COMODO程序网络规则是如何得来（修正）

伯夷叔齐

原帖由 wolfmei 于 2008-4-28 16:45 发表


的确比较麻烦，我承认我是一个懒人，也是一个大忙人，我除非在我非常无聊或者空闲的时候才这样做，有时候自己搞好了规则，也想写点教程出来跟各位分享下，但是我实在是忙（主要是懒，打字不用说了，截图啊那个烦 ...

我一点都没有对他的回帖有什么意见，其实我很尊重他的意见，如果给出更好的方案，那就更好了。
抓抓的回帖我是很重视的，技术上，这样的探讨是很值得的。

最后说一下，这个方法真的简单呀。。。唉。。。别看我写那么复杂，哈哈哈哈。

[ 本帖最后由 伯夷叔齐 于 2008-4-28 16:55 编辑 ]

llxm920

好帖要顶``又学到东西``

elysion

这个方法我也有用过，不过实在懒，只定制了部份程序，另一部份仍然是套用他人规则

gaoyuande

看来个别程序可以试试。

抓抓

呵呵，你言重了，，大家互相交流取长补短。。
其实很抱谦，我第一次并没仔细看清这个贴子（当时手头上也有点事）。。。然后，就在刚才，我仔细阅读了一遍。。
从某方面来看，可以说你就像在不断地机械似地累积“白名单”网站。。。
现在就用你的设置思路来分析一个现实的问题，这个问题就是：你不可能每天都在你所撑握的这些白名单里选择浏览吧？每天上网可能要经历几百个连接地址，这些地址可能大部分都不是你所能撑握是否干净的，那么，对于这大部分（未知）连接，你怎样判断是应该allow它呢？还是block它呢？此时你该怎么做？难道要继续积累继续罗列下去吗？

而且不是网卡请求的数据，COMODO会自动阻止，，，没必要这么紧张搞得这么累又没有什么显著效果好像。。呵呵。


补充：
我对包过滤看得确实很重。。。但是入侵是什么？就是数据包进入，，，不管它来自哪个地址，不管它通过哪个端口，，你只要在防火墙这第一道关口盯紧数据包就对了，，，对它过滤是永远的重中之重。。其它的只能作为辅助。。靠限制这里、关闭那里，不是防火墙真正所要表达的。。。。就连硬件防火墙也从没有限制什么协义关闭什么端口的，，，基本全是包过滤。。。。

[ 本帖最后由 抓抓 于 2008-4-28 22:04 编辑 ]

抓抓

可以解释一下c:\windows\system32\svchost那样设置的原因吗？有没有尝试删除该项全部的allow？，，。。。

我个人总的来看，感觉这些有点过于机械哈，，，但愿这仅仅只是观念上的不同。。。

伯夷叔齐

原帖由 抓抓 于 2008-4-28 21:16 发表
呵呵，你言重了，，大家互相交流取长补短。。
其实很抱谦，我第一次并没仔细看清这个贴子（当时手头上也有点事）。。。然后，就在刚才，我仔细阅读了一遍。。
从某方面来看，可以说你就像在不断地机械似地累积“白 ...

其实这一切都是想说明之前的规则是怎么得出来的，也同时让大家去分析程序的网络行为，让大家明白究竟是怎么一回事，这才是这个帖子的主要目的。

即使不连网，我两分钟不到就可以把程序规则做出来，只不过唯一的DNS服务器地址，如果要想细致到具体的两个地址，就必须得去让防火墙去访问该地址，然后让规则建立。

[ 本帖最后由 伯夷叔齐 于 2008-4-29 13:24 编辑 ]

伯夷叔齐

原帖由 抓抓 于 2008-4-28 22:20 发表
可以解释一下c:\windows\system32\svchost那样设置的原因吗？有没有尝试删除该项全部的allow？，，。。。

