顶级防火墙LooknStop的配置详解(6)

　　“过滤类型”里提供了3种类型选择，分别为“允许”、“自定义”和“禁止”，如果用户没有为这个程序设置特殊规则，则只会在“允许”和“禁止”两种类型之间选择，否则为三种。直接双击程序名字就可以设置“过滤类型”，里面分别提供了TCP和UDP协议的端口和IP设置，LooknStop强大的灵活设置性能再次体现了出来：单独输入IP或端口，则规定这个程序只能访问用户指定的IP或端口，多个端口之间用分号“;”分隔，IP同上。

　　看到这里，一些用户可能会想，是不是只能设置允许访问的地址呀？其实不然，LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——要设置程序禁止访问的IP，只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可，可以说，LooknStop把“简洁就是美”的信奉发挥到了极致！

　　现在让我们来看看“进程调用”，首先我要简单介绍一下“进程调用”的概念，有时候，一个程序要访问网络并不是通过它自身实现的，而是调用了外置的DLL函数，这样的话，最终访问网络的程序就是那个DLL文件而不是程序本身，许多防火墙都认为，通过程序宿主进程启动进而访问网络的模块也是符合条件的，因此不会做任何阻拦，但是LooknStop仍然不信任任何模块，它会忠实的报告并控制每个子进程DLL的网络连接并提示用户，在如今这个“代码插上翅膀”（线程注射）越来越猖獗的年代里，这样的限制是十分有必要的，很多防火墙正因为过于信任程序调用的进程模块，导致一些DLL类型的木马得以搭载顺风车，给用户的系统安全带来威胁。针对这种情况，LooknStop提供了“进程调用”的控制功能，分别为“允许”（双箭头标志）和“禁止”（红色停止标志），一旦某个程序的“进程调用”被设置为禁止，该程序就只能通过自身访问网络了，所有通过它调用的模块都无法突破限制，这个设置对一些经常被后门搭顺风车的系统程序是很有用的，设置禁止后，我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、Svchost.exe等程序突破传统意义的防火墙连接了。