毛豆3 局域网防火墙规则安全吗

wsf123

原帖由 491866227 于 2008-6-12 22:40 发表
楼主还是直接贴图比较好一点。

刚好早上抓了个图，大家看下：（从我的活动连接看的view my active connections).
防火墙规则是默认的规则，下楼给出规则贴图。

[ 本帖最后由 wsf123 于 2008-6-13 08:28 编辑 ]

wsf123

接上楼，贴出规则贴图：

[ 本帖最后由 wsf123 于 2008-6-13 08:33 编辑 ]

周勃

我也猫屁不通也，因为我从来就没有使用过局域网。
我只知道，如果毛豆都不安全了，那其它的防火墙就更不安全了。
我认为你应该把那张全局规则的图片帖完全，高手才好给你分析。
帮你顶一下。

周勃

呵呵，刚我看到一位高人的回复分析，现在我把他的原话复制过来，不知道会对你有什么启发没有？
下面是他的原话：
1)COMODO防火墙V3的全局规则应该是使用NDIS技术而应用程序规则是应该使用TDI技术，入站的数据包当然是先通过全局规则再到应用程度规则，出站的数据包当然是先通过应用程序规则再到全居规则，
2)COMODO防火墙V3有TCP及UDP的SPI，所有关於这两个协议主动入站的数据包都应该会被拦截，理论上所有端囗都是隐藏的。

伯夷叔齐

原帖由 周勃 于 2008-6-13 09:29 发表
我也猫屁不通也，因为我从来就没有使用过局域网。
我只知道，如果毛豆都不安全了，那其它的防火墙就更不安全了。
我认为你应该把那张全局规则的图片帖完全，高手才好给你分析。
帮你顶一下。

就COMODO的防火墙部分，你还真别那么肯定的说。COMODO让其他防火墙侧目的亮点主要是HIPS部分。尽管作为个人防火墙，这部分现实在PC上意义更大，但防火墙能力，一直没有最客观的证实其强大。。但SPI实现得相对完全，但趋近完全的实现也不代表强大。。还有就是其包过滤能力，始终处于争论阶段。

1)COMODO防火墙V3的全局规则应该是使用NDIS技术而应用程序规则是应该使用TDI技术，入站的数据包当然是先通过全局规则再到应用程度规则，出站的数据包当然是先通过应用程序规则再到全居规则，
2)COMODO防火墙V3有TCP及UDP的SPI，所有关於这两个协议主动入站的数据包都应该会被拦截，理论上所有端囗都是隐藏的。

我想，个人防火墙现在大部分都是采用NDIS和TDI技术的结合。程序网络部分，TDI驱动具有让用户更直观的优势。即使NDIS层过滤，也无法过滤出站数据，出站过滤无从谈起，更多依靠HIPS。

[ 本帖最后由 伯夷叔齐 于 2008-6-13 14:20 编辑 ]

wsf123

原帖由 周勃 于 2008-6-13 09:44 发表
呵呵，刚我看到一位高人的回复分析，现在我把他的原话复制过来，不知道会对你有什么启发没有？
下面是他的原话：
1)COMODO防火墙V3的全局规则应该是使用NDIS技术而应用程序规则是应该使用TDI技术，入站的数据包当然 ...

非常感谢你的支持阿，我在家也用毛豆3的，家里由于不用局域网，所以从来没有什么入站的连接的，单位就不一样了，因为有时要用共享阿，只要我打开网上邻居，基本就会看到10.77.1.60：137连接到我的137端口了，不知道它是怎么连上的，因为我规则里只允许local area network 连接我的电脑阿，但我设置local area network 是我的固定IP10.77.1.235阿，又不是一个网段，如果是个网段的话10.77.1.60连接进入还可以理解，不知道它连接上之后是不是就很容易攻击了阿？
当我设置允许进入的blocked之后，就无法使用网上邻居了，看不到别人的计算机了，呵呵，看来还必须允许入站的。

至于全局规则基本全了，就是有一条不让PING出的没贴，就是局域网默认的3条。

周勃

那那个防火墙的排名，测的是什么东东？
2.4的时候，毛豆没有D+，我记得当时也是第一呀
你越讲我越不稳心了，看样子，我禁用了D+功能，还不如回去用PCT，至少它还有个深度数据包检测。

周勃

那你就改一下，将P2P模式改成隐身模式，隐身模式似乎要安全一点。
再将下面的规则加进去，我复制过来：局域网用户，需要首先检查和添加，信任局域网的规则。
然后添加规则：
阻止对本机 Privileged Ports[0-1024] 的访问，普通用户，不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问，由于前面开了 Terminal Service，在这里阻止远程协助端口，以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

[ 本帖最后由 周勃 于 2008-6-13 10:10 编辑 ]

wsf123

原帖由 周勃 于 2008-6-13 10:05 发表
那你就改一下，将P2P模式改成隐身模式，隐身模式似乎要安全一点。

恩，就是用的P2P友好模式，我没有开放什么信任的网段，我只能理解为那是系统必须的一个服务了，管他怎么进来的，
反正我不打开网上邻居就没有了，估计是关了网上邻居，端口就自动封闭了。

你说的那几条我加了也不行，因为先是允许的，后面的阻止就不起作用了 。

[ 本帖最后由 wsf123 于 2008-6-13 10:15 编辑 ]

伯夷叔齐

原帖由 周勃 于 2008-6-13 10:01 发表
那那个防火墙的排名，测的是什么东东？
2.4的时候，毛豆没有D+，我记得当时也是第一呀
你越讲我越不稳心了，看样子，我禁用了D+功能，还不如回去用PCT，至少它还有个深度数据包检测。

看来我的话让你不安了。吓到你了，呵呵。你有一个说法在没有通过测试之前，不能说完全正确，至少也很有道理，那就是用COMODO的话，最好就开它的D+，防火墙部分，我相信还是很优秀的。呵呵。。

深度数据包检测先阶段你别太迷信，其实也仅仅是初步阶段，甚至有点噱头的感觉。说到深度包，我感觉COMODO的杂项里的包校验选项就有点这个意思。。还补充一下，可能个人防火墙现实意义上实现深度包，还有点难度。。不仅仅是COMODO。

那你就改一下，将P2P模式改成隐身模式，隐身模式似乎要安全一点。
再将下面的规则加进去，我复制过来：局域网用户，需要首先检查和添加，信任局域网的规则。
然后添加规则：
阻止对本机 Privileged Ports[0-1024] 的访问，普通用户，不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问，由于前面开了 Terminal Service，在这里阻止远程协助端口，以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

局域网要实现打印文件夹共享，就别阻止上面第二条规则。

[ 本帖最后由 伯夷叔齐 于 2008-6-13 18:04 编辑 ]