Look'n'stop使用设置指南

当你双击系统托盘里Look'n'stop图标时所打开的主界面；Look'n'stop的界面是标签型的，几乎所有的设置都直接在此界面上完成，共有如下六个标签
   
1.“欢迎”标签：基本运行状态，显示本机的IP地址信息、计算机名、Look'n'stop版本信息和本次开机了的数据流量统计，表示防火墙是否与本机网络设备正确连接并处于工作状态。
  2.“应用程序过滤”标签：本文的重点讲解对象，不忙说它。
  3.“互联网过滤”标签：同应用程序过滤标签。
  4.“日志”标签：地球人都明白，可是不一定知道怎么用，得说说。
  5.“选项”标签：顾名思义，不过还是得唠叨一下。
  6.“注册”标签：一句话，如果注册成功了，“验证”按钮是灰色的，恭喜。
  注意：你在使用下述图解时，请一定先打开Look'n'stop“选项”→“高级选项”→选中“高级模式”，切记。[separator]

  （一）应用程序过滤----专门对程序进行设定，决定应用程序行为的设置
  大家先仔细看看该界面

先看左侧区域，这个区显示是正连接在网络上或者曾经连接过网络目前还没有关闭的应用程序列表。
重点看右侧区域，有N多的门道在里面。猛一看是已允许的信任程序，仔细有很多属性，偶已经列出了11种属性，当然也是全部属性了。同时还可看到应用程序名称和位置信息，能为确定程序的合法性提供一点参考。
现在按此区的“列”来开讲，先确定已选中黑色编号12“应用程序过滤已启用”，否则所做的任何设置都不起作用。
1.第一列只有二种属性，简而言之就是启用或者禁用该规则（即过滤激活），鼠标单击实现二种属性之间的切换。见黑色编号1，黑色编号2所指。
  黑色编号1，是指启用该条规则，也就是说让该程序按既定的规则运行，此所谓的应用程序过滤。如果你不想使为这个程序设定的规则起作用的话，那么点击一下，就会变成黑色编号2所指的样子，此时该规则相当于不存在，当下次启动该应用程序时，Look'n'stop还会询问的。
  2.第二列有三种属性，分别是允许（黑色编号5）、禁止（黑色编号4）、自定义（黑色编号3）。单击则在允许与禁止之间切换，如果有自定义属性，则在三者之间进行切换。
  黑色编号3：黄色圆饼标志。当你为此程序制定了特殊规则，如指定程序只能连接远程的哪些端口、或者不允许连接哪些端口；允许连接哪些地址、禁止连接哪些地址时，则出现黄色的圆饼标志。具体设置方法如下：
  双击某个程序（当然也可以通过点击黑色编号11来实现），就会出现如图3所示的“选择端口和IP地址”窗口，此时你可以设置具体的内容了。


比如，偶的Dreammail邮件客户端，偶只允许它连接远程的25、110和80端口，不允许连接其它端口，那么就按如图3所示进行设置；此时对IP地址没有限制。如果你想让他只连接远程的某个IP地址，那么就在IP地址栏输入。
  这个自定义功能并不只是如此简单，重要的不是允许去什么地方，而是禁止它去什么去什么地方。比如，你的CuteFTP一启动就想去它的主站验证一下它的合法性，那么你就可以在这里设置一下了，而又不影响其它程序（如IE）访问CuteFTP的主站。
  那么，允许和禁止在这里如何区别开来？其实很简单，允许访问的端口或者IP，则直接输入在里面就行。如果你要禁止某个端口或者地址，只要在端口或者IP地址前面加上一个半角的感叹号“!”就行了，是不是真的简单？对了，如果是多个IP或者端口，不要忘记在它们之间加上一个半角的分号“;”即可。如果是端口范围或者IP地址范围，则在起始之间用“-”连接起来就行。
  黑色编号4：红色禁止标志。此标志表示禁止该程序连接网络。
  黑色编号5：绿色允许标志。此标志表示允许该程序连接网络。
