繼《活用Lns，簡易打造安全防護體系》一文後，已經有一年多了，如今我的筆記本已經換上了Windows 7 32bit企業版，新購的桌上型電腦用上了Windows 7 64bit企業版，先後也安裝了Look 'n' stop firewall 2.07。在此分享一下我的系統安全觀點和防火牆搭配策略，與以前相比，大致的思路是一致的，細節處理上有些更新，當然有很多內容在懂行的人看來是老生常談了。

系統防禦是基於主機的防護，Win 7系統提供了更好、更高的安全考慮。首先是DEP，Win 7延續了從XP時代就有的這個安全功能，我一般習慣是針對所有程式開啟DEP。當然，Bios裡要確認一下，是否啟用了CPU的DEP功能；據說微軟現在還為硬體不支援DEP的機子提供了軟體解決方案。其次是大名遠播的UAC，它能夠對系統關鍵位置提供有效的保護，我推薦開到最高安全模式。然後是APPlocker，這個簡單實用即可，建立預設規則和自定義規則，太複雜的設計我個人不太喜歡，因為記憶力不太好，日後維護起來很難。登錄檔個別位置如HCU下的系統啟動項，許可權限制一下；系統服務，不必要的統統禁用，自啟動的專案儘量減少；組策略賬戶許可權那裡，禁止任何遠端賬戶連線，本地賬戶只有管理員可以關機，稽核策略上增加一些失敗行為的稽核。做了這些，還是不夠的，需要一款殺軟來實時監控。我是微軟控，從前喜歡小紅傘，自從知道微軟的MSE後就成了MSE的粉絲了。微軟自己的殺軟監控，很有前景；況且從目前看，已經是很給力了。DEP是防溢位的，UAC是防系統破壞，但繞過UAC的東西還是會存在。一種是繞過UAC防護的盲點，一種是從根本上繞過UAC；前者是癬疥之患，後者比較可怕，容易對系統造成較大的破壞。所以，一款實時監控的殺軟那是肯定需要的。其次，作為一個微軟控，一定要保持系統及時更新漏洞補丁，0Day對於我們一般人而言不算可怕，可怕的是已經爆發確認而我們還不去採取措施。重中之重，還有上網瀏覽器的選擇，我推薦火狐，IE作為不相容時候的備用。火狐外掛不必太多，一款好的下載外掛，一個AD block plus防廣告，一個No script防惡意程式碼，瀏覽器能做到這個防護地步足矣。除了這些，就是下載安裝軟體要小心了，儘量使用論壇眾多使用者推薦的精品、綠色、印象好、來源正的軟體。強盜不算可怕，在正義的位子上不做正義之事才更可怕，需要擦亮眼睛加強監護。

下面說說防火牆。
Win7的防火牆非常智慧，提供了三個安全策略模板，能夠根據檢測到的網路型別來靈活選用安全性高、中、低的策略，並且提供使用者自定義的設定空間。能做到這一點的個人防火牆是很少的，至少我自己還沒有發現，一般就算是提供了策略，也是讓使用者自己更多來參與改造、調適的。Win7防火牆的配置必須在管理員提權模式下才能更改，這一點保障了防火牆的執行穩定性。內建的規則適應性非常好，基本上不會給使用者帶來使用上的故障；應用程式入口放行也非常智慧，可以配合不同的網路環境自動調整其規則的安全度，並且預設禁止繞過邊緣遍歷（在NAT邊界之外的入站連線；太智慧了！）。Win7系統牆有強大的TCP/UDP狀態檢測，預設丟棄網際網路上不會出現的不合法IP地址來源的資料，丟棄不合法的入站連線，在“公共”網路模式下實現隱身，核心機制上防禦一些TCP/IP的典型***。另外，系統安全中心實時監控系統防火牆的執行狀態。所以，擁有如此強大、智慧的一款防火牆，棄之不用實在是暴殄天物。

