毛豆3 局域网防火墙规则安全吗

周勃

哦，你这一说，我又赶紧跑到杂项里将那个勾勾勾上。呵呵。

wsf123

我又试验了一下，把局域网的那几条全blocked包括系统服务都阻止了，打开网上邻居看到的计算机数量就少了很多，仅有几台，而允许的时候会有几十台呢，而且活动连接里也看不到system了

抓抓

原帖由 wsf123 于 2008-6-12 21:09 发表

我没有全阻止，只是阻止了进入的，我只想用进入到领导的共享里取文件，而不需要别人进入我的共享，我机器里也没有共享文件夹，但没想到阻止了第二条，就无法显示共享里的计算机了，另外，抓抓的规则我都看过了，很不错，但都是在默认的规则基础上增加的或者修改的专门针对某台计算机的：例如
局域网需要共享访问的话须在最上层添加两条：
1：访问对方：
allow udp out from 自己 to 对方........
allow tcp out from 自己 to 对方........
2：允许对方访问自己：
allow udp in from 对方 to 自己........
allow tcp in from 对方 to 自己........
他的规则里也有体现出如果要想允许对方访问自己就得有允许进入的，但我不允许别人访问我，我只想访问别人，但也不能光允许Out，不允许Ｉｎ，如果这样，还是不能实现访问别人机子的目的，因为连局域网里有多少机子都不能显示出来，只有在全局规则里和应用程序里ｓｙｓｔｅｍ里采用毛豆３　的默认规则，才可以访问到别人的机器，才能正常显示局域网内计算机名称，抓抓的规则只是强化的，我想问的是这样允许ｉｎ的规则安全吗？谢谢各位支持。

首先我两个疑问：
1：你是从哪里看出我是“在默认的规则基础上增加的或者修改的专门针对某台计算机的”？-----那个贴子你是不是只看了其中的一部分？开头我就说明了“删除所有规则”再创建。。。
2：“抓抓的规则只是强化的”------可以说说是怎么样只是强化的么？
3：“我只想访问别人，但也不能光允许Out，不允许Ｉｎ，如果这样，还是不能实现访问别人机子的目的，因为连局域网里有多少机子都不能显示出来”-----不理解，只访问对方，自已为什么要允许Ｉｎ？。。“连局域网里有多少机子都不能显示出来”----你是要访问还是要显示？，，，另外，楼主难道还是通过“网上邻居”来访问对方的么？

另外，“COMODO防火墙V3有TCP及UDP的SPI，所有关於这两个协议主动入站的数据包都应该会被拦截，理论上所有端囗都是隐藏的。”-----这句话本身表达的意思基本正确，但是如果另加了附加条件，比如你在全局上加了条allow ...in.....，那么结果就大不相同了，在这种情况下防火墙就允许接收入站信息。。。。allow必定会带来可能的隐患，所以在必用的时候才allow,,,用完之后马上取消allow.....。。。（那个贴子在没修改之前我强调过一点，就是在全局规则中最好不要出现allow，，除非你必须要用到，比如共享或者说局域网传输等。。。。后来很多都省略了。。）

wsf123

原帖由 抓抓 于 2008-6-13 15:11 发表


首先我两个疑问：
1：你是从哪里看出我是“在默认的规则基础上增加的或者修改的专门针对某台计算机的”？-----那个贴子你是不是只看了其中的一部分？开头我就说明了“删除所有规则”再创建。。。
2：“抓抓的规 ...

1、那个帖子我看过了，可能是我理解有误吧，但水平有限，你要理解阿，不赖你，问题在我啊，我的理解是这样的，我感觉你的规则肯定比默认的强不少啊，所以就说是加强强化的阿，也是褒你的意思啊，强化肯定是好事啊
2、我确实只想访问对方，不想让对方访问我，我是这样访问对方的：打开网上邻居，就会出现一大堆（50台左右）的计算机名称，然后双击就可以进入其中的某台共享了，但如果我把默认的2条（装好毛豆3，选择局域网，就自带的２条全局规则）都阻止了的话，我再打开网上邻居，竟然只看到１０台计算机，但是可以正常访问，不知道少的那些怎么回事啊，如果在地址里手工输入没有出现的计算机名（实际存在），出现无法访问提示。但是如果我不阻止默认的规则，则一切正常。只有显示出来的，才可以正常访问，我是这个意思。
３、最后你说的倒是我可以用到，就是不用共享东西的时候，把规则里的ＡＬＬＯＷ都阻止了，但是我有个疑问阿，这样是安全了，但是很麻烦啊，而且我会不会是多滤了阿，毛豆既然默认的规则了，能说是很危险的吗，太危险的规则毛豆不会默认吧。以前我用别的防火强的时候没注意这些，或许是功能不如毛豆吧，没毛豆显示的这么详细，眼不见为净吧。而且如果我不打开网上邻居的话，就没有连接了，剩下的只是一些大侠您说的广播之类的，估计我以前一直都有接受广播，只不过没注意罢了。呵呵，用了毛豆之后，就好像有洁癖了，有点草木皆兵了。

