顶级防火墙LooknStop的配置详解(4)

  　当所有准备工作就绪后，我们就要开始把方案转化为实体了，这就是防火墙规则设定。

　　前面说过了，防火墙规则就是一条条用于描述防火墙在遇到什么类型的数据包的时候应该怎么做的命令语句，根据防火墙核心能识别的深度差异，不同防火墙的规则定义也不尽相同，但是基本上都离不开这几个基本参数：数据包方向、数据包地址、范围、协议类型、端口号、标志位（TCP）、包类型和代码（ICMP）、以及满足条件时的防火墙动作（通行、拦截、忽略、记录）等，正是这些参数的各种搭配构筑了最终得以保护用户免遭网络攻击的一条条规则，成为用户的安全体系结构，一款防火墙产品核心能识别的数据类型越多，相对应的规则设定就越复杂，这是一种鱼和熊掌不可兼得的事情，因此，学习防火墙规则设置是每个管理员或专业用户都必要的。

　　防火墙的性能取决于最终的规则设定，稍有疏错，再强大的核心也只能发挥入门级的防御了。

　　例如，一个用户在设置防火墙规则时取消了低端口访问限制，却遗忘了139端口可能带来的危害，不久后，该用户机器被入侵者成功连接并种植了后门。、

　　这种情况下，我们该责怪防火墙，还是责怪用户规则设置得不严密呢？

　　这是个问题。

　　同样，LooknStop在为用户带来强大防御功能的同时也带来了规则复杂难以设置的代价，许多用户第一次打开它的规则设定界面时，傻了——包括我在内。

　　正因为这样，许多用户选择了退而求其次的道路，改用了其他防火墙产品。难道LooknStop就真的那么难以驯服吗？

　　今天，就让我们一起来驯服这匹上好的烈马。

　　1.概述

　　LooknStop作为一款强大的防火墙，其采用的原型是非常严格的，首先，LooknStop先禁止所有本地和远程的网络访问操作，然后才逐项允许，在初始时不信任任何程序和网络操作，正是因为这过于严厉的策略原型，LooknStop才能成为一堵树立在系统和网络之间的“墙”，而也正是因为这样的模型，LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对LooknStop时吃的第一个下马威：无法连接网络。