写给新人的 Comodo V3 指南

ubuntu

前言

本文是写给从未使用Comodo的新人和只使用Comodo V2.4，但没有使用HIPS经验的用户，力求浅显易懂，不求十全十美，只有一点私人体会。没有100%的安全，我尽力站在开发者和新人的角度，做到最简单的操作，尽可能地安全。 具体某些具体细节和操作，如果有疑问，可以结合baerzak版主的帖子一起看。
本文系作者原创，转贴请注明出处。



第一部分 Comodo Firewall Pro V3 简介




啥是Comodo V3，没听说过？
Comodo V3 是一款刚刚发布的全新XP/Vista桌面安全软件，完全免费，包括了HIPS 和 Firewall(很水产)。提供了对于各种恶意威胁的最大保护。Comodo V3 是一款革命性的个人桌面安全产品，将引领桌面安全产品的转型，未来HIPS 将成为你安全体系的最重要的组成部分，是防御各种恶意软件，网络入侵的第一道防线。

Comodo V3 增加了什么新功能？
支持32位/64位 XP SP2/Vista 系统
Defense+ Host Intrusion Prevention System(HIPS)
增强的防火墙引擎
申请专利的Patent Pending  模式
全新的图形界面和安全策略设置界面
增强的恶意软件行为启发分析
全新的“学习模式”和“CleanPC模式”
庞大的白名单，Comodo Safe-List 数据库
Windows 安全中心集成

HIPS 是啥(我晕)？
HIPS 全称是 主机入侵防御系统 ( Host Intrusion Prevention System)，通俗的讲就是系统防火墙。Comodo 给自己的HIPS 命名Defense+ (简称D+) 。 Defense+ 是一个极其强大的HIPS，还在不断完善中。
Defense + 可以保护你的系统资源(文件、注册表)不被恶意篡改， 可以保护你的私人文档，各种密码不被木马窃取，可以阻止病毒、木马的运行和对系统的破坏，可以阻止Rootkits 在你的系统留下后门。
Defense + 就是病毒将要QJ你的系统时，你可以反过来QJ它的武器。

啥是 Firewall(我再晕)？
Firewall 主要负责控制网络通讯，过滤有害或者没用的垃圾数据包，只允许你批准的程序访问网络，防御来自网络的攻击。
Comodo V3 增强了防火墙引擎，提高了对P2P程序的支持(不影响速度、不占用CPU)。
Comodo V3 提供了ARP 保护，保护你的ARP缓存不被非法修改。

第二部分 为什么要使用HIPS (Defense+)

HIPS的分类
我认为HIPS至少分为三类：
Classic HIPS，也就是传统意义上的HIPS，包括SSM、PS、EQ，Comodo 的Defense + 是Classic HIPS。
Smart HIPS 所谓智能型的HIPS，不多谈。
Sandbox HIPS 沙盘型的HIPS，Sandbox HIPS 三巨头：DefenseWall、GeSWall、Sandboxie，此外还有BufferZone、SafeSpace.

我个人使用Classic HIPS + Sandbox HIPS的组合，因为我很懒，最近也很忙。
Comodo V3(完全免费) + DefenseWall 2.09特别版(100年key，不提供升级服务)(CD组合)
我个人推荐的完全免费HIPS组合还有 EQ + Comodo，EQ下一个版本3.5将会有沙盘加入。(CE组合)
另外普通用户可以使用的组合有：Comodo V3(关闭D+) + ThreatFire或微点或卡巴主防... + 一款杀软

为什么要使用HIPS (Defense+)
目前，特征码杀毒早已滞后于新病毒的产生，传统杀毒软件对新病毒的检出率也就是5x%-6x%，最多7x%,纷纷引入主动防御。我给你一幅图，请不要和我讨论哪个杀毒软件好，我拿这张图是为了说明为什么增加HIPS 作为防御体系一部分，因为 HIPS不依赖特征码，可以在杀毒软件的真空期，应付几乎所有的未知威胁。我本人在使用Comodo V3 Beta 和 DefenseWall 2.0组合以后，就已经放弃了使用杀毒软件实时监控系统，而只是用来手动扫描。
我在这里推荐新人增加免费的红伞监控，组成ACD组合或者ACE组合。

