关键问题：关于所信任网络程序的端口问题

yxy0708

哎呀 路过一下又学到东西了

羽音

原帖由 hocoo 于 2007-12-2 16:16 发表
显然友好模式要宽松的多，只是禁止了icmp协议入站，对于tcp udp协议入站没有限制…

没这么简单，P2P友好模式下真正的“全局规则”相当于是隐藏的，对于未经请求的入站连接全部BLOCK

[ 本帖最后由 羽音 于 2007-12-2 18:36 编辑 ]

hocoo

这个不是很清楚，有日志刻录吗？ＢＬＯＣＫ连接是如何记录的，我也一直怀疑ＣＯＭＯＤＯ有隐藏的“全局规则”，一直没有测试。

ubuntu

设置规则是因为eMule有确定的监听端口，这样更安全，建议使用。
但你不能要求普通用户也设置精确的端口规则，所以只要系统干净可以用Trust。

这里已经解释过了：
http://bbs.kafan.cn/viewthread.php?tid=126864

P2P 模式是自适应隐藏，所有未经许可的、没有程序接收的数据包将丢弃。 只有设置好规则的P2P程序允许通过或者给予提示。

Comodo的全局规则和应用程序规则不是简单的优先级关系。要允许一个和程序有关的数据包通过，这两者都必须允许。

• 出站连接，先检查应用程序规则，再检查全局规则。
• 入站连接，先检查全局规则，再检查应用程序规则。
  

除此之外，全局规则主要用于和程序无关的数据包，非TCP、UDP协议。




Comodo V3的防火墙引擎经过改进，减少了全局规则的数量，普通用户没必要设置太多规则，交给SPI处理即可。
Comodo的SPI会阻止任何未经许可的数据包，P2P模式，只要设置好相应的规则。只允许P2P程序接收 incoming connection，其他incoming connection阻止就没问题。

[ 本帖最后由 ubuntu 于 2007-12-2 21:52 编辑 ]

hocoo

Ｕ版的解释基本能理解，但我认为全局规则（firewall)确实是优秀于程序规则（我觉得和图示并不冲突，便于理解），比如浏览器设为trust，在全局里面加一条ＢＬＯＣＫ　ＯＵＴ　ＨＴＴＰ端口，显然这时浏览器无法上网浏览。

还有当设为友好模式时，假如这时有程序开启某端口，ＣＯＭＯＤＯ是否允许入站连接？这时全局只设置了ＩＣＭＰ禁止入站。

ubuntu

原帖由 hocoo 于 2007-12-2 21:56 发表
Ｕ版的解释基本能理解，但我认为全局规则（firewall)确实是优秀于程序规则（我觉得和图示并不冲突，便于理解），比如浏览器设为trust，在全局里面加一条ＢＬＯＣＫ　ＯＵＴ　ＨＴＴＰ端口，显然这时浏览器无法上网浏览。

还有当设为友好模式时，假如这时有程序开启某端口，ＣＯＭＯＤＯ是否允许入站连接？这时全局只设置了ＩＣＭＰ禁止入站。

全局规则没有优先性，对于出站先检查应用程序规则，然后检查全局规则。
你的例子不能证明全局规则有优先性。
我们反过来，在全局规则Allow HTTP Out， 但是在程序规则里阻止，依然无法上网浏览。
两者完全是平行的，必须全部允许。


P2P 友好模式，假如这时有程序开启某端口, Comodo会检测是否有对应的规则， 没有规则会提示。 不会完全允许。

dogdick

哇，大名鼎鼎的机器猫版主都来助阵了，看来还真是有点复杂。
根据以上分析解释，我感觉如下：
在P2P友好模式下，程序规则完全信任电驴，即allow all incoming and outgoing requests，不但电驴速度不会受到丝毫影响，而且安全性方面也有足够保障。
是不是这样呢？
我的电驴迅雷QQ等程序都是程序规则里完全Trust。

其实对于一般用户来说，只要系统及时打补丁，在没有中木马的情况下，端口的安全性还是没有太大的问题的，因为对于没有程序监听的端口来说，在网络上可以视为不存在，是不是这样呢？

hocoo

嗯，关于优先性的问题和我理解的一致，可能是我表达的不是很清楚，确实如Ｕ版所说，是“平行”的。

关于友好模式下，入站连接问题加深了理解。安全性是较高的，但不如custom policy mode 毕竟这时全局是基于ＩＰ的入站连接。

dogdick

我都好几年没有中过毒了，所以非常放松，易用性第一。所以像KIS、Comodo都是顶级的安全软件。

hocoo

还是推荐custom policy mode，全局中填加Ｐ２Ｐ规则。假如你中了木马呢？（对于菜鸟来说，不断的Ｄ＋弹出确实令人头疼，误点allow也是正常的）。这时ＣＯＭＯＤＯ能给你最大限度的防护。