  3.现在来看第三列，此列只有二种属性，单击则实现二种属性之间的切换。见黑色编号6、黑色编号7。 这一列是强大功能的一个体现，作用是允许或者禁止此程序调用另一个程序并且使用被调用的这个程序连接网络，也就是说：A程序启动了B程序，B程序有连网企图，此属性就是对这种情况进行控制的。必须打开“高级选项”中的“高级模式”才会出现此列，不打开则不出现但此列的功能实际上在起作用。
  黑色编号6：双箭头标志。为此标志时则意味着允许当前程序去调用另外一个并要使其连接网络的程序。
  黑色编号7：红色禁止标志。为此标志时不允许当前程序去调用另外一个要使其连接网络的程序，当然如果被调用的程序没有连接网络的企图，则防火墙是不出现提示的，如果被调用的程序有连接网络的企图，则防火墙拦截这个连接。
  4.第四列，此列有三种属性，决定了是否记录日志或者弹出提示窗口，其中二种属性与第一列的属性配合才能看到效果。三种属性分别对应于黑色编号8、黑色编号9、黑色编号10。
  黑色编号10：如果是这个标志，则什么也不发生，相当于此功能被禁用。
  黑色编号9：单感叹号标志。此标志表示弹出消息框（如果你在“日志”标签中勾选了“消息框”的话）或在日志中记录（也需要打开“日志”标签中的记录日志功能）该应用程序的连网“企图”，此时要与第一列配合使用，第一列的属性必须是禁止标志才起作用。这个功能的好处太多了，比如：一个被你禁止了的程序，可能也已经关闭了，但在日志中频频出现试图连网的记录，估计它也不是什么好东西，木马常常这么干！
  黑色编号8： 双感叹号标志。此标志表示无论该程序是禁止还是允许连网，都在日志中记录或者弹出消息框。正常使用时最好不打开此属性，调试Look'n'stop时是便利的办法。
  好了，应用程序过滤部分到此完毕。可以看出，Look'n'stop对程序的控制非常灵活且强大，方便简洁，10个属性有36种不同组合。仅一个页面可以实现允许禁止、记录与否、单程序访问、进程调用四种功能的控制

    当一个应用程序需要访问网络的时候，Look'n'stop会弹出如上图A对话框提示，使用两个单选框（虽然看起来是复选的，但只能单选）配合两个按钮可以指定这个应用程序的联网行为，指定了的程序就会显示在上面图2所示的应用程序列表里了，例如图2第6行的TheWorld.exe。单纯点“允许”就是允许该应用程序访问网络，如果同时选择了“只此一次”就是只允许当前的一个连接请求（一个程序连接到一个相同的地方可能会发起几个连接请示而不是一个），如果这个程序再次发起一个连接请求的话，会看到同样的验证提示。如果选择了“只此会话”，会话的意思是这次的Look'n'stop会话过程，这个选项意思是允许直到这次Look'n'stop关闭为止。某些地方说“直到重启系统”，是不严谨的。（选择了“只此ｘｘ”的应用程序会暂时出现在列表中，直到他的验证有效到期，自动被从列表删除）当然相应的选择对于“拦截”也有相同的意义，不再细述。
  有时，还会看到如下这种验证对话框

  
出现图B这种验证对话框的情况就是：一个程序（显示在上面的）启动了另一个应用程序（显示在下面），并且被启动的应用程序连接网络。请注意这种情况，一些木马就有这种行为。
  需要注意的是，在这里选择允许或者拦截，针对的是上面的程序启动下面的程序访问网络这个行为，也就是说，如果选择了“允许”，则在列表中添加了显示在上面的应用程序，其自身禁止访问网络，但是被这个程序启动的其它程序可以访问网络。例如图2中第三行的TMShell.exe。（类似的还有QQ珊瑚虫外挂的CoralQQ.exe，它自身不用访问网络，而是启动了QQ.exe来访问网络）但是，如果这里选择了“允许直接连接”，那么这个应用程序则也可以直接访问网络，选择这个选项的时候应确定这个程序是安全的。“只此一次”和“只此会话”选项的用途和前面介绍的相同。
