comodo与chx【回归comodo了】

Jelly

以前一直用毛豆，后来由于arp泛滥换了chx，现在把chx弄透了看到毛豆3要发布正式版了又忍不住想换回了，不知毛豆防arp怎么样，我是否需要同时装chx，另外毛豆的spi怎么样？有ip icmp的吗？

change_018

Comodo防arp效果一般的说[:26:]

夏春秋

转一段U版以前在其他论坛回复他人询问的帖子：
状态检测的实现程度comodo > jetico > LNS
Comodo 的状态检测和其它防火墙的区别，还在于状态包检测和程序规则的绑定
当在Global Rules 建立一条允许开放P2P端口的规则以后
当程序运行时，端口是开放的；当程序关闭以后，端口自动隐藏。

个人意见，comodo的SPI无需用户设置什么规则的，主要是应用程序规则和网络规则以及HIPS规则
喜欢玩LNS那种规则墙的，可能会有一点失望

[ 本帖最后由 rushmore 于 2008-3-28 22:20 编辑 ]

伯夷叔齐

原帖由 rushmore 于 2008-3-28 21:01 发表
转一段U版以前在其他论坛回复他人询问的帖子：
状态检测的实现程度comodo > jetico > LNS
Comodo 的状态检测和其它防火墙的区别，还在于状态包检测和程序规则的绑定
当在Global Rules 建立一条允许开放P2P端口的规 ...

是呀，个人防火墙与过滤规则防火墙的最大区别就是前者根据程序的请求而设定规则，一切都以程序的需求为主导，智能化很高；而包过滤防火墙针对特定的使用环境而开发，所以一旦个人用户用这些墙，防火墙规则的建立方式完全和程序的需求脱节，需要人为的通过运用很大的知识量来对每个程序的访问需求进行手动设置，也就是说，需要人的知识和智慧去把程序和防火墙规则建立起来，而不是计算机和防火墙软件的运算。

再说一下COMODO的SPI，个人感觉，的确有其优秀的一面，看看程序网络访问规则，中级设置下，报警为低的设置下，规则看上去相当宽泛，让人很怀疑其安全性，比如allow out from IP any to IP any Where Protocol is any这一项，看上去太宽了，但可贵的是COMODO能够很从容的把非请自来的数据包排除出去，很多朋友多不理解，问日志里都列出的什么内容,是不是电脑又受到了攻击什么的。其实如果大家要去理解这个过滤的过程，那么把主设置开到custom policy mode，报警（alert setting）开到最高（very），允许并记忆后，再去查看自动建立的规则，自然就很容易理解了。

其实COMODO防火墙日志里阻止的就是这些条请求之外的非请自来的数据包，具体技术就是在内存建立临时的SPI状态监测表，然后根据这个临时的SPI状态表去对应入站的动态数据包（数据流）与程序请求的符合，当这个程序退出后，这个生成在内存里的SPI表就自动清空，端口也随程序退出，通讯中断。

比如：custom policy mode-------very下，IE浏览器运行并建立的Allow UDP Out From IP Any To IP 61.128.192.68 Where Source Port Is any And Destination Port Is 53这条规则：
IE用UDP协议去出站访问远程的61.128.192.68 的53端口，并发出具体请求，这一切，COMODO都通过在内存里生成SPI表进行即使监控，看数据包是否与请求匹配，一旦违反这些既定的条件，防火墙就对不符合条件的数据包进行阻止。当我们在TRAIN WITH SAVE MODE,报警为low的默认设置下自动建立的程序网络规则，我们看不出来防火墙究竟在监控哪一部分而已。我们之所以要设置为TRAIN WITH SAVE MODE,报警为low，实际作用就是减少询问，让防火墙自己判断，而不是误解以为的低安全性规则的建立，因为有SPI作为技术上的依托！认为是低安全性规则的规则建立的朋友，可能是还没有走出包过滤防火墙的设置思想的怪圈。

上面谈到的 程序网络控制报警机制 的极端设置的意义有很多，比如通过看生成的规则，对每个傻瓜墙用户对协议，规则的学习有很大帮助。很多看似复杂高深，更具安全性的规则是不必要的。因为我们很有幸，用的是COMODO V3。（个人对于把过滤主导防火墙的规则生搬硬套的搬到个人防火墙上来持怀疑态度，特别对于SPI实现很全面的个人墙，感觉没有任何意义。不仅仅限于COMODO）

[ 本帖最后由 伯夷叔齐 于 2008-3-30 03:08 编辑 ]