抓抓

原帖由 wsf123 于 2008-6-13 16:07 发表

1、那个帖子我看过了，可能是我理解有误吧，但水平有限，你要理解阿，不赖你，问题在我啊，我的理解是这样的，我感觉你的规则肯定比默认的强不少啊，所以就说是加强强化的阿，也是褒你的意思啊，强化肯定是好事啊
...

局域网的默认规则是为了某些访问提供方便，“为访问提供方便”也意味着为可能的病毒访问提供方便。。。无论怎么说，有allow必有隐患，，某些allow是必须的，某些是可选的。。但就全局规则那一项来说，除非特殊需要，allow应该全部删除。。我认为allow能少则少。。。

对于你的局域网访问这个要求 ，那就得在全局域规则中加入我说的那条allow，只访问别人就只需要out....然后就不要通过“网上邻居”了（因为如果对方隐藏的自己，那你就算用默认规则也看不到它）。。。现在比如你要访问10.77.1.100这台机，你只要运行 "\\10.77.1.100"就可以快速进入对方的共享目录了。。（共享前提就不说了）。你说的那个“在地址里输入机器名”是什么？
至于为什么“网上邻居”里的机器后来变少了，那应该是没有ICMP的allow规则了。。

491866227

如果楼主不提供共享的话，默认的两条全局规则可以不用。（我刚才在虚拟机里测试通过）
至于一会显示10，一会50。就不懂了。

如果楼主确实只能允许全局规则的两条默认规则才能通过。
建议把系统的帐户都加上长长的密码。（系统默认的管理员帐户你应该不会忘记的。）
如果这样病毒还从共享里进来，那你就认了吧。

wsf123

原帖由 抓抓 于 2008-6-13 17:06 发表


局域网的默认规则是为了某些访问提供方便，“为访问提供方便”也意味着为可能的病毒访问提供方便。。。无论怎么说，有allow必有隐患，，某些allow是必须的，某些是可选的。。但就全局规则那一项来说，除非特殊需 ...

哦，谢谢了，再研究研究，局域网就是麻烦，如果为了相对安全点，最保险的方法还是用的时候ALLOW,不用的时候BLOCKED，麻烦就麻烦点吧，最好毛豆能出个默认快捷的转换的按钮，我的意思是，在局域网模式和非局域网模式之间一键就转换过来，多方便啊，我看我家里的了，就没有那些乱糟糟的连接。

抓抓费心了，可能我有点笨，唉，总想既简单又安全，可能大多数人都这个心理吧。既然非局域网模式相对局域网要安全很多，为啥不能设置个快捷的按钮呢，我要挨个的BLOCKED，得改4、5处呢。

491866227

全局规则可以阻止。
应用程序规则System至少要留一条允许出站。

抓抓

原帖由 wsf123 于 2008-6-13 18:16 发表

哦，谢谢了，再研究研究，局域网就是麻烦，如果为了相对安全点，最保险的方法还是用的时候ALLOW,不用的时候BLOCKED，麻烦就麻烦点吧，最好毛豆能出个默认快捷的转换的按钮，我的意思是，在局域网模式和非局域网模式 ...

共享完毕后可以不用删除allow....只要把allow改成block不就行了，，以后再需要共享的话再改过去。。。。如果楼主连这个操作也觉得麻烦，那只能说你比我更懒。。。

wsf123

原帖由 491866227 于 2008-6-13 18:14 发表
如果楼主不提供共享的话，默认的两条全局规则可以不用。（我刚才在虚拟机里测试通过）
至于一会显示10，一会50。就不懂了。

如果楼主确实只能允许全局规则的两条默认规则才能通过。
建议把系统的帐户都加上长长 ...

谢谢你的热心，共享的问题，可能是我的网络一直都这样，只是我以前没用毛豆，没有注意这些问题罢了，可能还是很安全的，要不也不会被毛豆用作默认规则，另外我还有监控，还有主防呢，过这些关也不是很容易，就怕有些厉害的木马劫持……嘿嘿我也不懂，可能杞人忧天了……