lns

更新时间:2023-12-17 12:33

LNS全称:Look n Stop,来自法国,被誉为世界顶级防火墙

软件特点

与同类产品相比具有最为突出的强劲功能以及与众不同的特点,不仅功能评测在知名防火墙中是最强的!而且软件大小只有区区600多k,十分小巧,占内存非常小,可以监控dll,更具强大的御防黑客攻击能力,在一个国外专业网站的试用中,它超过ZA、Kerio、Norton等排在了第一。

使用心得

使用look`n`stop(以下简称lns)防火墙已经有一段时间了,我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后,被lns的小巧内核和强大功能所吸引,而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐,很多人是刚装上lns就卸载了,正是这点吸引我去研究这个只有633kb的软件。

安装

本来安装没什么好说的,但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙,最好还是看一看。比如我,在安装lns时候不是那么顺利,出了点问题。

我在3台不同的电脑上安装lns,3台都出现了问题。第一台的问题是:安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉可能是我的mcafee virusscan enerpriese8.0i的设置问题(这是麦咖啡锁定系统文件不让修改的原因,注:水云深浪按)。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是:进安全方式安装lns,重启后再进安全方式,安装lns驱动。第三次重启后lns工作正常。

第二台的问题是:安装正常,不过只能导入一条规则,导入第二条规则铁定跳启,比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题,不具普遍性。

第三台的问题是:安装后,重启,结果死活找不到lns驱动,运行lsn就提示“找不到设备”。后来发现是lns和mdf(mcafee desktopfire 8.0zh)冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他,有他没我,独霸一处的。

使用补遗

在看本段使用补遗之前,建议大家先拜读一下zeus首发龙族,后被多处转载的帖子--《 look`n`stop防火墙中级使用指南(7月19日更新)》。指南很详尽地介绍了lns的设置和使用技巧,正是这个帖子才使我对lns有更深入和全面的了解。

1、不能上网的补遗

有些adsl用户反应装了lns后就不能上网。很不幸,我也遇到了,我在家里的一台电脑装了lns后就不能上网了,不过可以进行pppoe拨号并建立连接,可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度,我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个,一个是不要指定网卡的ip,另一个是在lns的选项标签页中,勾除自动选择网络接口的选项,手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip(不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外)

2、优化补遗

在zeus《look`n`stop防火墙中级使用指南(7月19日更新)》这个帖子的末尾,有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns,并不允许svchost.exe调用其他程序连接。这个设置的思路是对的:是让svchost.exe只访问一个ip的特定端口,阻止一些利用svchost.exe进行调用,并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标,就不能连上网,一些浏览器的跳转也被阻止。所以还是把[禁止启动其他连接]给恢复成[允许]吧。

3、rules-规则补遗

a、新建一条针对特定应用程序才启动的规则时,必须重启该应用程序才能生效。比如,你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则,要让该规则生效(就是暗红的钩子变绿色)必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行,这个规则还是暗红的没有启用。

b、很多高手为我们定制了现成的规则表,直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手,逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴,其监听端口都是不一样的。有些规则不指定ip和端口,只要特定程序运行,就开放所有端口通信,这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制,了解程序访问网络的手续和步骤,还可以锻炼你创建规则和分析问题的能力,虽然麻烦了点,但好处多多。

c、lns对不同的用户建立不同的应用程序过滤列表(网络过滤列表是全局的),如果你嫌麻烦让不同的用户去逐个授权,可以打开注册表

4使用LNS防范arp攻击

关于防范arp攻击(也就是P2P终结者使用的arp原理)

1.首先需要获得网关MAC和本机MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应,用ipconfig -all可以得到本机MAC

2.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;

3.在所有规则的最上面,添加一条规则:1.以太网类型:arp,2.来源等于本机MAC,3.目的等于ff:ff:ff:ff:ff:ff,4.方向为传出

4.在上述规则的下面面,添加一条规则:1.以太网类型:arp,2.来源等于网关MAC,3.目的等于本机MAC,4.方向为传入

5.允许3,4两个规则

应用,保存设置

网络服务器

LNS表示L2TP网络服务器(L2TP Network Server),是PPP端系统上用于处理L2TP协议服务器端部分的设备。它作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。

不足的几点就是、本软件安装后还得改系统设置对系统进行一些更改、 所以较为麻烦。 如果浏览网页不多的话建议不安装。但还是比较可靠的。

免责声明
隐私政策
用户协议
目录 22
0{{catalogNumber[index]}}. {{item.title}}
{{item.title}}