  还需要注意的是，这个对话框的“允许”只是针对显示在上面的应用程序（如图B中的TWTweaker.exe），也就是说如果被它启动的显示在下面的应用程序(如图B中的TheWorld.exe)尚未验证的话，又会跳出另一个如图A的单独验证对话框。
二）互联网过滤----专门对数据包或连接规则进行设定，也有少量设定涉及到程序，决定网络连接行为及数据包内容的控制
  互联网过滤如图4所示，继续按“列”进行讲解。此页面部分功能与“选项”里的“消息框”、“声音”、“日志”配合使用。

1.第一列，有三种属性。自定义的启动该规则属性、默认的启用该规则属性、不启用该规则属性，分别对应黑色编号3、黑色编号1和黑色编号2。三种属性之间点击进行切换，但如果没有进行自定义，则只在二种属性间切换。
  黑色编号1：绿色带勾标志。此标志表示启用该规则，且该规则没有进行特别的自定义。
  黑色编号2：灰色小圆点标志。此标示表示不使用该规则，也就是说防火墙对网络连接请求进行检查时不与该规则进行匹配操作。相当于这条规则只是临时放在这里，并没有什么作用。
  黑色编号3：暗红色带绿勾标志。此标志表明这条规则只对特定的程序起作用，当此特定的程序启动后，此标志则变为绿色带勾标志，表示规则启用了，否则为暗红色带勾标志，表示这规则暂时未被启用。这种设置方式似乎也没有在其它防火墙中见到，极其特别，也是Look'n'stop灵活的一个体现。它的好处是什么呢？显示易见，当该特定程序没有启动时，就相当于少了一条规则，少一条规则多一分安全是主要的；其次可以加快对规则匹配操作的时间。设置特定程序的方法为双击当前规则，出现一个设置窗界面，如图5所示。

点击此界面黑色编号1窗口上的“应用程序…”按钮，出现如黑色编号2所示的窗口，将此窗口中右侧的列表的应用程序双击添加到左侧，然后一路确定就可以了。图示是偶为BT添加的自定义规则，只有当BT启动后它才启用，平时这条规则相当于不存在，否则会浪费偶的资源的。
  2.第二列，有二种属性。分别是禁止与允许，对应于黑色编号4。此列主要用途是，允许执行与此规则匹配的连接请求，还是禁止与此规则匹配的连接请求。
  黑色编号4：红色禁止标志。此标志表示，当某个连接请求或者操作与此规则匹配时，则禁止该连接请求或者操作。如果是灰色圆点标志，则表示此允许此连接请求或者操作。此属性的好处是，相同的规则内容可以在需要时通行，在另一种情况下禁止。
  3．第三列，有二种属性。记录或者不记录与该规则匹配的操作信息。
  黑色编号6：单感叹号标志。表示当某个连网请求或者操作与此规则匹配时，则记录此操作的信息，这些信息一定会在日志标签的窗口里显示出来。如果你启用了“选项”标签中的“日志文件”功能，则这些信息保存在日志文件中，如果没有启用日志文件功能，则不保存。另一灰色圆点标志表示不记录也不保存这些信息。本人建议在调试某个特定规则时把Look'n'stop的记录功能打开，这样一旦某些软件不能正常上网时，可以在日志中发现并生成规则（后面讲到如何用日志生成适用规则）。
  4.第四列，有二种属性。分别对应黑色编号7、黑色编号8。功能比较简单，但却非常的有用啊。
  黑色编号7：黄色下箭头标志。些标志表示，如果某个操作与此规则匹配时，则直接进行相应的操作（即按第一列、第二列、第三列所定义的属性及具体规则内容进行操作），不再继续匹配后续的其它规则，因为Look’n’stop匹配规则的顺序是自上而下的（故大家最好不要调整那些Look'n'stop默认生成的规则的上下顺序，否则可能导致上不了网）。这种属性带来的好处是：不用将所有规则匹配一遍，极大地减少了Look'n'stop规则匹配操作所用的时间；其次如果你添加了一条过于宽泛自己不知道有没有漏洞的规则，那么你可以关闭此属性，则当有某个操作与此规则匹配后，后续规则继续对其进行检测，以发现问题。
  黑色编号8：灰色圆点标志。此标志表示匹配完此规则后，再继续匹配后续规则。
