关于全局允许规则的问题

抓抓

原帖由 XMAN4 于 2008-6-25 20:08 发表
你都已经allow别人进入你的系统访问了，还谈什么阻止、过滤。。。。“有问题得包”------广播包算不算有问题？（UDP洪水算不算有问题？），，当然还并不止这些。。。。
--------------
Comodo 好像是程序和全局双层过滤吧，记得U版说过，全局规则开启一个允许，没有程序执行，端口还是关闭或者隐藏的。如此说来，程序规则和全局规则岂不是又一个是多余？

关了其中一个，就会关闭相应端口。另外您说的 Allow 别人共享到底是什么，能不能具体举个例子。

没错是双层过滤，，我说得可能模糊了些，比如共享，除了全局要设置，还要设置system-------肯定要这么做，这是一套连带的设置。。比如说我今天要飞往美国，一般都只是说“我要飞往美国”，而不是每次都要说“我今天要买机票乘飞机去美国”，，所以我在提到共享的时候可能省略了一些东西。。那句话也是结合当时的上下文说的。。。可能理解上有误会吧。。

我说的关于allow规则指的是allow本身的隐患性质，，因为它本身就是表达允许的，而允许是包括允许危险的。。防火墙本来要注重的是block了什么而不是allow了什么。。。而且我也讲了，对于某些需要，allow是必要的，但最好应该是短暂的，用完了就block掉，，这种表达与双重过虑无关。。。

“另外您说的 Allow 别人共享到底是什么，能不能具体举个例子”----就是允许别人共享自己。。。。。已经举过例子了。。

XMAN4

好像大家都喜欢说半截儿，

那我就问一句

全局中那条允许P2P监听端口 In 的规则是否等同于 Allow 别人共享？

XMAN4

防火墙要做的最重要的工作就是过滤。。。
------------
这句话听着顺耳

服务不开的话，没防火墙照样行。

另外问您，那个关于删除默认分组的失效问题到底您怎么发现的？我用论坛上的文件分组注册表文件导入，有影响吗

XMAN4

还要设置system-

---------

什么意思，是不是开启相应服务？要是那样的话肯定没辙。全局允许，服务没关，这个好像不是防火墙的错？这种情况下防火墙只能过滤
再往下就是 HIDS 的工作了，否则的话那些大型服务器都别干了。

伯夷叔齐

全局中那条允许P2P监听端口 In 的规则是否等同于 Allow 别人共享？

是的，如果你的程序开放了服务。

那个关于删除默认分组的失效问题到底您怎么发现的？我用论坛上的文件分组注册表文件导入，有影响吗

有一次我去COMMON TASKS的MY PROTECTED FILES里看到默认最上面那个组没有了。于是我添加同样的组，但去删除比如EXE执行文件，COMODO不报警。————大概是这样。

什么意思，是不是开启相应服务？要是那样的话肯定没辙。全局允许，服务没关，这个好像不是防火墙的错？这种情况下防火墙只能过滤
再往下就是 HIDS 的工作了，否则的话那些大型服务器都别干了。

是的，你说的没有错，但有一点偏差，就是局域网单机之间如果开放服务，可能会受到威胁日益增多得ARP攻击，几乎所有防火墙对ARP的防御能力似乎都不强悍，所以就有抓抓的ARP防御规则。————但必须说明的是，规则阻止和过滤是两码事。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 21:00 编辑 ]

抓抓

原帖由 伯夷叔齐 于 2008-6-25 20:17 发表
那就是过滤，如果过滤不了，那就没有办法了，那只有像你的规则那样阻止本机和局域网的通讯了。据说局域网下，所有防火墙要在共享环境下过滤ARP攻击，都有点勉为其难。。。纠正你一点，记得以前你说过开端口就意味着不安全，对吧？！那么我试问，网页访问的服务器开HTTP端口，是不是不安全，我只能说，过滤能力差的防火墙在这个情况下才不安全，防火墙要做的最重要的工作就是过滤。。。这是防火墙好与次的最基本。。。当然，作为HTTP服务器时，专业防火墙过滤这些应用层的协议是长项。。。

我们还是点到为止吧，其实你心里应该明白，谁在防火墙问题上出现了很低级得错误。。。我想再争论下去，谁都无法说服谁，自然有高手会明白谁对谁错。

那句话你没看到吗？---“你都允许了还谈什么过滤........”。。你可以试着去建立一个与对方的互相共享，然后再看看对方的广播包有没有被你过滤掉。。。。。。
对ARP的问题，很早前就说过了，局域网地址解析就是用ARP协议来完成的，只要是局域网就避免不了ARP，这是肯定的，，你不可能直接过滤掉ARP，，通常局域网中ARP欺骗带来最大的危害是产生大量的广播包便局域网变慢以至于瘫痪，，，但你知道形成ARP欺骗最初是从哪里开始的吗？那就是通过广播请求，，，从一开始就阻止这些广播请求就会很好地限制住ARP带来的影响。。。。

