搜索
查看: 148500|回复: 382
收起左侧

写给新人的 Comodo V3 指南

  [复制链接]
ubuntu
发表于 2007-11-27 11:02:19 | 显示全部楼层 |阅读模式
前言

本文是写给从未使用Comodo的新人和只使用Comodo V2.4,但没有使用HIPS经验的用户,力求浅显易懂,不求十全十美,只有一点私人体会。没有100%的安全,我尽力站在开发者和新人的角度,做到最简单的操作,尽可能地安全。 具体某些具体细节和操作,如果有疑问,可以结合baerzak版主的帖子一起看。
本文系作者原创,转贴请注明出处。



第一部分 Comodo Firewall Pro V3 简介

splash.jpg


啥是Comodo V3,没听说过?
Comodo V3 是一款刚刚发布的全新XP/Vista桌面安全软件,完全免费,包括了HIPS 和 Firewall(很水产)。提供了对于各种恶意威胁的最大保护。Comodo V3 是一款革命性的个人桌面安全产品,将引领桌面安全产品的转型,未来HIPS 将成为你安全体系的最重要的组成部分,是防御各种恶意软件,网络入侵的第一道防线。

Comodo V3 增加了什么新功能?
支持32位/64位 XP SP2/Vista 系统
Defense+ Host Intrusion Prevention System(HIPS)
增强的防火墙引擎
申请专利的Patent Pending  模式
全新的图形界面和安全策略设置界面
增强的恶意软件行为启发分析
全新的“学习模式”和“CleanPC模式”
庞大的白名单,Comodo Safe-List 数据库
Windows 安全中心集成

HIPS 是啥(我晕)?
HIPS 全称是 主机入侵防御系统 ( Host Intrusion Prevention System),通俗的讲就是系统防火墙。Comodo 给自己的HIPS 命名Defense+ (简称D+) 。 Defense+ 是一个极其强大的HIPS,还在不断完善中。
Defense + 可以保护你的系统资源(文件、注册表)不被恶意篡改, 可以保护你的私人文档,各种密码不被木马窃取,可以阻止病毒、木马的运行和对系统的破坏,可以阻止Rootkits 在你的系统留下后门。
Defense + 就是病毒将要QJ你的系统时,你可以反过来QJ它的武器。

啥是 Firewall(我再晕)?
Firewall 主要负责控制网络通讯,过滤有害或者没用的垃圾数据包,只允许你批准的程序访问网络,防御来自网络的攻击。
Comodo V3 增强了防火墙引擎,提高了对P2P程序的支持(不影响速度、不占用CPU)。
Comodo V3 提供了ARP 保护,保护你的ARP缓存不被非法修改。

第二部分 为什么要使用HIPS (Defense+)

HIPS的分类
我认为HIPS至少分为三类:
Classic HIPS,也就是传统意义上的HIPS,包括SSM、PS、EQ,Comodo 的Defense + 是Classic HIPS。
Smart HIPS 所谓智能型的HIPS,不多谈。
Sandbox HIPS 沙盘型的HIPS,Sandbox HIPS 三巨头:DefenseWall、GeSWall、Sandboxie,此外还有BufferZone、SafeSpace.

我个人使用Classic HIPS + Sandbox HIPS的组合,因为我很懒,最近也很忙。
Comodo V3(完全免费) + DefenseWall 2.09特别版(100年key,不提供升级服务)(CD组合)
我个人推荐的完全免费HIPS组合还有 EQ + Comodo,EQ下一个版本3.5将会有沙盘加入。(CE组合)
另外普通用户可以使用的组合有:Comodo V3(关闭D+) + ThreatFire或微点或卡巴主防... + 一款杀软

为什么要使用HIPS (Defense+)
目前,特征码杀毒早已滞后于新病毒的产生,传统杀毒软件对新病毒的检出率也就是5x%-6x%,最多7x%,纷纷引入主动防御。我给你一幅图,请不要和我讨论哪个杀毒软件好,我拿这张图是为了说明为什么增加HIPS 作为防御体系一部分,因为 HIPS不依赖特征码,可以在杀毒软件的真空期,应付几乎所有的未知威胁。我本人在使用Comodo V3 Beta 和 DefenseWall 2.0组合以后,就已经放弃了使用杀毒软件实时监控系统,而只是用来手动扫描。
我在这里推荐新人增加免费的红伞监控,组成ACD组合或者ACE组合。

12月

10、11、12月






第三部分 安装Comodo V3

下载地址:http://www.personalfirewall.comodo.com/download_firewall.html

安装Comodo前,你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机),关闭Windows 防火墙。重启。

用杀毒软件扫描系统,保证你的系统是干净的。 如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。

断开网络连接,暂时停用你的一切保护,双击安装程序开始安装。


这里可以选择 Advanced Firewall with Defense+ (包过滤防火墙 + HIPS),或者不需要安装HIPS,可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择安装高级防火墙,以后在使用中,也可以选择不激活Defense + 而成为一个包过滤防火墙。
图2
setup07.jpg