12月

10、11、12月






第三部分 安装Comodo V3

下载地址：http://www.personalfirewall.comodo.com/download_firewall.html

安装Comodo前，你需要卸载其它第三方防火墙(防火墙只需要一个，两个防火墙装一起，有可能轻则不能上网，重则蓝屏死机)，关闭Windows 防火墙。重启。

用杀毒软件扫描系统，保证你的系统是干净的。 如果你喜欢收集病毒样本，先将这些样本用压缩软件打包。

断开网络连接，暂时停用你的一切保护，双击安装程序开始安装。


这里可以选择 Advanced Firewall with Defense+ (包过滤防火墙 + HIPS)，或者不需要安装HIPS，可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择安装高级防火墙，以后在使用中，也可以选择不激活Defense + 而成为一个包过滤防火墙。
图2



注意这里，新手要选择P2P 友好模式(Yes)；对V2.4 比较熟悉的，会自己设置P2P规则，可以选择(No)。
图3



安装结束以后，去掉Restart the Computer 的勾，Finish。
图4



我们接下来要备份默认规则，运行regedit 导出注册表：HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro

双击运行Comodo，在 MISCELLANEOUS -> Manage My Configurations 用Export 导出设置。
图5


为啥备份默认规则？
因为，怕你以后胡搞瞎搞，整的连系统都进不去了，好跑到安全模式，删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro，然后恢复默认规则。

右键点防火墙托盘图标，去掉 Display Ballon Messages ，这个选项本来就应该去掉的，以减少对用户的打扰。
图6



在 MISCELLANEOUS -> Settings -> Update 去掉 Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。
图7


开始菜单 运行里输入 services.msc 将Terminal Services 设置成手动，并且启动。
其实这里设不设置都无所谓，不过开机可以看到绿色的已启动，比还在初始化要舒服。
图8


在 MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging，取消记录日志，大多新人看不懂日志，不如取消，等有问题的时候再打开也不迟。
图9


安装结束，重启系统。




第四部分 Defense+ 基本设置

自动检测私有网络
Comodo V3 在安装以后会自动检测本地网络连接，弹出相应的提示：
是一个带有掩码的IP地址段，比如：192.168.1.100/255.255.255.0、 10.200.1.62/255.255.255.252
通常，拨号上网，只要点OK 就可以，或者勾上不自动检测； 局域网如果需要共享文件，需要勾上相应的选项。
图10



完全禁用Defense+(高级防火墙和基本防火墙切换)
Defense+ 是Comodo V3 的HIPS（主机入侵防御系统），可以最大程度防御已知和未知的威胁；在得到更加强大的保护的同时，用户需要进行更多的设置，需要处理更多的弹出窗口。禁用Defense+ 以后 Comodo V3 只是一个单纯的防火墙。
为了满足不同用户的需求（使用其它HIPS、或不想使用HIPS），Comodo V3 提供了禁用Defense+ 的选项。
DEFENSE + ------> Advanced -------> Defense+ Settings
图11



安全等级
安全等级决定了 Comodo V3 对不同类型的程序如何处理，是否采用学习模式，或者弹出提示。
建议经过适当时间的学习，所有常用程序设置好规则以后，将Network Defense 设置为 Custom Policy Mode，将Alert Frequency Level 设置为 Very High/High 。
如果安装时系统是干净的(所有硬盘分区)，将Proactive Defense+ 保持为 Clean PC Mode 是最佳选择；还可以设置为Train Safe Mode。
Paranoid Mode 不推荐普通用户使用。
图12



基本设置方法
新手使用Comodo V3 是很简单的，只需要运行自己常用的软件，帮助Comodo 学习你使用软件的方式。Comodo一般不会打扰你，只在必要的时候给予提示，当碰到提示的时候，如果是网络软件或易被病毒利用的程序，选择 Allow this request & Remember my answer & OK。 对于，不需要上网的一般程序选择 Treat this application as
Trusted Application & Remember my answer & OK 。


Clean PC Mode是王道
Comodo 默认安装以后Defense+ 使用“Clean PC Mode” 。
对于新人来说，Clean PC Mode 是王道，最好的选择。
Clean PC Mode 的前提是你的电脑必须干净，所以，我才会在安装前提示你杀毒。
Clean PC Mode 假设你的电脑硬盘里的当前所有程序是安全的，学习它们的操作，一般不会提示；
假设移动存储设备、网络是不安全的，对于以后新加入的文件，将认为是不安全的，任何操作都将给予提示。
Clean PC Mode 和 My Pending Files 密切相关，My Pending Files 里的文件是唯一在Clean PC Mode下被Comodo认为不安全的文件，当从网络上下载一个新的程序(exe)到硬盘里，或从RAR解压一个exe 文件，Comodo 将会将它加入My Pending Files，成为不受信任的文件。以后运行这个程序将弹出提示。

