防火墙Look'n'stop之应用程序过滤

　　(一)应用程序过滤——专门对程序进行设定，决定应用程序行为的设置

　　大家先仔细看看该界面，如图2：

　　先看左侧区域，这个区显示是正连接在网络上或者曾经连接过网络目前还没有关闭的应用程序列表。

　　重点看右侧区域，有N多的门道在里面。猛一看是已允许的信任程序，仔细有很多属性，偶已经列出了11种属性，当然也是全部属性了。同时还可看到应用程序名称和位置信息，能为确定程序的合法性提供一点参考。

　　现在按此区的“列”来开讲，先确定已选中黑色编号12“应用程序过滤已启用”，否则所做的任何设置都不起作用。

　　1.第一列只有二种属性，简而言之就是启用或者禁用该规则(即过滤激活)，鼠标单击实现二种属性之间的切换。见黑色编号1，黑色编号2所指。

　　黑色编号1，是指启用该条规则，也就是说让该程序按既定的规则运行，此所谓的应用程序过滤。如果你不想使为这个程序设定的规则起作用的话，那么点击一下，就会变成黑色编号2所指的样子，此时该规则相当于不存在，当下次启动该应用程序时，Look‘n’stop还会询问的。

　　2.第二列有三种属性，分别是允许(黑色编号5)、禁止(黑色编号4)、自定义(黑色编号3)。单击则在允许与禁止之间切换，如果有自定义属性，则在三者之间进行切换。

　　黑色编号3：黄色圆饼标志。当你为此程序制定了特殊规则，如指定程序只能连接远程的哪些端口、或者不允许连接哪些端口;允许连接哪些地址、禁止连接哪些地址时，则出现黄色的圆饼标志。具体设置方法如下：

　　双击某个程序(当然也可以通过点击黑色编号11来实现)，就会出现如图3所示的“选择端口和IP地址”窗口，此时你可以设置具体的内容了。

　　比如，偶的Dreammail邮件客户端，偶只允许它连接远程的25、110和80端口，不允许连接其它端口，那么就按如图3所示进行设置;此时对IP地址没有限制。如果你想让他只连接远程的某个IP地址，那么就在IP地址栏输入。

　　这个自定义功能并不只是如此简单，重要的不是允许去什么地方，而是禁止它去什么去什么地方。比如，你的CuteFTP一启动就想去它的主站验证一下它的合法性，那么你就可以在这里设置一下了，而又不影响其它程序(如IE)访问CuteFTP的主站。

　　那么，允许和禁止在这里如何区别开来?其实很简单，允许访问的端口或者IP，则直接输入在里面就行。如果你要禁止某个端口或者地址，只要在端口或者IP地址前面加上一个半角的感叹号“!”就行了，是不是真的简单?对了，如果是多个IP或者端口，不要忘记在它们之间加上一个半角的分号“;”即可。如果是端口范围或者IP地址范围，则在起始之间用“-”连接起来就行。

　　黑色编号4：红色禁止标志。此标志表示禁止该程序连接网络。

　　黑色编号5：绿色允许标志。此标志表示允许该程序连接网络。

　　3.现在来看第三列，此列只有二种属性，单击则实现二种属性之间的切换。见黑色编号6、黑色编号7. 这一列是强大功能的一个体现，作用是允许或者禁止此程序调用另一个程序并且使用被调用的这个程序连接网络，也就是说：A程序启动了B程序，B程序有连网企图，此属性就是对这种情况进行控制的。必须打开“高级选项”中的“高级模式”才会出现此列，不打开则不出现但此列的功能实际上在起作用。

　　黑色编号6：双箭头标志。为此标志时则意味着允许当前程序去调用另外一个并要使其连接网络的程序。

　　黑色编号7：红色禁止标志。为此标志时不允许当前程序去调用另外一个要使其连接网络的程序，当然如果被调用的程序没有连接网络的企图，则防火墙是不出现提示的，如果被调用的程序有连接网络的企图，则防火墙拦截这个连接。

　　4.第四列，此列有三种属性，决定了是否记录日志或者弹出提示窗口，其中二种属性与第一列的属性配合才能看到效果。三种属性分别对应于黑色编号8、黑色编号9、黑色编号10。

　　黑色编号8： 双感叹号标志。此标志表示无论该程序是禁止还是允许连网，都在日志中记录或者弹出消息框。正常使用时最好不打开此属性，调试Look‘n’stop时是便利的办法。好了，应用程序过滤部分到此完毕。可以看出，Look‘n’stop对程序的控制非常灵活且强大，方便简洁，10个属性有36种不同组合。仅一个页面可以实现允许禁止、记录与否、单程序访问、进程调用四种功能的控制。

　　黑色编号9：单感叹号标志。此标志表示弹出消息框(如果你在“日志”标签中勾选了“消息框”的话)或在日志中记录(也需要打开“日志”标签中的记录日志功能)该应用程序的连网“企图”，此时要与第一列配合使用，第一列的属性必须是禁止标志才起作用。这个功能的好处太多了，比如：一个被你禁止了的程序，可能也已经关闭了，但在日志中频频出现试图连网的记录，估计它也不是什么好东西，木马常常这么干!

　　黑色编号10：如果是这个标志，则什么也不发生，相当于此功能被禁用。

　　附上验证应用程序时的说明

　　当一个应用程序需要访问网络的时候，Look‘n’stop会弹出如上图A对话框提示，使用两个单选框(虽然看起来是复选的，但只能单选)配合两个按钮可以指定这个应用程序的联网行为，指定了的程序就会显示在上面图2所示的应用程序列表里了，例如图2第6行的TheWorld.exe.单纯点“允许”就是允许该应用程序访问网络，如果同时选择了“只此一次”就是只允许当前的一个连接请求(一个程序连接到一个相同的地方可能会发起几个连接请示而不是一个)，如果这个程序再次发起一个连接请求的话，会看到同样的验证提示。如果选择了“只此会话”，会话的意思是这次的Look‘n’stop会话过程，这个选项意思是允许直到这次Look‘n’stop关闭为止。某些地方说“直到重启系统”，是不严谨的。(选择了“只此xx”的应用程序会暂时出现在列表中，直到他的验证有效到期，自动被从列表删除)当然相应的选择对于“拦截”也有相同的意义，不再细述。

　　有时，还会看到如下这种验证对话框

　　出现图B这种验证对话框的情况就是：一个程序(显示在上面的)启动了另一个应用程序(显示在下面)，并且被启动的应用程序连接网络。请注意这种情况，一些木马就有这种行为。需要注意的是，在这里选择允许或者拦截，针对的是上面的程序启动下面的程序访问网络这个行为，也就是说，如果选择了“允许”，则在列表中添加了显示在上面的应用程序，其自身禁止访问网络，但是被这个程序启动的其它程序可以访问网络。例如图2中第三行的TMShell.exe.(类似的还有QQ珊瑚虫外挂的CoralQQ.exe，它自身不用访问网络，而是启动了QQ.exe来访问网络)但是，如果这里选择了“允许直接连接”，那么这个应用程序则也可以直接访问网络，选择这个选项的时候应确定这个程序是安全的。“只此一次”和“只此会话”选项的用途和前面介绍的相同。还需要注意的是，这个对话框的“允许”只是针对显示在上面的应用程序(如图B中的TWTweaker.exe)，也就是说如果被它启动的显示在下面的应用程序(如图B中的TheWorld.exe)尚未验证的话，又会跳出另一个如图A的单独验证对话框。