[计算机]世界顶级防火墙LooknStop配置详解.docVIP

世界顶级防火墙LooknStop配置详解 作者：小金 难以驯服的烈马：LooknStop 网络防火墙的选择一直是众多用户最头痛的问题，放眼看看现在的防火墙市场，大有群雄逐鹿之势，但是用户并不会因为防火墙产品越来越多而感到欢欣，相反，越来越多人逐渐发现自己已经步入了一个选择的难题：哪一款防火墙产品才是最安全牢固的？ 尽管防火墙产品众多，可是用户只希望能迅速找到一款适合自己的产品，于是许多权威测试机构诞生了，如Firewall Leak Tester等，这些测试机构通过各种模拟和真实环境严格测试防火墙产品的各项安全系数，最终统计出一款产品的总体分数。（图：Firewalltest测试项目列表）因此，我们才得以迅速根据测评结果选择一款能令人安心的产品。 它就是LooknStop，长期位居FLT测评第一名的产品，而且，它还是瑞士银行用以维护自家安全的防火墙系统，其安全性能可见一斑。（图：Firewalltest世界测评排名） 但是，这款强大的产品却极少被发现安装于普通用户的机器上，为什么呢？ 某公司职员小李偶然发现了这款产品的介绍，抱着试一试的心态，他给自己的机器安装了一份程序，可是他却没能享受这款顶级防火墙给他带来的安全保护，反而，它给他带来了许多噩梦：BitComet不能用了、浩方上不去了、迅雷和FlashGet成了残疾、魔兽争霸成了死机的代名词……这到底是护人还是赶人？小李看了一些资料，发现这款产品需要设置，于是，他打开了设置界面……然而，在一堆专业术语面前，小李彻底崩溃了。 最终，小李决定放弃LooknStop，改用国产防火墙了。 无可否认，LooknStop是一款优秀产品，它提供了强大而全面的网络保护功能、具备灵活的自定义入侵检测规则、系统资源和文件资源占用都很小，甚至，通过设置规则，LooknStop还可以代替一部分Sniffer功能实现网络数据包监控…… 但是LooknStop让用户又痛又爱：要使用它，就必须通过最难的一关：防火墙规则设置。这款强大的产品带来了业界公认最麻烦的规则设置，让许多用户面对它的时候，犹如面对着一匹难以驯服的烈马。 难道LooknStop对一般用户来说，就是那么的可望而不可及吗？ 原理篇：规则与通信 以前我们介绍过防火墙的原理，在里面，我提到了“防火墙规则”（Firewall Rules），规则是防火墙的思维，它们其实是一条条描述语句，用于设置防火墙行为等，每一条规则都对应了一种特定的行为判断，防火墙根据规则的内容对符合条件（端口、协议类型、甚至包数据）的数据包给予拦截或通行，当然也可以记录数据。众多的规则结合，防火墙工具才得以给我们带来一个牢固而灵活的安全保护体系。 配置防火墙规则往往是网络管理员最头痛的事情，一个防火墙的工作效率、拦截放行、总体安全系数除了要求防火墙的引擎功能强大以外，就全看规则的设置了，如果防火墙引擎不能识别复杂的数据包结构，那么一些描述复杂的规则就不能正常工作，但是一个防火墙越强大，其相应的规则设置也就更复杂，对这种防火墙而言，一条好的规则就比什么都重要了。（图：防火墙与规则） 规则并不是随便设置的，它围绕着一定的“安全策略”实施，许多防火墙产品在市场上出售时，就已经有了默认规则，而这些规则就是厂商的“安全策略”的实体对象，许多用户安装或购买一个防火墙产品后，就一直没对这些规则做过修改，或者不知道防火墙规则的存在，但是他们依然能得到防火墙的保护，就是因为厂商已经为广大群体套用了“兼容的”规则集合，换句话说，就是用户在接受一款防火墙产品的时候，就已经得到了厂商为大家定制的“安全策略”。但是这种面对大众的策略并不一定适合每一个人，有时候，一些用户会觉得默认规则不太适合自己的实际环境，他们便会根据自己的要求，修改增加这个规则集合，例如一台网站服务器，使用的防火墙默认规则里限制了外部对1024以下低端口号的访问，这显然就和做网站需要开放80端口的要求冲突了，所以网络管理员会修改防火墙规则，去掉这条限制规则或者从规则里除掉80端口的条件。许多用户并不知道，他们删改或增加规则的行为，其实就是自身“安全策略”的实施过程。 但是在把安全策略转化为规则实体之前，我们还必须慎密的思考一件事情，那就是“安全体系结构”。 所谓“安全体系结构”，就是整个防火墙最终为用户带来的安全效果，安全策略可以是片面的，管理员在思考策略的时候不一定要考虑到整体效果，但是当一条条安全策略作为规则集合出现之前，它就必须先转化为面向整体的“安全体系结构”， 这是一种考虑全局的策略集，还是上面的网站服务器例子，管理员需要开放基本的80端口，如果有FTP，还要开放21端口，甚至SSL端口443，这个环境的安全策略则可以描述为以下列表： 开放80端口 开放443端口 开放21端口 但是光有这些还不够，管理员必须保证它与已有