注意这里,新手要选择P2P 友好模式(Yes);对V2.4 比较熟悉的,会自己设置P2P规则,可以选择(No)。
图3
setup09.jpg


安装结束以后,去掉Restart the Computer 的勾,Finish。
图4
setup14.jpg


我们接下来要备份默认规则,运行regedit 导出注册表:HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro

双击运行Comodo,在 MISCELLANEOUS -> Manage My Configurations 用Export 导出设置。
图5
Setup15.jpg

为啥备份默认规则?
因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro,然后恢复默认规则。

右键点防火墙托盘图标,去掉 Display Ballon Messages ,这个选项本来就应该去掉的,以减少对用户的打扰。
图6
balloon.jpg


在 MISCELLANEOUS -> Settings -> Update 去掉 Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。
图7
update1.jpg

开始菜单 运行里输入 services.msc 将Terminal Services 设置成手动,并且启动。
其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。
图8
ts.png

在 MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。
图9
logging.jpg

安装结束,重启系统。




第四部分 Defense+ 基本设置

自动检测私有网络
Comodo V3 在安装以后会自动检测本地网络连接,弹出相应的提示:
是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、 10.200.1.62/255.255.255.252
通常,拨号上网,只要点OK 就可以,或者勾上不自动检测; 局域网如果需要共享文件,需要勾上相应的选项。
图10
networkdetect1.jpg


完全禁用Defense+(高级防火墙和基本防火墙切换)
Defense+ 是Comodo V3 的HIPS(主机入侵防御系统),可以最大程度防御已知和未知的威胁;在得到更加强大的保护的同时,用户需要进行更多的设置,需要处理更多的弹出窗口。禁用Defense+ 以后 Comodo V3 只是一个单纯的防火墙。
为了满足不同用户的需求(使用其它HIPS、或不想使用HIPS),Comodo V3 提供了禁用Defense+ 的选项。
DEFENSE + ------> Advanced -------> Defense+ Settings
图11
defense.jpg


安全等级
安全等级决定了 Comodo V3 对不同类型的程序如何处理,是否采用学习模式,或者弹出提示。
建议经过适当时间的学习,所有常用程序设置好规则以后,将Network Defense 设置为 Custom Policy Mode,将Alert Frequency Level 设置为 Very High/High 。
如果安装时系统是干净的(所有硬盘分区),将Proactive Defense+ 保持为 Clean PC Mode 是最佳选择;还可以设置为Train Safe Mode。
Paranoid Mode 不推荐普通用户使用。
图12
securitylevel1.jpg


基本设置方法
新手使用Comodo V3 是很简单的,只需要运行自己常用的软件,帮助Comodo 学习你使用软件的方式。Comodo一般不会打扰你,只在必要的时候给予提示,当碰到提示的时候,如果是网络软件或易被病毒利用的程序,选择 Allow this request & Remember my answer & OK。 对于,不需要上网的一般程序选择 Treat this application as
Trusted Application & Remember my answer & OK 。


Clean PC Mode是王道
Comodo 默认安装以后Defense+ 使用“Clean PC Mode” 。
对于新人来说,Clean PC Mode 是王道,最好的选择。
Clean PC Mode 的前提是你的电脑必须干净,所以,我才会在安装前提示你杀毒。
Clean PC Mode 假设你的电脑硬盘里的当前所有程序是安全的,学习它们的操作,一般不会提示;
假设移动存储设备、网络是不安全的,对于以后新加入的文件,将认为是不安全的,任何操作都将给予提示。
Clean PC Mode 和 My Pending Files 密切相关,My Pending Files 里的文件是唯一在Clean PC Mode下被Comodo认为不安全的文件,当从网络上下载一个新的程序(exe)到硬盘里,或从RAR解压一个exe 文件,Comodo 将会将它加入My Pending Files,成为不受信任的文件。以后运行这个程序将弹出提示。

Clean PC Mode 和 My Pending Files 是Comodo 申请专利的技术,Comodo V3 的启动splash 有 patent pending 字样,就是指这个。 Clean PC Mode 和 My Pending Files 提供足够的保护的同时,保证了 Comodo V3的简单易用,最大限度地使用学习模式,是易用性和安全性平衡的典范。

我推荐新人使用Clean PC Mode 。我本人也在测试和使用Clean PC Mode !


