关键问题：关于所信任网络程序的端口问题

dogdick

一直有个疑问。Comodo所添加信任的网络程序（跳出询问框选Trust），规则是全部Allow，例如电驴、迅雷、QQ我都是这么干的，这几个软件都要使用很多端口，那么是不是Comodo仅仅对网络Trust的软件开放它们所使用的端口？在不开这些软件的情况下，那些端口还是按照全局规则的设置呢？就是说，Trust的软件使用哪个就开哪个，不用就不开？
要是真是这样的话，那么还用什么专门的电驴规则，直接信任不就行了么？

hocoo

trust只是允许这个软件主动向外连接通信（是不是允许使用任意端口不是很清楚，我想一些高危端口，COMODO还是会限制的）。而远程主动向本地连接，COMODO还是限制的，所以要在全局中为P2P设置规则，以允许远程主动连接上本机，提高下载速度。

dogdick

Firewall--Advanced--Network Security Plicy--Aplication Rules--
完全信任的网络程序规则是这样的：allow all incoming and outgoing request
很显然，向外向内通讯都是允许的。
我的疑问是，Comodo仅仅是对该程序允许吧？这个程序不使用的时候，还按全局规则来，是吧？尤其是针对端口。

hocoo

很显然，trust程序“allow all incoming and outgoing request”的优先级要低于global rules中最后一条规则。所以并不是向外向内通讯都是允许的。
————
“我的疑问是，Comodo仅仅是对该程序允许吧？这个程序不使用的时候，还按全局规则来，是吧？尤其是针对端口”
——————
全局规则优秀于程序规则，不是“程序不使用的时候，按全局规则来”，而是“任何时候，都是先全局规则，后程序规则”

dogdick

恩，大概明白了，谢谢你~
我目前使用的是P2P友好模式，然后程序规则里Trust电驴，这样我感觉速度没什么影响，安全方面也没问题吧？

hocoo

不好意思，P2P友好模式我一直都没用过，个人觉得安全性不会有太大问题，以前有朋友说友好模式下主要是全局规则和 paranoid mode下全局规则中最后一条不同，友好模式下规则是什么样的我不清楚。paranoid mode下全局规则最后一条是基于IP禁止入站。

hocoo

写错了，paranoid mode应为custom policy mode，看着D＋模式写的。。。

dogdick

P2P友好模式全局规则最后一条(而且默认全局规则只此一条)是这样的：
Block ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

hocoo

显然友好模式要宽松的多，只是禁止了icmp协议入站，对于tcp udp协议入站没有限制，起到了防止网络攻击（如ping命令）的作用。

dogdick

恩，你真是好人。