活用Lns，简易打造安全防护体系

Look 'n' Stop 是一款性能出色的防火墙，占用资源极小，却灵活强大地支持多协议和数据包填充位的自定义检测，并兼备应用程序和 Dll 文件调用的过滤，深得众多墙友的喜爱。目前基本上， Lns 的粉丝们多是采用现成的规则包，并稍微更改参数以适合自己的网络环境，大大降低了上手难度。但由于 Lns 智能化模块的欠缺，以及 TCP 状态检测能力有限（其实个人防火墙大多如此），再加上规则及网络环境的多变因素，往往墙友们使用起来，并不能充分发挥其优势，严谨地构造自己的电脑安全防护体系。笔者这里简单介绍一下我觉得还不错的 Lns 使用方案，供大家参考。

 

一、开启 windows XP sp2/sp3 系统防火墙

微软的系统防火墙为众多的人所诟病，但其出色的 TCP/UDP 状态检测能力不容忽视，可以很好地隐藏本机端口并自动屏蔽非法 TCP 标识数据包以及非法来源地址的数据包；智能化的程序端口配置模式，给用户提供了很好的易用性和安全性；并且有良好的网络适应性，不会像有些防火墙那样导致用户的 P2P 下载等网络应用出现故障。所以，既然 Lns 与系统防火墙有良好的兼容性，我们就不应当舍弃系统墙的这个绝对性优势，而要有优势互补的战略思维。

 

我们可采用如下策略：

1 ）启用系统防火墙，并在系统启动服务中保证相关服务的属性是自动启动模式，并保证“安全中心”监控防火墙的启用状态。熟悉组策略的，也可在组策略中加强一些参数的配置，如指定防火墙日志位置、为所有连接提供保护、 ICMP 消息的定制与否等等。相关操作大家不熟悉的，可以在网络上检索，做起来非常容易。

2 ） Lns 设置要做的：

      # 取消 TCP 状态检测；开启碎片管理功能

      # 根据实际情况，简明、简单、有针对性地打造自己的网络层防护规则

      # 启用 DLL 监控；启用应用程序过滤

      # 良好的应用程序过滤模块使用习惯

      # 其他你需要做的常规设置（参 Lns 的一些入门文章）。

 

二、 Lns 的 Internet 过滤规则设计

      如图 1 ：

     

      补充说明：

      #  由于我在企业内网，有较多的通信需求，所以在 ARP 协议上，就没有添加多少防护规则。大家如果处在不需要跟内网其他主机通信的网络环境下，可非常简单而有效地防御 ARP 攻击，这些可参考本人在墙友之家论坛（ http://www.qy79.cn/bbs ）和卡饭论坛所发有关局域网充分隐身和 ARP 攻防的一些资料。

 

三、 Lns 的应用程序过滤规则设计

       如图 2 ：

      

       关于这个模块，网上多是介绍其功能和基本操作。我这里提供一个如何用好应用程序过滤模块的思考，希望大家能在应用层防护上达到良好的防护效果：

       1 ）临时需要联网的，不要直接添加到规则中，只需要根据实际情况勾选“只此时域的会话”或“只此一次”。这类程序如 IE 以及 CMD 下的一些命令程序 ping.exe 、 pathping.exe 、 netstat.exe 等等，都应当是如此。它们往往被用户随手直接添加到过则中，这样就失去了应用程序监控模块的存在价值。系统内置的许多程序都是恶意程序的调用目标，一定不能一劳永逸地让它们被放行。

       2 ）一般情况下推荐用“只此时域的会话”，因为“只此一次”往往会连续弹窗，很繁琐。当启用“只此时域会话”后，规则会被临时添加到规则表中，建议你使用完该程序后，去删除该条规则。

       3 ）规则表中只应当保留那些拦截条目和指定了远端端口及 IP 的条目。

       4 ）个别程序如果想了解其拦截和放行情况以便调试的话，可使用单 / 双叹号的记录方式。

       5 ）注意父进程联网和调用子进程联网的区别。这一点，网上相关介绍中已有提及，也有较多资料可以查询熟悉，不一一赘述了。

      

四、其他

        经过测试，以上设置可通过 Comodo leak test 中的五项指标，如图 3 ：

       

        至于防外的网络连接攻击，不用测试了，一定很安全。

 

        通过以上策略，我们针对网络的主机防护基本上已经很强大。如果需要进一步加强，我推荐 Avira+Antilogger+ 组策略；当然，要用好这两款安全产品，又需要相关的技巧学习了。

本文出自 “Love is forever” 博客，转载请与作者联系！