Firewall 模块
The Firewall Task center防火墙任务中心可以方便快捷的设置所有有关防火墙的配置。也分为二个部分:Common Tasks常规功能和advanced高级功能。
Commom tasks常规功能
界面
View Firewall Events查看防火墙日志
这个是记录了所有的程序或进程尝试连接时触发了网络安全策略时的日志。
Application应用程序
表示哪个程序或进程触发了规则。
Action动作
表示防火墙做出的动作。
Protocol协议
表示程序尝试创建连接时使用的网络协议。通常是最常用的tcp/ip或者udp协议。
Source ip来源ip
表示准备创建连接到主机的IP地址。
Source port来源端口
表示尝试连接到本机的IP使用的端口。
Destination ip目标ip
表示来源IP准备连接到的IP地址,就是你自己电脑的IP。
Destination port目标端口
表示来源IP尝试通过你的某个端口连接你的电脑。
Date/time日期时间
日志触发时间。
Define a New Trusted Application定义一个新的信任程序
Comodo允许事先配置信任程序,使它们拥有访问网络的权限。这些程序以后接受和发出信息都不会被comodo拦截。
Define a New Blocked Application定义一个新的阻止(不信任)程序
comodo允许你事先配置阻止程序列表,在此列表上的程序都不能访问网络。所有进站和出站请求都会自动阻止并记录日志。
Stealth Ports Wizard隐藏端口设置
隐藏端口是表示通过某端口连接到网络的PC如何隐藏此端口,使网络上的随机端口扫描无法扫描到此端口。
我们的电脑通过一种称为“端口”的接口来向其它电脑和网络发送或接受数据。每台电脑上大概有65000个端口,其中有一些特定端口一直是为某些服务准备的,例如你的浏览器访问网络时会向主机的端口80和443发出请求连接网络。你的邮件程序会向主机的端口25发出请求连接邮件服务器。端口扫描攻击就是对你电脑的每一个端口发送消息。这种信息收集技术被黑客用来发现哪些端口是打开的哪些端口正在被系统中的服务所使用。有了这些信息,黑客就可以知道用哪种攻击对你的系统最有效并使用它来攻击你的电脑。
有效的隐藏端口可以使端口扫描无法扫描到此端口。这不同于简单的关闭一个端口,因为它不会对任何连接尝试做出回应(关闭的端口会向黑客回应此端口“关闭”如此一来就证实了这台电脑的存在。)隐藏端口可以使你的电脑达到一个非常高的安全等级。如果一个黑客或自动扫描器不能看见你的电脑端口那么它们会认为你的电脑没有联入网络然后去寻找下一个目标。而你依然和原来一样可以连接网络收发信息,但是对于外部世界来说的你的电脑是不存在的。
Define a new trusted network - stealth my ports to EVERYONE else
对所有人隐藏端口除了我定义的信任网络
选择这个是指你的电脑端口将对所有人隐藏,除了你特别指定信任的网络。
Alert me to incoming connections - stealth my ports on a per-case basis
当有联入请求时提示我,如果没有得到我的允许隐藏我的端口
当每一次有联入请求时你会看到报警提示,会询问你是否允许联入。这个对于P2P以及远程桌面程序这些需要可见的端口才能使用的程序很有用。
Block all incoming connections - stealth my ports to everyone
阻止所有联入请求,对所有人隐藏端口
选择这一项表示你的端口对所有网络都是不可见的,不管你是否信任它们。家庭用户(使用单台电脑没有组成家庭局域网)会发现这是最方便安全的。当有联入请求时自动阻止并没有提示。但是会记录日志。
View Active Connections查看活动连接
这个是查看当前正在联入网络的进程,很多软件工具都有这个功能,没什么好说的。
My Port Sets我的端口设置
这个功能是可以把端口设置组别,这样在设置安全策略时可以使用。
Comodo默认已经设置好了三个组别。分别是HTTP组别,POP3/SMTP组别和privileged组别。
HTTP ports:这个组别的端口是http通讯用的。主要是浏览器联网时会用到。当你在浏览器的地址框中输入一个URL或是单击一个超级链接时,URL就确定了要浏览的地址。浏览器通过超文本传输协议(HTTP),将Web服务器上站点的网页代码提取出来,并翻译成漂亮的网页。
Pop3/smtp ports: 这个组别的端口是用于邮件客户端的,如outlook等。端口为110,25,143,995,465.
