扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
look'n'stop防火墙使用心得
目前成都创新互联已为超过千家的企业提供了网站建设、域名、网站空间、绵阳服务器托管、企业网站设计、遂平网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
使用look`n`stop(以下简称lns)防火墙已经有一段时间了,我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后,被lns的小巧内核和强大功能所吸引,而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐,很多人是刚装上lns就卸载了,正是这点吸引我去研究这个只有633kb的软件。
二、安装:
本来安装没什么好说的,但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙,最好还是看一看。比如我,在安装lns时候不是那么顺利,出了点问题。
我在3台不同的电脑上安装lns,3台都出现了问题。第一台的问题是:安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯一的可能是我的mcafee virusscan enerpriese8.0i的设置问题(这是麦咖啡锁定系统文件不让修改的原因,注:水云深浪按)。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是:进安全方式安装lns,重启后再进安全方式,安装lns驱动。第三次重启后lns工作正常。
第二台的问题是:安装正常,不过只能导入一条规则,导入第二条规则铁定跳启,比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题,不具普遍性。
第三台的问题是:安装后,重启,结果死活找不到lns驱动,运行lsn就提示“找不到设备”。后来发现是lns和mdf(mcafee desktopfire 8.0zh)冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他,有他没我,独霸一处的。
三、使用补遗:
在看本段使用补遗之前,建议大家先拜读一下zeus首发龙族,后被多处转载的帖子——《 look`n`stop防火墙中级使用指南(7月19日更新)》。指南很详尽地介绍了lns的设置和使用技巧,正是这个帖子才使我对lns有更深入和全面的了解。
1、不能上网的补遗
有些adsl用户反应装了lns后就不能上网。很不幸,我也遇到了,我在家里的一台电脑装了lns后就不能上网了,不过可以进行pppoe拨号并建立连接,可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度,我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个,一个是不要指定网卡的ip,另一个是在lns的选项标签页中,勾除自动选择网络接口的选项,手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip(不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外)
2、优化补遗
在zeus《look`n`stop防火墙中级使用指南(7月19日更新)》这个帖子的末尾,有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns,并不允许svchost.exe调用其他程序连接。这个设置的思路是对的:是让svchost.exe只访问一个ip的特定端口,阻止一些利用svchost.exe进行调用,并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标,就不能连上网,一些浏览器的跳转也被阻止。所以还是把[禁止启动其他连接]给恢复成[允许]吧。
3、rules—规则补遗
a、新建一条针对特定应用程序才启动的规则时,必须重启该应用程序才能生效。比如,你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则,要让该规则生效(就是暗红的钩子变绿色)必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行,这个规则还是暗红的没有启用。
b、很多高手为我们定制了现成的规则表,直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手,逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴,其监听端口都是不一样的。有些规则不指定ip和端口,只要特定程序运行,就开放所有端口通信,这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制,了解程序访问网络的手续和步骤,还可以锻炼你创建规则和分析问题的能力,虽然麻烦了点,但好处多多。
c、lns对不同的用户建立不同的应用程序过滤列表(网络过滤列表是全局的),如果你嫌麻烦让不同的用户去逐个授权,可以打开注册表,找到hkey_current_user\software\soft4ever\looknstop\applis这里保存着当前用户的应用程序列表,dll过滤列表也保存在这里哦。以后重装lns就不用授权应用程序了,导入就可以了。
4、漏洞检测补遗
大家可以自己去试试防火墙的可靠性。
漏洞检测:英文为leak test比较著名的检测站点有:
1:诺顿
... fkpxkbqwbhcp=1
2:天网
;;sortid=17
3.sygatetech
4.pcflank
使用LNS防范arp攻击
关於防范arp攻击(也就是P2P终结者使用的arp原理)
1.首先需要获得网关MAC和本机MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应,用ipconfig -all可以得到本机MAC
2.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;
3.在所有规则的最上面,添加一条规则:1.以太网类型:arp,2.来源等於本机MAC,3.目的等於ff:ff:ff:ff:ff:ff,4.方向为传出
4.在上述规则的下面面,添加一条规则:1.以太网类型:arp,2.来源等於网关MAC,3.目的等於本机MAC,4.方向为传入
5.允许3,4两个规则
应用,保存设置
alt+F2可以打开命令行工具,然后在里面输入相应的控制命令。
关机是:shutdown -h now (注:可以加数字格式为:+2表示在两分钟后关机)
重启是:shutdown -r now
建议:去下载一本Ubuntu linux的教材,百度下应该可以找到。
由 1 号inode 读取到连结档的内容仅有档名,根据档名链接到正确的目录去取得目标文件的inode ,
最终就能够读取到正确的数据了。
创建软连接,从下图可以看出软连接的大小是11个字节,对比/etc/passwd和passwdlns可知他们不是同一个文件。
对指向文件的的软连接 :使用cp oldfilename newfilename ,是对软连接指向的文件进行复制,属性和大小都和指向文件相同。
如果只是想复制软连接可以使用:cp -d filename1 filename2
复制指向目录的软连接 :
使用cp -r dir1 dir2 可以看出对于指向目录的软连接的复制是对软连接复制的。
如果我就是相同过软连接复制目录下的全部文件,该如何呢?
使用rm删除文件结果如下,可以看到删除的是软连接文件。
使用rm删除软连接指向的源文件,赶紧将备份的passwd文件还原。
对于目录的删除是对软连接进行删除还是目标目录:
在目录后不加/是对软连接进行操作:
在目录后加上/是对连接目录进行删除:下图可以看出/tmp/testdir的大小已经变成了6了,删除了目录里的全部文件。
对软连接改变权限会对源文件有什么样的影响 :不管是文件软连接还是目录软连接,对软连接进行修改权限,修改的是目标文件和目录的权限
1、Ctrl+Alt+F2启动字符提示界面
2、pwd查看当前目录
3、ls
4、ls -a
5、man ls
6、mkdir test
7、ls
8、cd test进入目录 pwd查看当前工作目录
9、touch newfile
10、cp /etc/profile .
11、mv profile profile.bak
12、ll
13、输入less profile //按p键和空格键向下翻页,按b键向上翻页,按/后输入then关键
字后按回车键,可以对then关键字查找
14、grep "then" profile
15、软连接 ln-s profile lnsptofile 硬链接 ln porfile lnhptofile
16、ll
17、rm -f profile
18、less lnsprofile
19、less lnhprofile
20、删除文件rm -f lnsprofile 显示当前目录下的文件列表ls 回到上层目录cd ..
21、tar -cvf test.tar test
22、gzip test.tar
23、mv test.tar.gz back.tar.gz
24、ls
25、mv back.tar.gz ./test
26、ls
27、cd test显示ls
28、tar -zxvf back.tar.gz
29、ls cp -r test test.bak
30、find / -name newfile
31、rm -f *
32、rmdir test删除
回到上层目录cd ..
利用rm命令删除目录test和其他下所有文件rm -rf test
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
微信二维码
移动版官网