  5.第五列，有三种属性。对应于黑色编号9、黑色编号10。作用是当有某操作与此规则匹配时，以什么方式来报警。
  黑色编号9：小喇叭标志。此标志表示某操作与此规则匹配时，以发出声音的方式报警。打开此属性必须同时在“选项”标签中选中“声音”选项。
  黑色编号10：双感叹号标志。此标志表示某操作与此规则匹配时，不但发出声音报警，而且跳出消息框报警。也必须同时打开“选项”标签中的“声音”与“消息框”功能，否则不起作用。
  灰色小圆点标志，表示不需要报警。
  此列的属性建议在调试某个规则时打开；建议对系统默认的规则也打开，此时能看到一些异常操作，及时采用措施。对于其它的频繁正常规则，如果打开了会不胜其烦的，建议关闭。比如在你为BT设置的规则上设置此属性，消息框会跳满屏幕。
  最后再说一下，如果你取消对图4右下角的“互联网过滤已启用”选中的话，则此规则表中所有规则都相当于不存在，基本上是门户大开啊，切记！
  （三）规则编辑----定义符合你自己需要的规则
  在Look'n'stop里自定义规则有两种方法，在“互联网过滤”里直接“添加”规则是最难的一种；另一种方法是从“日志”标签里进行添加，则简单得多了，后面再讲到。
  规则编辑窗的界面如图6所示，分为8个区域，按“区”讲吧。分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“标识”、“来源”、“目标”8个区。
[img]http://www.goto133.com/bbs/attachment/Mon_0601/28_330340_62f10c47f3d792首先需要说明的是：Look'n'stop防火墙在编辑规则时该规则是中性的，也就是说在编辑界面上，我们不能够确定该规则是禁止了某个操作还是允许了某个操作，一旦“确定”后，Look'n'stop默认这个规则是禁止与之匹配的操作的；如果你编制规则的目的是想禁止某种操作，那么你只要把规则说清楚，“确定”就行了。如果要允许那些与此规则匹配的操作，再点图4所示的第二列的“红色禁止”标志，则出现灰色小加点标志。这一点与任何防火墙都不同。
  Look'n'stop防火墙的规则的信任关系是基于IP地址+MAC地址的，这是一种理想的信任关系模式。IP地址是可以欺骗的，MAC地址也同样，但IP+MAC的欺骗就困难得多，完全可以对一些关键规则采用这种规则方式，所以Look'n'stop安全性能很好。因而在图6中大家会看到“以太网：类型”和“以太网：地址”区域，使设置显得复杂且常常令人困惑，其实了解了它的作用就不感到复杂了。
  1.“规则名称”区
  黑色编号1：规则名称，给规则起一个易于理解的名字。
  2.“方向”区
  黑色编号2：决定此规则的连接或者数据流方向。你可以定义该规则只对传入的连接（数据）起作用，或是对传出的生效，或对传入传出都起作用。此设置与“来源”和“目标”区有关联，具体请参见本节第6条。
  3.“规则说明”区
  黑色编号3：可以对该规则进行说明，以便了解其它作用。
  4.“以太网:类型”区
  黑色编号4：可能也是让大家头痛的地方，常常不知道如何设置这个地方。“以太网：类型”其实就是告诉防火墙你的机器是局域网中的机器还是独立的一台机器，或者你理解“以太网：类型”就是要告诉Look'n'stop此条规则是适用于网域局中的通讯或者适用于互联网中的通讯。在这里就得多唠叨几句。这个类型里有四种选择，分别是“全部”、“IP”、“ARP”、“其它”，“全部”即指包括“IP、ARP、其它”的全部类型。
  ①“全部”类型极少用到，除非要建立一条严格的阻挡规则，如Look'n'stop的最后一条规则；如果是建立其它的允许规则，请尽量不要使用此类型，否则可能造成安全隐患。