我个人总的来看，感觉这些有点过于机械哈，，，但愿这仅仅只是观念上的不同。。。

1、源，目的地址都用123端口连接，是因为我要做时间同步，这个我会把远程地址做得更细;
2、访问443端口是因为我要用到手动更新安全补丁。
3、连接44080端口那个是因为我开着红伞的网页监控，红伞的网页监控利用的是会话劫持，如果阻止掉，那么我就无法手动微软更新站点更新。
4、那两个访问远程53端口的IP是本地电信的域名解析服务，我时间同步和升级更新时，如果阻止掉，那就会同步失败。

[ 本帖最后由 伯夷叔齐 于 2008-4-29 00:34 编辑 ]

抓抓

原帖由 伯夷叔齐 于 2008-4-28 16:22 发表
所以帖子开始我就说明，这样的设置只适合个人防火墙的初级、中级用户。
我还是有几点理由的：
1、可能你有所不知，其实很多朋友看到很多高手的规则时，羡慕的同时，也让人摸不着头脑，此帖更多是释疑贴和程序网络连接行为的探索贴，受益者将是很多初级中级用户，比如我，从实践探索中，的确可以学到太多；
2、个人防火墙防内很重要，尽管COMODO是一款很智能化的SPI墙，但谁也不能保证由于用户的疏忽，或木马猖獗，而反泄漏在防火墙部分失败，那么如果之前这样限定了连出，比如域名解析，我们连出到61.128.192.68的53端口，而如果不这样限制，那么很有可能木马通过默认下的笼而统之的允许所有IP出站连接到所有IP的所有端口，而连到黑客那儿；同样我也从你的帖中了解到现在的木马外连端口不定，正因为如此，我们才要限定其外连目的地，做到尽可能的相对安全。你有所不知，专业测试站点的防火墙部分的很多反泄漏测试，用到了相当多的这种手段；
3、复杂吗？！我为了写这个贴，用到的是一个典型程序，当然，迅雷这个程序这样设置将更麻烦，但同样可以通过设置达到更精确的限定和更大的安全，如果用这样的方法去设置某某程序升级，简直是太简单了，而且一步到位，我相信个人用户电脑里的20多个左右的程序里，更多的是这样的程序。所有的设置，都是“一劳永逸”的目的；
4、不知道你以前用的墙是什么，但很显然，我认为你的水准显然高出我这样的中级用户很大一部分；但同时，个人感觉，你在防火墙规则设置的思维上还是有点没有脱离包过滤墙的传统设置思维，也许更多的是思路上的不同吧。

很多防火墙上的问题，以后还要更多的向你请教呀，非常感谢你的支持。抓抓回帖，已经是蓬荜生辉，求教角度，我不得不接招。

1、客套的话我不多说了。（我基本上大部分时间里都是在说别人的不足之处，很惭愧），呵。
2、对53端口的设置很没必要，，因为目前凡是优秀的防火墙都会过滤和记录53端口。当UDP包来自53端口时，不稳定的防火墙通常允许这种通讯并认同这是对DNS查询的回复。入侵者常用这种方法穿透防火墙。 当然，COMODO是很优秀的防火墙，，，所以你的这个逻辑也就用不上了（而且“那么很有可能木马通过默认下的笼而统之的允许所有IP出站连接到所有IP的所有端口，而连到黑客那儿”这句话在设置好全局规则后基本是无效的）。。
3、不复杂，我只是说有些繁琐，，因为我是不够耐心的人，，，如果每经过一个站点都要按击一下鼠标把它逻列进“白名单”的话，基本上一天下来，手指头也差不多累残废了，呵，，我好像真的很懒。。
4、有人说，真正殷实的人都是很谦虚的，，楼主你就属于这样的人，，我更愿意更应该向你学习。。。关于我对防火墙包过滤的重视，在15楼的补充里有说到。。

千万不要用“蓬荜生辉”这个词，，也太过了点吧，呵。。。否则如果胡总书记要是进来看你的贴子的话，我看你还有什么词可用！！

CGrrr

抓抓胸的规则很简练易懂，我用的就是抓抓胸的