Clean PC Mode 和 My Pending Files 是Comodo 申请专利的技术，Comodo V3 的启动splash 有 patent pending 字样，就是指这个。 Clean PC Mode 和 My Pending Files 提供足够的保护的同时，保证了 Comodo V3的简单易用，最大限度地使用学习模式，是易用性和安全性平衡的典范。

我推荐新人使用Clean PC Mode 。我本人也在测试和使用Clean PC Mode ！


等待审核的文件 My Pending Files
Comodo V3 没有SHA/MD5 这样的文件Hash系统，而是使用文件保护和实时追踪系统文件变化。
新建立、更新、修改的可执行文件(包括exe、dll、sys等)，都会被加入 My Pending Files 等待用户审核。

My Pending Files 的文件是不信任的，任何动作都将会提示。为了保证系统安全，在Clean PC Mode 下，必须100% 确认这些文件是安全的，才能用Remove移除，一旦移除，这些文件将会成为安全的，Comodo 对以后的一般操作都不会提示。对于不确认的，请保留到 My Pending Files 直到最后确认是否安全。对于，不存在的或者临时文件，可以用Purge 移除。 对于不安全的，直接在资源管理器里彻底删除。
图13




安装模式 Installation Mode
Comodo 提供了安装模式，可以在安装新程序时，减少提示。
首先要确保安装程序100%安全，然后运行，选择 Treat this application as an Installer or Updater 即可。
图14



Comodo 会提示 是否切换到安装模式，选“Yes” 进入安装模式，不同意的选“No”。
图15


由于处于安装模式的程序具有很大的权限，所以Comodo会定时提醒你，切换回从前的模式(安装完选Yes)。
图16




Image Execution Control Settings
加入：*.com, *.bat, *.pif *.cmd *.sys
图17





第五部分 Firewall 基本设置

Comodo 默认安装以后Defense+ 使用“Clean PC Mode”，Firewall 使用“Train With Safe Mode” 。
为什么不在Firewall 里也搞个Clean PC Mode呢？ 因为网络是不安全的，一旦一个程序有访问网络的权限，它就有可能危害你的系统和个人隐私，Firewall 的Clean PC Mode 没有意义。

Train With Safe Mode 只学习Comodo 白名单数据库里的安全程序的网络规则，这在干净的电脑上是安全的。对于不认识的程序，将会提示。


调整Firewall设置

在学习规则前，我们先调整一下防火墙设置。
1.修改My Port Sets -> POP3/SMTP Ports
Comodo 268 默认的和邮件有关的端口，少了几个，我们添加一下，最后是：
110、25、143、465、587、993、995

2. 新建一个Dangerous Ports 危险端口组，添加：
135、137-139、445

3. Firewall -> Common Tasks -> Stealth Ports Wizard
你可以在这里添加局域网信任区域；
你可以在这里选择P2P 友好模式；
你可以在这里选择完全隐身模式，以后自己象V2.4 那样添加规则。
图18


我个人使用P2P 友好模式。

4.自定义Global Rules

Comodo V3 的Global Rules 相当于 V2.4 的Network Monitor；
Comodo V3 的Application Rules 相当于 V2.4的Application Monitor 。

Firewall -> Advanced -> Network Security Policy -> Global Rules
添加一些规则，注意所有允许的规则都放在阻止的规则上面，因为 Comodo Global Rules 由上至下匹配。
这里只针对拨号上网用户，和不开服务的用户。
局域网用户，需要首先检查和添加，信任局域网的规则。
然后添加规则：
阻止对本机 Privileged Ports[0-1024] 的访问，普通用户，不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问，由于前面开了 Terminal Service，在这里阻止远程协助端口，以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

建议经过适当时间的学习，所有常用程序设置好规则以后，将Network Defense 设置为 Custom Policy Mode，将Alert Frequency Level 设置为 Very High/High 。

[ 本帖最后由 ubuntu 于 2008-1-6 18:31 编辑 ]

天易飞飏

多谢U版了！支持！很详细！再支持！
不好意思！U版，占了位置，如果需要请将我这贴删除，以保持教程的完整和连贯！
再次支持，另希望U版能整理一下常用的软件的规则和设置，但工作量一定很大，如有需要或我能帮上忙的，请直言！再次抱歉并感谢！


[ 本帖最后由 天易飞飏 于 2007-11-27 11:27 编辑 ]

ubuntu

占位

ubuntu

占位

ubuntu

占位

ubuntu

很好，很水产，待续！

快巴

卡位，这两天正在学习，多谢

baerzake

支持，楼上有人插队了啊

ubuntu

直播结束啦，有空再接着写！

sxingbai

什么叫水产？