我們需要做的，只是查漏補缺，在Win7防火牆之外增加一款輕量級、防護精細、二者完美相容的防火牆——Look 'n' stop firewall。目前這款防火牆支援Win7 32/64bit，支援IPV4/V6，也各有相應的外掛以及各語言介面的支援，更有眾多愛好者提供的中文教程、規則包等等，使用起來非常容易（我個人覺得）。還有一個好處就是，Win7牆的內建策略設計本身是很和諧的，輕易不要去改動它，而且改動起來還要管理員提權，編輯比較麻煩，不如Lns介面直觀，改動操作容易。

Lns使用的是IM NDIS層驅動，並且對網路協議提供清晰直觀的監控（又是一個優勢），這一點對於安全很重要。我們知道，Win7系統有DEP、UAC等等一系列安全措施，但總會有漏網之魚成功潛入系統的，而且披著羊皮的狼讓你防不勝防。一旦有網路驅動級的***程式成功繞過Win7系統牆的過濾，你的防護就等於國門打開了。所以，Lns在這一點的防護功能非常重要，如圖：

Lns的其他貼心設計，比如Raw模式的規則編輯外掛、雙向過濾規則（無需像有的防火牆那樣逐一指定，讓使用者容易犯錯）、開機前禁止任何聯網資料出入、DLL檢測過濾（win7 32bit）、良好的應用程式過濾介面、SPF機制……，這一切，只要你瀏覽一下相關的教程、介紹文章就會知道。

對於“Win7系統牆+Lns”防護方案的使用者而言，上面的內容你瞭解即可，下面主要說明一下我們在網路過濾方面（應用程式過濾參我的舊文《活用Lns》）的措施：
# ARP
Win7系統在ARP協議處理方面有較大改進，系統會主動傳送本機的ARP資訊單播資料，向與自己有通訊關係的主機確認雙方的正確Mac資訊。這一點對抵禦ARP欺騙而言，是一個很大的進步，以往只有ARP專業防火牆才會這樣做。但是這還遠遠不夠，所以，我們仍然需要在Lns上實現ARP協議的狀態檢測，以及加強ARP相關的抗***措施。
# UDP
系統牆雖然強大，有針對UDP協議的狀態檢測，但在一些基礎應用服務上沒有提供防護規則（很多個人/企業防火牆也不會提供這樣的防護）。例如時間伺服器應用（NTP）的***、DHCP分發機制帶來的欺騙***、DNS協議機制帶來的DNS劫持，這些方面的防護，Lns恰恰能夠做到較完美的防護。
# ICMP
Win7系統牆內建有相關的防護措施，也有較強的適用性。但針對利用正常的ICMP應用實施***的行為，則幾乎絕大部分的防火牆產品無以應對。但Lns能夠實施ICMP的狀態檢測，同時讓網路規則與活動的應用程式繫結，智慧地開放或關閉ICMP的大門。
# TCP
這一方面，系統牆已經做的很好。Lns要做的，只是應用程式過濾方面的防護了。當然，你如果需要定製一些特殊的防護，看Lns的網路規則介面你就知道，這是太容易實現了。
# IPV6
目前IPV6還沒有廣泛採用，相應的***也不普遍，這方面就依靠Win7系統牆的內建規則了。以後這方面的***增多，相應我們也可以採用一些防護措施來加強防禦。
以上內容參圖：

說了這麼多，只是一個Lns愛好者的衷心推薦，所以提供的圖示不多，更多詳細的實施細節不提供了，太花精力。總之，這個防護安全方案的特點就是：高智慧+高靈活+高安全+高可用+高流暢+低維護成本。對我自己而言，這個方案讓人很放心，很貼心。
最後附言：
對於網際網路的安全而言，以上只是基於主機的防護措施。個人要做的，還需一款可靠的×××代理，出行必備，尤其是在一些較大的公共場合。還有一點，要做一個有理性的網路公民；很多時候，淹死的都是“會水的”，落水是一些人的宿命，要有提高防護能力的覺悟，也要有隨時為自己言行負責的覺悟。

2011.08.29

轉載於:https://blog.51cto.com/tansuozhe/651977