“纠正你一点，记得以前你说过开端口就意味着不安全，对吧？！那么我试问，网页访问的服务器开HTTP端口，是不是不安全，我只能说，过滤能力差的防火墙在这个情况下才不安全，防火墙要做的最重要的工作就是过滤。。。”----------那你能告诉我，既然这样，那防火墙中的“隐藏端口”是什么用意？？。。。防火墙过滤能力再强，也不能说明allow不是没有隐患的（我一直强调的是allow本身的隐患问题）


对于我来说，这是一个很好的向你学习的机会，，，可以明确告诉我我的低级错误在哪里吗？？？

XMAN4

是的，如果你的程序开放了服务。
-----------

在程序规则中阻止呢，或者程序没有后开启或者程序关闭呢？还等同于吗？


----------那你能告诉我，既然这样，那防火墙中的“隐藏端口”是什么用意？？。。。防火墙过滤能力再强，也不能说明allow不是没有隐患的
---------------
我的观点是必须开启相应的服务，如果服务没开启或者相应的程序规则阻止，单纯的Allow 没什么隐患。

仅仅在全局规则中添加Block 规则一样的，如果你的服务开启了，而你在全局规则中阻止了另一个端口，这个Block基本没用。隐患不是也有吗

除非先来一个阻止所有通讯，然而针对相应服务开启相应端口，这种规则设置出来，如果相应服务不启动，在网络上端口还是关闭的。所以这种好像安全性更高。端口好像是有服务决定开启的。

XMAN4

有一次我去COMMON TASKS的MY PROTECTED FILES里看到默认最上面那个组没有了。于是我添加同样的组，但去删除比如EXE执行文件，COMODO不报警。————大概是这样
----------
官方那边有什么反应？相握这样注册表文件导入的呢，有影响吗？

伯夷叔齐

原帖由 抓抓 于 2008-6-25 20:58 发表



那句话你没看到吗？---“你都允许了还谈什么过滤........”。。你可以试着去建立一个与对方的互相共享，然后再看看对方的广播包有没有被你过滤掉。。。。。。
对ARP的问题，很早前就说过了，局域网地址解析就 ...

你太幽默了，我真想笑。好了好了，我简单点。楼主是想共享，还是不想，不想就用你得规则，想共享，没有办法了，必须允许广播，允许共享端口开放，这个说法没有问题吧！！
后面那个问题是因为大部分是单机客户端用户，没有必要开放端口，个人防火墙在特定时候还是需要作为服务端的，比如P2P，但部分P2P软件只要不影响下载速度，可以例外，此其一；其二，就是个人防火墙和服务端防火墙能力的差异，看看P2P软件为什么监听端口都可以随机生成，再联想现在黑客扫描器的端口针对性，就可以理解了。

[ 本帖最后由 伯夷叔齐 于 2008-6-26 00:37 编辑 ]

伯夷叔齐

原帖由 XMAN4 于 2008-6-25 21:19 发表
是的，如果你的程序开放了服务。
-----------

在程序规则中阻止呢，或者程序没有后开启或者程序关闭呢？还等同于吗？


----------那你能告诉我，既然这样，那防火墙中的“隐藏端口”是什么用意？？。。。防火 ...

你可以试下，我觉得原理上没有任何问题。我也支持用户在程序上就阻止掉。
说到这里你还提醒了我一下，由于COMODO的SPI实现程度较高，对于出站请求来的访问，全局的入站阻止规则不会生效，那只是对主动连入的数据包，基于这点，可以看看你们在引用抓抓的规则时，是否在程序上就阻止了与局域网其他电脑的通讯，如果没有，感觉用不了那么多全局规则，直接把SYSTEM的进出阻止，然后把SVCHOST.EXE连入阻止，连出限制一下，别去连出到局域网就可以了，因为抓抓的规则说白了就是禁止局域网的所有共享通讯。

仅仅在全局规则中添加Block 规则一样的，如果你的服务开启了，而你在全局规则中阻止了另一个端口，这个Block基本没用。隐患不是也有吗

除非先来一个阻止所有通讯，然而针对相应服务开启相应端口，这种规则设置出来，如果相应服务不启动，在网络上端口还是关闭的。所以这种好像安全性更高。端口好像是有服务决定开启的。

全局规则阻止出站的话，那么程序网络规则即使允许，那么也不能访问远程，出站只能规则允许或阻止，防火墙不能做主动出站的过滤，任何防火墙都这样；
对于全局入站的阻止，它只能阻止主动连入那种不请自来的数据包，对于出站请求而来的访问和通讯，全局入站规则是没有阻止效力的，防火墙需要过滤的是伪装请求而来的伪包，靠的是SPI，当然这不是能力问题，而是COMODO的SPI机制问题。

相握这样注册表文件导入的呢，有影响吗？

导入我想应该可以，因为牵涉到注册表，我说那个问题，应该是注册表丢失了重要的信息。

[ 本帖最后由 伯夷叔齐 于 2008-6-26 13:29 编辑 ]