有理性的网络公民；很多时候，淹死的都是“会水的”，落水是一些人的宿命，要有提高防护能力的觉悟，也要有随时为自己言行负责的觉悟。

2011.08.29