  ②“IP”类型，网络协议类型，用于把数据包从源地址发往目的地，多数情况下选择这种类型是合适的，尤其你的机器是通过非代理非网关直接上网时至少得（选择“全部”当然可以，但开放了不必要的协议）选择此类型；制定那些与互联网连接相关的规则时必须选择它；当然如果规则是局域相关的也同样可以选择它，但不一定起作用，局域网中更多会用ARP类型。
  ③“ARP”类型，地址解析协议，它的作用是把IP地址解析（转换）为与此IP对应的MAC地址，从而找到该机器，只能用于与局域网相关的规则中，用在与互联网相关的规则中会造成该规则不起作用。除非你是在局域网中使用本机，否则不要生成选中此类型的规则；如果你是在局域网中通过代理或者网关上网，那么Look'n'stop默认有一条规则使用此类型，规则名是“ARP : Authorize all ARP packets”，则必须打开并允许此规则，否则你可能无法上互联网（因为局域网内不能通讯）。
  5.“IP”区
  黑色编号5：也就是为当前规则指定协议，共有8种类型。最常用的是TCP和UDP，偶一般人用这二种协议足够，其它协议给高手们用。编号右侧的“碎片偏移”和“碎片标志”涉及到数据包报头标志位，熟悉数据包结构才能理解，且Look'n'stop内置了全状态包检测功能和一些防止利用标志位进行欺骗和攻击的功能，所以通常用默认“全部”没有不良影响。如果选择了TCP协议，则右侧的“TCP标志”是可选的；如果选择了ICMP/IGMP，侧“标志”内容也不同。对于此部分内容，采用Look'n'stop默认的参数是安全的。
  6.“来源”区，我想它后面的一串文字和方向，是造成大家不好理解的重要原因。与其它任何防火墙不同的是：在Look'n'stop的这个规则编辑器里，如果数据流是通过某个端口双向进行 ，则“来源”完全表示本地，“目标”则表示远程，而不管实际的连接请求或者数据包方向，大家在此一定要转变思路。所以，在双向通讯的规则中，“来源”区所填写的参数都是与本地有关的，比如你要打开或者关闭本机的某个端口、允许或禁止本地的某个IP（当Look'n'stop安装在网关或者代理服务器上时有用），都可以把端口、IP地址信息输入在这里，理解了这一点，规则就好编了。而如果数据流是单向的，则“来源”和“目标”的IP地址及端口要填写在对应的“来源”和“目标”位置。
  黑色编号的7、8：用来限定MAC地址的，当编号7选择了“全部”时，后面编号8中不用填任何地址，填了也没用；只有当编号7选择了“等于”或者“不等于”时填MAC地址才有用，而且此时Look'n'stop也应该在代理服务器或者局域网中才真正有用。它的作用就是限制内网的一个或某些机器的特定操作的，具体是什么特定操作还要看其它设置的配合情况。另外，某些拨号软件和认证客户端需要建立一些与MAC地址相关的规则，如部分地区的网通拨号、长宽拨号、一些校园网等。
  黑色编号9：用来对IP地址进行各种组合和排除的，共10种方式，真是了得！当选择了“全部”时，它下面黑色编号11的地址栏是非活动状态不能进行输入的，否则要进行输入。但Look'n'stop有个BUG，即在此输入的IP地址无法输入3位数，解决方法是先能输入多少输入多少，保存后，用文本工具打开Look'n'stop目录里对应的规则文件，按你在此所定义的规则名称，找到你所输入的内容后把IP地址改为3位数保存后，重启Look'n'stop就行了，这个BUG真不应该。
  黑色编号10：用来定义具体的端口号的，此时选择你想要的协议，然后输入端口号。同样黑色编号12也有7种方式，以便对端口号进行排除及组合。
  黑色编号13：用来指定程序的。也就是说，当你指定了程序后，该规则只对此程序起作用，当该程序没有启动时，该规则是不执行的，因而也不会影响到其它程序。比如你为BT制定了特殊的规则，那么就可以在这里设置好，当BT启动后该规则也自动启用。有此功能，就既可以定义特殊规则，又不会让此规则影响到全部程序了。
