Look n Stop 来自法国，被誉为世界顶级防火墙。与同类产品相比具有最为突出的强劲功能以及与众不同的特点，不仅功能评测在知名防火墙中是最强的！而且软件大小只有区区1.10MB，十分小巧，占内存非常小，可以监控dll，更具强大的御防黑客攻击能力，在一个国外专业网站的试用中，它超过ZA、Kerio、Norton等排在了第一。

相关简介(基本信息 基本介绍 特色)

安装(安装步骤 分析)

软件使用介绍(心得 补遗 防范arp攻击)

相关简介

基本信息

软件名称: Look'n'Stop

最新版本: 2.07

授权方式: 共享软件(30天试用)

软件大小: 1.10MB

基本介绍

Look'n'stop是一款占资源少且性能优异的防火墙，使有需要的用户能了解并顺利使用它。

Look'n'stop在2004年度的个人网络防火墙中排名第一。

特色

1.采用了理想中的防火墙结构

记得一位安全专家说过：最安全的策略是先否定所有，再肯定个别。Look'n'stop的原型恰恰是这么设计的，它的策略是先禁止所有本地和所有远程的连接操作，再允许之，真正做到在本机和远程之间建立一堵墙，在初始时不信任任何程序和操作。这一点，比目前多数防火墙的组件控制在理论上更安全。

目前一些防火墙的组件控制功能在安装完成就假定了本机上大部分非可直接运行程序（如DLL文件）是可靠的，故当成信任程序对待。这种处理方式在一个完全干净的系统里能减少用户配置的过程，但全新安装的系统毕竟少数（即使全新安装也未必就是完全干净的系统），那么这种处理方式就有可能恰好把含有非法代码的程序当成信任的，造成安全隐患。

所以从结构上Look'n'stop就有成为王者的先天优势。

2.采用了虚拟硬件驱动

对企图连接网络的程序判断非常精确，能准确向用户提示最直接导致上网的程序，从而由用户做出决定。比如有个叫Hijack的浏览器劫持测试工具，它先生成一HJ.dll，由HJ.dll调用浏览器收发信息，Look'n'stop能向用户提示是Hijack要连接网络，而很多防火墙要么不提示，要么提示是HJ.dll，给用户造成困惑。

3.小巧灵珑，物理内存+虚拟内存共4M左右

安装程序包也极小，不超过700KB，目前还没有任何防火墙能及其左右。

4.几乎所有设置都可以在界面上直接完成，方便快捷

这个特点三言二语也说不清楚，大家可以在后面的使用指南中体会到，总之比多数防火墙的“深层”菜单要方便得多。

5.所有已设置的规则直观明了

应用程序过滤和互联网过滤中能很好地展现出已制定的规则，简洁，直观，大家即将看到。

安装

软件安装的时候有可能会提示将要安装没有通过微软的WHQL签名和认证的驱动程序，直接仍然继续就可以了。另外该软件规则设置较麻烦，而这些对初学者来说都是比较困难的。

安装步骤

安装前请确保已登录到Windows系统的账号具有管理员权限。

双击Look'n'stop安装程序 LooknStop_Setup_205p3.exe 开始安装，在安装过程中会出现一个硬件兼容性提示，此为Look'n'stop的驱动程序，必须选择继续安装；安装完成后不要重启，把语言包文件plugin_language.dll复制到Look'n'Stop的安装目录下(默认是C:\\Program Files\\Soft4Ever\\looknstop)，完成后重启，就应该是中文界面了。如果仍是英文界面，可以打开Look'n'stop后按下面的步骤操作：

1) 点击"Options"选项卡的"Advanced Options"按钮；

2) 点击"Plugins"按钮；

3) 在"Avilable_plugins"框中打勾"plugin_language.dll"；

4) 点击"Configure"按钮；

5) 选中"简体中文"，确定。

分析

本来安装没什么好说的，但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙，最好还是看一看。比如我，在安装lns时候不是那么顺利，出了点问题。

