lns:個人防火牆-中文百科頻道

簡介

軟件名稱: Look'n'Stop

最新版本: 2.06p4

授權方式: 共享軟件(30天試用)

軟件大小: 1.07M(英文版)

軟件安裝的時候有可能會提示将要安裝沒有通過微軟的WHQL簽名和認證的驅動程序，直接仍然繼續就可以了。另外該軟件規則設置較麻煩，而這些對初學者來說都是比較困難的。

LNS具有優良的反ARP能力，能承受較大的數據吞吐量，是一款出色的個人防火牆。

look'n'stop防火牆使用心得

使用look`n`stop（以下簡稱lns）防火牆已經有一段時間了，我以前一直是用windows防火牆+自定義ipsec組策略作為網絡安全方案的。使用lns是因為觀察比較了幾款牆後，被lns的小巧内核和強大功能所吸引，而且lns 2005sp3版的和windows安全中心完全兼容。還有一個原因是lns的靈活帶來了配置的煩瑣，很多人是剛裝上lns就卸載了，正是這點吸引我去研究這個隻有633kb的軟件。

安裝

本來安裝沒什麼好說的，但是如果你在安裝lns的時候已經安裝過防病毒軟件和其他防火牆，最好還是看一看。比如我，在安裝lns時候不是那麼順利，出了點問題。

我在3台不同的電腦上安裝lns，3台都出現了問題。第一台的問題是：安裝好lns後每次重啟都會發現硬件、安裝。似乎是lns的某個文件不能被寫入并存盤。分析了一下機器環境。感覺唯一的可能是我的mcafee virusscan enerpriese8.0i的設置問題（這是麥咖啡鎖定系統文件不讓修改的原因，注：水雲深浪按）。不過搞了半天沒确定是哪條資源保護規則出了問題。後來的解決方案是：進安全方式安裝lns，重啟後再進安全方式，安裝lns驅動。第三次重啟後lns工作正常。

第二台的問題是：安裝正常，不過隻能導入一條規則，導入第二條規則鐵定跳啟，比按機箱上的reset還靈。後來分析了一下日志說是驅動或内存引起的問題。這個應該是我個人比較特殊的問題，不具普遍性。

第三台的問題是：安裝後，重啟，結果死活找不到lns驅動，運行lsn就提示“找不到設備”。後來發現是lns和mdf（mcafee desktopfire 8.0zh）沖突所緻。因為lns和mdf都會在安裝後試圖接管windows安全中心并獲取高級的排他權限。所以大多數和windows安全中心兼容的防火牆産品都是有我沒他，有他沒我，獨霸一處的。

使用補遺

在看本段使用補遺之前，建議大家先拜讀一下zeus首發龍族，後被多處轉載的帖子－－《 look`n`stop防火牆中級使用指南（7月19日更新）》。指南很詳盡地介紹了lns的設置和使用技巧，正是這個帖子才使我對lns有更深入和全面的了解。

1、不能上網的補遺

有些adsl用戶反應裝了lns後就不能上網。很不幸，我也遇到了，我在家裡的一台電腦裝了lns後就不能上網了，不過可以進行pppoe撥号并建立連接，可就是不能上網。後來發現是lns沒有正确選擇網絡接口引起的。原因是為了加快winxp啟動後載入adsl連接的速度，我手動指定了網卡ip地址。這導緻lns不能自動辨别正确的網絡接口。解決的方法有兩個，一個是不要指定網卡的ip，另一個是在lns的選項标簽頁中，勾除自動選擇網絡接口的選項，手動指定網絡接口為wan。小區寬帶用戶如fttx的lan接入在選擇網絡接口時也要注意。總之在lns的歡迎标簽頁上能看到正确的ip（不是全零或類似10.x.x.x内網型的就對了。當然局域網内用戶除外）

2、優化補遺

在zeus《look`n`stop防火牆中級使用指南（7月19日更新）》這個帖子的末尾，有一段關于如何對應用程序過濾進行設置的技巧。是把svchost.exe設置為隻允許53端口訪問dns，并不允許svchost.exe調用其他程序連接。這個設置的思路是對的：是讓svchost.exe隻訪問一個ip的特定端口，阻止一些利用svchost.exe進行調用，并試圖連網的病毒或木馬。不過這樣設置有有一個問題。就是很多通過svchost調用的合法服務或程序也被阻止了。比如你在msn上點hotmail的圖标，就不能連上網，一些浏覽器的跳轉也被阻止。所以還是把[禁止啟動其他連接]給恢複成[允許]吧。

3、rules－規則補遺

a、新建一條針對特定應用程序才啟動的規則時，必須重啟該應用程序才能生效。比如，你在運行比特精靈的時候針對比特精靈的監聽端口建立了一個開放端口的規則，要讓該規則生效（就是暗紅的鈎子變綠色）必須關閉比特精靈後再啟動才行。否則你會發現即便比特精靈已經運行，這個規則還是暗紅的沒有啟用。

b、很多高手為我們定制了現成的規則表，直接導入就可以了。不過我還是建議每個人都從lsn提供給你的enhancedrulesset.rls入手，逐步建立個性化的規則表。比如每個人使用的bt客戶端和電驢，其監聽端口都是不一樣的。有些規則不指定ip和端口，隻要特定程序運行，就開放所有端口通信，這其實有安全隐患。另外這麼做可以讓你了解防火牆的運行機制，了解程序訪問網絡的手續和步驟，還可以鍛煉你創建規則和分析問題的能力，雖然麻煩了點，但好處多多。

c、lns對不同的用戶建立不同的應用程序過濾列表（網絡過濾列表是全局的），如果你嫌麻煩讓不同的用戶去逐個授權，可以打開注冊表，找到hkey_current_usersoftwaresoft4everlooknstopapplis這裡保存着當前用戶的應用程序列表，dll過濾列表也保存在這裡哦。以後重裝lns就不用授權應用程序了，導入就可以了。

4使用LNS防範arp攻擊

關于防範arp攻擊（也就是P2P終結者使用的arp原理)

1.首先需要獲得網關MAC和本機MAC，隻要Ping一下網關，然後用Arp -a命令查看，就可以得到網關的IP與MAC的對應,用ipconfig -all可以得到本機MAC

2.在“互聯網過濾”裡面有一條“ARP : Authorize all ARP packets”規則，在這個規則前面打上禁止标志；

3.在所有規則的最上面，添加一條規則：1.以太網類型:arp,2.來源等于本機MAC,3.目的等于ff:ff:ff:ff:ff:ff，4.方向為傳出

4.在上述規則的下面面，添加一條規則：1.以太網類型:arp,2.來源等于網關MAC,3.目的等于本機MAC，4.方向為傳入

5.允許3,4兩個規則

應用，保存設置