Privileged ports:特权端口组别。这个组别是防止用户用0-1024的端口运行服务。网络管理员通常会保留或禁止这些端口的使用。
下面举个例子看看怎么加一个新的组别
My Network Zones我的网络区域
电脑与电脑之间通过电缆或各种无线连接方式连接使得用户可以共享网络上的信息和设备。很明显有一些网络你必须授权允许访问,比如你的家庭和工作网络,而另一些可能需要限制通讯甚至完全屏蔽。
Comodo允许你自定义'Network Zones' 网络区并且给予访问特权。'Network Zones' 可以是一个单独的电脑(家庭用户)或者数千台电脑组成的网络。
这个网络区其实就相当于组,设置网络组的好处是可以方便的进行配置,允许还是拒绝访问。比如你可以把某一网络组在“隐藏端口配置”中设置为信任并允许访问本机。或者把网络组添加到“我的阻止网络区”禁止它访问本机。
My Blocked Network Zones我阻止的网络黑名单
网络可以使用户之间共享信息和设备,但是有些不信任的网络我们是需要限制与它的通讯甚至完全屏蔽的。
My Blocked Network Zones可以允许你拒绝一个已存在的网络区的访问。也可以允许你自己定义一个新的网络区,拒绝它的访问。
注意你有两种方法添加黑名单。一是可以将my network zones中的网区直接添加进来,也可以点击new blocked address自己定义一个新的网区。
Network Security Policy网络安全策略
网络安全策略是comodo防火墙的核心部分。允许高级用户配置和过滤应用程序策略和全局策略。
应用程序规则界面
应用程序规则界面允许用户查看,管理和定义应用程序访问网络的权限。
全局规则界面
全局规则界面允许用户查看,管理和定义独立于应用程序之外的全局性网络策略。
优先级:对于出站连接,应用程序规则优先于全局规则。
对于入站连接,全局规则优先于应用程序规则。
无论什么时候当一个程序请求访问网络的时候,comodo可以通过特别为此程序定制的策略允许或拒绝相应请求。
程序的网络安全策略可以由一条或多条网络访问规则组合而成。每条规则由是否允许,应用协议,对应端口等组成。
在应用程序名上双击就可以调出对话框进行编辑修改
网络控制规则设置分解说明
每条网络控制规则可以被认为由一个简单的if then(如果--则)语句构成。如果条件匹配就会执行指定的行为。作为包过滤防火墙,comodo会分析每一个尝试进入或离开你电脑的数据包的属性。
数据包的属性包括发送和接受数据包的请求,使用的协议,数据包的流向,来源和目的IP地址和端口。comodo会在网络控制规则中查找是否有匹配的规则来决定是否允许放行或阻止。如果没有相应的规则,连接请求默认是自动阻止,直到你为它创建了规则。
规则以网络协议分类可以分为三种
如果是使用'TCP' , 'UDP' or 'TCP and 'UDP'协议,则规则为
如果是使用'ICMP'协议则规则为
如果是使用'IP'协议则规则为
Action : 动作。即当规则条件满足时防火墙执行的动作。分为allow允许,block阻止和ask询问。
Protocol: 协议。程序发送或接受数据时使用的网络协议。分为tcp,udp,tcp or udp,icmp,ip。
TCP:Transmission Control Protocol 传输控制协议。该协议主要用于在主机间建立一个虚拟连接,以实现高可靠性的数据包交换。IP协议可以进行IP数据包的分割和组装,但是通过IP协议并不能清楚地了解到数据包是否顺利地发送给目标计算机。而使用TCP协议就不同了,在该协议传输模式中在将数据包成功发送给目标计算机后,TCP会要求发送一个确认;如果在某个时限内没有收到确认,那么TCP将重新发送数据包。另外,在传输的过程中,如果接收到无序、丢失以及被破坏的数据包,TCP还可以负责恢复。
UDP:用户数据报协议(User Datagram Protocol)。用户数据报协议(UDP)是 ISO 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。 UDP 协议基本上是 IP 协议与上层协议的接口。 UDP 协议适用端口分辨运行在同一台设备上的多个应用程序。由于大多数网络应用程序都在同一台机器上运行,计算机上必须能够确保目的地机器上的软件程序能从源地址机器处获得数据包,以及源计算机能收到正确的回复。这是通过使用 UDP 的“端口号”完成的。例如,如果一个工作站希望在工作站 128.1.123.1 上使用域名服务系统,它就会给数据包一个目的地址 128.1.123.1 ,并在 UDP 头插入目标端口号 53 。源端口号标识了请求域名服务的本地机的应用程序,同时需要将所有由目的站生成的响应包都指定到源主机的这个端口上。 UDP 端口的详细介绍可以参照相关文章。
与 TCP 不同, UDP 并不提供对 IP 协议的可靠机制、流控制以及错误恢复功能等。由于 UDP 比较简单, UDP 头包含很少的字节,比 TCP 负载消耗少。UDP 适用于不需要 TCP 可靠机制的情形,比如,当高层协议或应用程序提供错误和流控制功能的时候。 UDP 是传输层协议,服务于很多知名应用层协议,包括网络文件系统(NFS)、简单网络管理协议(SNMP)、域名系统(DNS)以及简单文件传输系统(TFTP)。
ICMP:Internet Control Message Protocol Internet控制消息协议。该协议是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息,通过这些消息来对网络或主机的故障提供参考依据。
IP:网际协议或互联网协议(Internet Protocol,IP)是用于报文交换网络的一种面向数据的协议。 数据在IP互联网中传送时会被封装为报文或封包。
Direction:数据包流向。分为in进站,out出站和in/out。
Source Address:试图建立连接的源地址。规则为from来自IP , IP range , IP Mask , Network Zone , Host Name or Mac Address。
Mac address: MAC(Media Access Control, 介质访问控制)地址是识别LAN(局域网)节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机的,它一般也是全球唯一的。形象的说,MAC地址就如同我们身份证上的身份证号码,具有全球唯一性。
Destination Address:试图被建议连接的目的地址。规则为to到IP , IP range , IP Mask , Network Zone , Host Name or Mac Address。
Source Port:源端口。程序尝试发送数据包时使用的端口。
Destination Port:目的端口。程序发送数据包的目标对象接受数据使用的端口。
ICMP Details :被侦测到用来触发行为动作的ICMP信息。
IP Details :被侦测到用来触发行为动作的IP协议。
如何设置网络控制规则呢?
规则设置以网络协议大概分为三种,就是协议设置不同,其他大同小异。
Attack Detection Settings攻击检测设置
下面截图是由伯夷叔齐翻译解释,我觉得很贴切,就直接帖过来了,感谢伯夷叔齐。
Firewall Behavior Settings 防火墙动作设置
Pre-defined Firewall Policies 预置防火墙策略
预置规则就是为程序事先设置好的网络控制规则,可以使用于多个应用程序上。Comodo内置了几种规则,如"web browser"模式就是适用于浏览器的,你可以在浏览器运行时或事先将其加入web browser 模式就可以了。
[ 本帖最后由 baerzake 于 2007-11-25 22:06 编辑 ] |