  7.“目标”区，此区是与 “来源”区相对应的，设置方法相同，一定要注意通讯方向。
  8.“规则编辑”不讲例子是不行的，下面先讲一个开放特殊端口的例子，以BT为例，如图


事先说明偶的BT监听的端口是10521，Bt比较特殊（Emule、Edonkey都是工作原理类似的软件），与其它下载工具的工作原理不同，BT是用其它端口发送连接请求等等信息，而用10521端口来专门进行数据包的传输，故10521端口是不主动向外发送信息，因而当其它的远程BT端收到本地BT发出的信息后，便把回应信息向10521端口发送，默认情况下Look'n'stop便认为这个操作有隐患，故而拦截。那么便需要对Look'n'stop进行设置，让它放这种信息一马，这样BT才能正常工作，可以达到很高的速度，否则会因为BT监听端口失效使速度很低。随便说一下，多数防火墙基于程序的信任程度更高一些，在此类防火墙里，应用程序所打开的所有端口都是对外开放的，也就是说外部程序可以主动联系该程序打开的所有端口，因而不用进行端口设置。看起来没有在Look'n'stop里这么麻烦，但仔细想想，安全性要低一些。就象是在一个正常卖票的窗口旁边有一个本来不是卖票的关着的窗口，但当有人去敲了敲，窗口竟然打开了或许还进行了某种交易！
  言归正传，下面说如何为BT打开这个被动的端口。
  ①首先给该规则起个名，定义方向，略加说明，如黑色编号1、黑色编号2、黑色编号4所示；
  ②然后在“以太网：类型”里选择“IP”，等于告诉Look'n'stop这是一条通关于数据包往来的规则，如黑色编号3所示；
  ③在黑色编号5的“IP”里选择“TCP或UDP”，告诉Look'n'stop这是基于TCP或者UDP协议的数据包的规则（通常在BT里只用TCP协议，但偶在日志中发现它偶有用到UDP，所以也打开了，偶对BT的机制并不完全了解）；
  ④在黑色编号7里不用填任何MAC地址，本规则是对本机的，不需要进行MAC地址的排除组合等。但如果Look'n'stop安装在网关上，而BT在你的机器上，则可以在MAC地址里填写上你的MAC地址，只有你可以用BT了，因为MAC地址在局域网里有唯一性，尤其当局域网是自动分配IP地址时；
  ⑤黑色编号8，IP地址选择“等于本机”就不用手工输入了。同样，如果你的机器在内网，而Look'n'stop在网关上，你就可以指定哪些IP可以使用BT而哪些机器不能使用了；比如你的内部机器IP=192.168.2.4，此时可以在“IP地址”里选择“等于”，并把192.168.2.4填写在黑色编号10所在位置，那么只有这台机器的10521端口可以被外部其它机器连接。大家多试试就可以体会；
  ⑥黑色编号9，选择“等于”，然后在黑色编号11中填写你的BT监听的端口号；
  ⑦点“应用程序”，如黑色编号12、13所示，把你的Bt软件添加上，然后一路确定，回到“互联网过滤”界面，保存和应用就可以了（OK，此时打开BT开始下载，看看“日志”里有没有大量的记录，如果没有则恭喜了，如果有大量的与端口有关的记录，说明某个地方弄错了，再仔细检查一下该规则）。这样该条规则就是BT专用的了，绝对不影响其它程序。
  同样的道理，如果你是想禁用远程机器与本地/本机的某个端口进行连接，那么只要在图4所示的“第二列”为该规则打上禁止标示就可以了，那么此时与该IP地址或者Mac地址匹配的机器的10521端口就永远无法被其它连接，且该端口也无法向外发送信息了。
  上面的例子是控制本地资源的，那么如何限制你本地应用程序对远程机器的访问，下面再举一例，如图