等待审核的文件 My Pending Files
Comodo V3 没有SHA/MD5 这样的文件Hash系统,而是使用文件保护和实时追踪系统文件变化。
新建立、更新、修改的可执行文件(包括exe、dll、sys等),都会被加入 My Pending Files 等待用户审核。

My Pending Files 的文件是不信任的,任何动作都将会提示。为了保证系统安全,在Clean PC Mode 下,必须100% 确认这些文件是安全的,才能用Remove移除,一旦移除,这些文件将会成为安全的,Comodo 对以后的一般操作都不会提示。对于不确认的,请保留到 My Pending Files 直到最后确认是否安全。对于,不存在的或者临时文件,可以用Purge 移除。 对于不安全的,直接在资源管理器里彻底删除。
图13
pendings.jpg



安装模式 Installation Mode
Comodo 提供了安装模式,可以在安装新程序时,减少提示。
首先要确保安装程序100%安全,然后运行,选择 Treat this application as an Installer or Updater 即可。
图14
installmode4.jpg


Comodo 会提示 是否切换到安装模式,选“Yes” 进入安装模式,不同意的选“No”。
图15
installmode5.jpg

由于处于安装模式的程序具有很大的权限,所以Comodo会定时提醒你,切换回从前的模式(安装完选Yes)。
图16
installmode6.jpg



Image Execution Control Settings
加入:*.com, *.bat, *.pif *.cmd *.sys
图17
IECS.JPG




第五部分 Firewall 基本设置

Comodo 默认安装以后Defense+ 使用“Clean PC Mode”,Firewall 使用“Train With Safe Mode” 。
为什么不在Firewall 里也搞个Clean PC Mode呢? 因为网络是不安全的,一旦一个程序有访问网络的权限,它就有可能危害你的系统和个人隐私,Firewall 的Clean PC Mode 没有意义。

Train With Safe Mode 只学习Comodo 白名单数据库里的安全程序的网络规则,这在干净的电脑上是安全的。对于不认识的程序,将会提示。


调整Firewall设置

在学习规则前,我们先调整一下防火墙设置。
1.修改My Port Sets -> POP3/SMTP Ports
Comodo 268 默认的和邮件有关的端口,少了几个,我们添加一下,最后是:
110、25、143、465、587、993、995

2. 新建一个Dangerous Ports 危险端口组,添加:
135、137-139、445

3. Firewall -> Common Tasks -> Stealth Ports Wizard
你可以在这里添加局域网信任区域;
你可以在这里选择P2P 友好模式;
你可以在这里选择完全隐身模式,以后自己象V2.4 那样添加规则。
图18
stealth.jpg

我个人使用P2P 友好模式。

4.自定义Global Rules

Comodo V3 的Global Rules 相当于 V2.4 的Network Monitor;
Comodo V3 的Application Rules 相当于 V2.4的Application Monitor 。

Firewall -> Advanced -> Network Security Policy -> Global Rules
添加一些规则,注意所有允许的规则都放在阻止的规则上面,因为 Comodo Global Rules 由上至下匹配
这里只针对拨号上网用户,和不开服务的用户。
局域网用户,需要首先检查和添加,信任局域网的规则。
然后添加规则:
阻止对本机 Privileged Ports[0-1024] 的访问,普通用户,不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问,由于前面开了 Terminal Service,在这里阻止远程协助端口,以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

建议经过适当时间的学习,所有常用程序设置好规则以后,将Network Defense 设置为 Custom Policy Mode,将Alert Frequency Level 设置为 Very High/High 。

[ 本帖最后由 ubuntu 于 2008-1-6 18:31 编辑 ]
天易飞飏
发表于 2007-11-27 11:05:51 | 显示全部楼层
多谢U版了!支持!很详细!再支持!
不好意思!U版,占了位置,如果需要请将我这贴删除,以保持教程的完整和连贯!
再次支持,另希望U版能整理一下常用的软件的规则和设置,但工作量一定很大,如有需要或我能帮上忙的,请直言!再次抱歉并感谢!


[ 本帖最后由 天易飞飏 于 2007-11-27 11:27 编辑 ]
ubuntu
 楼主| 发表于 2007-11-27 11:06:35 | 显示全部楼层
占位
ubuntu
 楼主| 发表于 2007-11-27 11:07:01 | 显示全部楼层
占位
ubuntu
 楼主| 发表于 2007-11-27 11:07:38 | 显示全部楼层
占位
ubuntu
 楼主| 发表于 2007-11-27 11:14:30 | 显示全部楼层
很好,很水产,待续!
快巴
发表于 2007-11-27 11:15:03 | 显示全部楼层
卡位,这两天正在学习,多谢
baerzake
发表于 2007-11-27 11:15:56 | 显示全部楼层
支持,楼上有人插队了啊
ubuntu
 楼主| 发表于 2007-11-27 11:22:32 | 显示全部楼层
直播结束啦,有空再接着写!
sxingbai
发表于 2007-11-27 11:26:19 | 显示全部楼层
什么叫水产?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-13 20:10 , Processed in 0.094140 second(s), 20 queries .

快速回复 返回顶部 返回列表