我在3台不同的电脑上安装lns，3台都出现了问题。

第一台的问题是：安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯一的可能是我的mcafee virusscan enerpriese8.0i的设置问题（这是麦咖啡锁定系统文件不让修改的原因，注：水云深浪按）。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是：进安全方式安装lns，重启后再进安全方式，安装lns驱动。第三次重启后lns工作正常。

第二台的问题是：安装正常，不过只能导入一条规则，导入第二条规则铁定跳启，比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题，不具普遍性。

第三台的问题是：安装后，重启，结果死活找不到lns驱动，运行lsn就提示“找不到设备”。后来发现是lns和mdf（mcafee desktopfire 8.0zh）冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他，有他没我，独霸一处的。

软件使用介绍

心得

使用look`n`stop（以下简称lns）防火墙已经有一段时间了，我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后，被lns的小巧内核和强大功能所吸引，而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐，很多人是刚装上lns就卸载了，正是这点吸引我去研究这个只有633kb的软件。

补遗

在看本段使用补遗之前，建议大家先拜读一下zeus首发龙族，后被多处转载的帖子－－《 look`n`stop防火墙中级使用指南（7月19日更新）》。指南很详尽地介绍了lns的设置和使用技巧，正是这个帖子才使我对lns有更深入和全面的了解。

1、不能上网的补遗

有些adsl用户反应装了lns后就不能上网。很不幸，我也遇到了，我在家里的一台电脑装了lns后就不能上网了，不过可以进行pppoe拨号并建立连接，可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度，我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个，一个是不要指定网卡的ip，另一个是在lns的选项标签页中，勾除自动选择网络接口的选项，手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip（不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外）

2、优化补遗

在zeus《look`n`stop防火墙中级使用指南（7月19日更新）》这个帖子的末尾，有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns，并不允许svchost.exe调用其他程序连接。这个设置的思路是对的：是让svchost.exe只访问一个ip的特定端口，阻止一些利用svchost.exe进行调用，并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标，就不能连上网，一些浏览器的跳转也被阻止。所以还是把[禁止启动其他连接]给恢复成[允许]吧。

3、rules－规则补遗

a、新建一条针对特定应用程序才启动的规则时，必须重启该应用程序才能生效。比如，你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则，要让该规则生效（就是暗红的钩子变绿色）必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行，这个规则还是暗红的没有启用。

b、很多高手为我们定制了现成的规则表，直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手，逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴，其监听端口都是不一样的。有些规则不指定ip和端口，只要特定程序运行，就开放所有端口通信，这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制，了解程序访问网络的手续和步骤，还可以锻炼你创建规则和分析问题的能力，虽然麻烦了点，但好处多多。

c、lns对不同的用户建立不同的应用程序过滤列表（网络过滤列表是全局的），如果你嫌麻烦让不同的用户去逐个授权，可以打开注册表，找到hkey_current_user\\software\\soft4ever\\looknstop\\applis这里保存着当前用户的应用程序列表，dll过滤列表也保存在这里哦。以后重装lns就不用授权应用程序了，导入就可以了。

4、漏洞检测补遗

大家可以自己去试试防火墙的可靠性。

漏洞检测：英文为leak test比较著名的检测站点有：

防范arp攻击

关于防范arp攻击（也就是P2P终结者使用的arp原理)

1.首先需要获得网关MAC和本机MAC，只要Ping一下网关，然后用Arp -a命令查看，就可以得到网关的IP与MAC的对应,用ipconfig -all可以得到本机MAC

2.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则，在这个规则前面打上禁止标志；

3.在所有规则的最上面，添加一条规则：1.以太网类型:arp,2.来源等于本机MAC,3.目的等于ff:ff:ff:ff:ff:ff，4.方向为传出

4.在上述规则的下面面，添加一条规则：1.以太网类型:arp,2.来源等于本机MAC,3.目的等于网关MAC，4.方向为传入

5.允许3,4两个规则

应用，保存设置