虽然在“应用程序过滤”里已经允许了某个应用程序访问网络，但它不具有全局性，也就是说“应用程序过滤”里的规则优先级低于“互联网过滤”，Look'n'stop先匹配“应用程序过滤”然后再匹配“互联网过滤”，如果在“应用程序过滤”里已经禁止了的，在“互联网过滤”里将继续禁止；如果在“应用程序过滤”里允许了的，那么还得经过“互联网过滤”的审查。但如果你在“应用程序过滤”里指定了具体的IP及端口，则“互联网过滤”不再对此应用程序的对该IP地址或者该端口的访问进行审查，可以直接通过，只是此时定义的IP及端口都是对远程而言的，并非是打开本地的端口。
  在“互联网过滤”的规则表里编写的规则具有全局性，当然也可以仅针对某个特定程序。
  图8是一个禁止与远程某个端口连接的例子，或者理解为禁止本地与远程某个端口进行通讯，此例子规则的具体意思为：禁止与12.10.2.20地址的55555端口进行双向联系。编写一条禁止规则通常如下：
  ①远程机器的信息只能设置在图8所示的“目标”区，黑色编号1选择“IP”类型，编号2选择“TCP”或者其它协议，如果不能确定，填上“TCP或者UDP”也不会有问题。
  在“目标”区域，如果你要禁止具体的某个远程主机，则在“IP地址”里选择“等于”（如果是对所有的远程主机则选择“全部”），然后再下面填写具体IP地址（例子里随便写了个12.10.2.20），“TCP/UDP端口”里填上端口号55555。
  如果这个禁止规则是与某个具体程序对应的，那么点“应用程序”，把具体的程序加入就行了；如果是对本机所有程序的，侧不需要添加任何程序。一路确定，回到“互联网过滤”界面。
  ②如果你想写一条禁止本地/本机的具体地址的具体端口与远程的具体地址的具体端口进行连接的规则时，则在“来源”区域填写你的本地/本机的IP和端口信息，而在“目标”区域填写远程机器的IP和端口信息，完成后默认就是禁止的。通常情况下很难存在一条这样的“允许”规则的，如果允许了也就是“只允许”访问此特定的IP和端口。
  （四）日志标签----告诉你当前阻止了哪些连接；允许了哪些连接（如果你也设置了记录的话，Look'n'stop默认只对阻止的规则进行记录）；可以用来建立特殊规则。如图

当你使用了某些软件并允许了它上网但却不能正常使用，此时可以查看“日志”标签，只是此时日志中不显示对应的程序名称，会显示连续的相同规则名称的一些信息。首先你确保这些信息是因为阻止了此类连接而生成的（通过规则名称在“互联网过滤标签”里看此规则前面是否有禁止标志），然后再看端口号上有没有规律性，当规则名称相同、端口号也有规律性时，就可以用它来生成规则了。
  以例子说明，上图所示为BT在没有打开端口时的日志情况。黑色编号4区显示的是规则名称，几乎完全一样；黑色编号3区是端口；黑色编号2区所示为有一致性的端口号，都为10521（偶的BT监听端口）。从日志可以明显看出，BT的10521端口不允许被外界连接，也就是造成BT下载速度慢的全部原因（虽然已经把BT设置为信任程序了，但对它的端口还是有限制的。）。
  设置方法：在任意一条记录上点鼠标右键，会出现图9黑色编号1所示的菜单，菜单上总共会出现2个选择，你应该用鼠标点从黑色编号3区域中看到的那个频繁出现的端口所在的选择项。如本例中在黑色编号3区域中看到的频繁出现的端口号是10521，则在此菜单上就选择“允许Port10521-服务器”（此处的“服务器”意思是本机被其它机器连接，有点服务器的味道），选择后会返回到“互联网过滤”标签，此时可以看到Look'n'stop已经为你自动增加了一条规则，并为此规则起了一个名称和简单的说明，你可以双击此规则改变规则名称和说明以使你清楚知道此规则的作用。
  回到日志来继续看，如果在某条日志上双击，则出现下图中黑色编号1所示的窗口，在此窗口中可以看到该条日志的详细信息（可惜没有与程序具体对应），有源/目标的IP地址、端口、数据报等详细内容，有经验的用户可以就此进行深入分析，以手工建立规则。在此不详细讲了