一些关于网络规则入站和优先级的问题

deniss

黄智琛 发表于 2011-8-22 19:24
开始乃解释的不是很清楚。。
也怪我自己看的不认真，不要在意，再看看

呵呵，没关系~这里主要是想大家讨论，找出问题或者解决问题的方法。

智琛

deniss 发表于 2011-8-22 19:41
呵呵，没关系~这里主要是想大家讨论，找出问题或者解决问题的方法。

最近在想关于ＶＰＮ方面的规则

柯林

deniss 发表于 2011-8-22 19:38
这个我也是这样认为的，这里其实主要想讨论的一个问题是“全局拦截规则的，设置和位置问题”，如 ...

是否合理，个人无法定论，这取决于前提条件的认识：
如果认为毛豆默认规则是空规则，必须由用户制定，理论上来讲，这样的设置是合理的；
如果认为毛豆内部集成处理规则，提供给你的设置画面，是用户自定义规则置顶优先的原则，理论上来讲，这样的设置纯属多余。

deniss

柯林 发表于 2011-8-22 21:21
是否合理，个人无法定论，这取决于前提条件的认识：
如果认为毛豆默认规则是空规则，必须由用户制定，理 ...

先不理会毛豆，有没有内部处理机制。根据应用程序和全局规则的优先级别，第二种设置，是否优于第一种设置？其实发现这个问题是始于，如果在全局有一条全局拦截进入的规则，会导致在应用程序的QQ有的时候收不到别人发送的图片~

柯林

deniss 发表于 2011-8-22 21:51
先不理会毛豆，有没有内部处理机制。根据应用程序和全局规则的优先级别，第二种设置，是否优于第一种设置 ...

既然你全局已经拦截，根据入站时先经由全局规则判断的特点，全局规则已经拦下，程序自然收不到数据。同样的道理，如果全局规则拦截出站，就算程序规则允许发送数据，一样发送不出去。
不讨论内部集成规则，单纯讨论用户设置，逻辑上有如下关系：
A、运用程序规则允许出站，全局规则拦截出站，则应用程序无法发送数据出去；
B、运用程序规则允许出站，全局规则允许出站，则应用程序顺利发送数据出去；
C、全局规则拦截入站，应用程序规则允许入站，则应用程序无法收到数据；
D、全局规则允许入站，应用程序规则允许入站，则应用程序顺利收到数据；

deniss

柯林 发表于 2011-8-22 22:11
既然你全局已经拦截，根据入站时先经由全局规则判断的特点，全局规则已经拦下，程序自然收不到数据。同样 ...

倒是忽略了出站的问题~这规则是以前套用“Defense+分类规则，物以类聚，权以组分~”里的规则的。
从一楼的图中看出~它虽然是全局规则最后拦截了所有出站链接，不过在上面的“允许连出｜允许[TCP/UDP][本地主机]的[所有动态端口]——>[任何主机]的[任何端口]”它却是开了所有出站连接，按照它的意思，应该是想在全局里单独对入站链接进行限制。所以上面写进去的在全局设置一条拦截所有出站链接，是我糊涂了。

这里讨论一下，入站的问题。
A、全局规则拦截入站，应用程序规则允许入站，则应用程序无法收到数据；
B、全局规则允许入站，应用程序规则允许入站，则应用程序顺利收到数据；
C、全局规则允许入站，应用程序规则拦截入站，则应用程序无法收到数据；
D、全局规则拦截入站，应用程序规则拦截入站，则应用程序无法收到数据；

结论：只有全局规则和应用程序规则都允许，应用程序才能顺利收到数据。
但因为作为客户端，主机很少会收到入站连接，所以如果要设置一个拦截全部入站连接的规则，反它放在应用程序规则里，相对放在全局规则里，对规则的编辑自由度，会相对好一些？

柯林

deniss 发表于 2011-8-22 23:46
倒是忽略了出站的问题~这规则是以前套用“Defense+分类规则，物以类聚，权以组分~”里的规则的。
从一 ...

上面已经说得很清楚，应用程序规则是有专门对象才起作用的规则；全局规则是无对象规则，是糊涂账。
从逻辑上推论，如果没有后续补救措施——内部集成的处理机制和相应的规则，将是灾难性的后果。这个灾难性，仅限于从防火墙的角度来说。以整体的眼光来看，就算你突破了防火墙，还有HIPS，未必就得逞。所以无论是否有内部机制，最终结果也基本上是安全的，这就是全局可以开放端口的理论支持。

lorchid

全局规则和应用程序规则所处层面不一样，前者在NDIS起作用，后者在TDI，虽然从逻辑上在任一层面上拦截都行，实际上还是有差别，具体可以搜索下绕过TDI的例子，至于在应用程序规则中添加全局*控制，个人认为可以作为减少部分弹窗和日志；
防火墙模块的处理方式帮助文档中有说明，出站时 应用程序规则->全局规则，入站时 全局规则->应用程序规则；
comodo有内部的状态监测机制，并不是阻止了所有入站就是所有的报文都不能进来了，这方面的细节官方也未做详细说明，但从v3和v5的表现上看这一机制是做过调整的。