楼主: XMAN4
收起左侧

[讨论] 关于全局允许规则的问题

[复制链接]
抓抓
发表于 2008-6-25 20:31:17 | 显示全部楼层
原帖由 XMAN4 于 2008-6-25 20:08 发表
你都已经allow别人进入你的系统访问了,还谈什么阻止、过滤。。。。“有问题得包”------广播包算不算有问题?(UDP洪水算不算有问题?),,当然还并不止这些。。。。
--------------
Comodo 好像是程序和全局双层过滤吧,记得U版说过,全局规则开启一个允许,没有程序执行,端口还是关闭或者隐藏的。如此说来,程序规则和全局规则岂不是又一个是多余?

关了其中一个,就会关闭相应端口。另外您说的 Allow 别人共享到底是什么,能不能具体举个例子。


没错是双层过滤,,我说得可能模糊了些,比如共享,除了全局要设置,还要设置system-------肯定要这么做,这是一套连带的设置。。比如说我今天要飞往美国,一般都只是说“我要飞往美国”,而不是每次都要说“我今天要买机票乘飞机去美国”,,所以我在提到共享的时候可能省略了一些东西。。那句话也是结合当时的上下文说的。。。可能理解上有误会吧。。

我说的关于allow规则指的是allow本身的隐患性质,,因为它本身就是表达允许的,而允许是包括允许危险的。。防火墙本来要注重的是block了什么而不是allow了什么。。。而且我也讲了,对于某些需要,allow是必要的,但最好应该是短暂的,用完了就block掉,,这种表达与双重过虑无关。。。

“另外您说的 Allow 别人共享到底是什么,能不能具体举个例子”----就是允许别人共享自己。。。。。已经举过例子了。。
XMAN4
 楼主| 发表于 2008-6-25 20:40:14 | 显示全部楼层
好像大家都喜欢说半截儿,

那我就问一句

全局中那条允许P2P监听端口 In 的规则是否等同于 Allow 别人共享?
XMAN4
 楼主| 发表于 2008-6-25 20:43:46 | 显示全部楼层
防火墙要做的最重要的工作就是过滤。。。
------------
这句话听着顺耳

服务不开的话,没防火墙照样行。

另外问您,那个关于删除默认分组的失效问题到底您怎么发现的?我用论坛上的文件分组注册表文件导入,有影响吗
XMAN4
 楼主| 发表于 2008-6-25 20:47:56 | 显示全部楼层
还要设置system-

---------

什么意思,是不是开启相应服务?要是那样的话肯定没辙。全局允许,服务没关,这个好像不是防火墙的错?这种情况下防火墙只能过滤
再往下就是 HIDS 的工作了,否则的话那些大型服务器都别干了。
伯夷叔齐
发表于 2008-6-25 20:53:47 | 显示全部楼层
全局中那条允许P2P监听端口 In 的规则是否等同于 Allow 别人共享?
是的,如果你的程序开放了服务。


那个关于删除默认分组的失效问题到底您怎么发现的?我用论坛上的文件分组注册表文件导入,有影响吗
有一次我去COMMON TASKS的MY PROTECTED FILES里看到默认最上面那个组没有了。于是我添加同样的组,但去删除比如EXE执行文件,COMODO不报警。————大概是这样。


什么意思,是不是开启相应服务?要是那样的话肯定没辙。全局允许,服务没关,这个好像不是防火墙的错?这种情况下防火墙只能过滤
再往下就是 HIDS 的工作了,否则的话那些大型服务器都别干了。

是的,你说的没有错,但有一点偏差,就是局域网单机之间如果开放服务,可能会受到威胁日益增多得ARP攻击,几乎所有防火墙对ARP的防御能力似乎都不强悍,所以就有抓抓的ARP防御规则。————但必须说明的是,规则阻止和过滤是两码事。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 21:00 编辑 ]
抓抓
发表于 2008-6-25 20:58:53 | 显示全部楼层
原帖由 伯夷叔齐 于 2008-6-25 20:17 发表
那就是过滤,如果过滤不了,那就没有办法了,那只有像你的规则那样阻止本机和局域网的通讯了。据说局域网下,所有防火墙要在共享环境下过滤ARP攻击,都有点勉为其难。。。纠正你一点,记得以前你说过开端口就意味着不安全,对吧?!那么我试问,网页访问的服务器开HTTP端口,是不是不安全,我只能说,过滤能力差的防火墙在这个情况下才不安全,防火墙要做的最重要的工作就是过滤。。。这是防火墙好与次的最基本。。。当然,作为HTTP服务器时,专业防火墙过滤这些应用层的协议是长项。。。

我们还是点到为止吧,其实你心里应该明白,谁在防火墙问题上出现了很低级得错误。。。我想再争论下去,谁都无法说服谁,自然有高手会明白谁对谁错。



那句话你没看到吗?---“你都允许了还谈什么过滤........”。。你可以试着去建立一个与对方的互相共享,然后再看看对方的广播包有没有被你过滤掉。。。。。。
对ARP的问题,很早前就说过了,局域网地址解析就是用ARP协议来完成的,只要是局域网就避免不了ARP,这是肯定的,,你不可能直接过滤掉ARP,,通常局域网中ARP欺骗带来最大的危害是产生大量的广播包便局域网变慢以至于瘫痪,,,但你知道形成ARP欺骗最初是从哪里开始的吗?那就是通过广播请求,,,从一开始就阻止这些广播请求就会很好地限制住ARP带来的影响。。。。

“纠正你一点,记得以前你说过开端口就意味着不安全,对吧?!那么我试问,网页访问的服务器开HTTP端口,是不是不安全,我只能说,过滤能力差的防火墙在这个情况下才不安全,防火墙要做的最重要的工作就是过滤。。。”----------那你能告诉我,既然这样,那防火墙中的“隐藏端口”是什么用意??。。。防火墙过滤能力再强,也不能说明allow不是没有隐患的(我一直强调的是allow本身的隐患问题)


对于我来说,这是一个很好的向你学习的机会,,,可以明确告诉我我的低级错误在哪里吗???
XMAN4
 楼主| 发表于 2008-6-25 21:19:29 | 显示全部楼层
是的,如果你的程序开放了服务。
-----------

在程序规则中阻止呢,或者程序没有后开启或者程序关闭呢?还等同于吗?


----------那你能告诉我,既然这样,那防火墙中的“隐藏端口”是什么用意??。。。防火墙过滤能力再强,也不能说明allow不是没有隐患的
---------------
我的观点是必须开启相应的服务,如果服务没开启或者相应的程序规则阻止,单纯的Allow 没什么隐患。

仅仅在全局规则中添加Block 规则一样的,如果你的服务开启了,而你在全局规则中阻止了另一个端口,这个Block基本没用。隐患不是也有吗

除非先来一个阻止所有通讯,然而针对相应服务开启相应端口,这种规则设置出来,如果相应服务不启动,在网络上端口还是关闭的。所以这种好像安全性更高。端口好像是有服务决定开启的。
XMAN4
 楼主| 发表于 2008-6-25 21:20:33 | 显示全部楼层
有一次我去COMMON TASKS的MY PROTECTED FILES里看到默认最上面那个组没有了。于是我添加同样的组,但去删除比如EXE执行文件,COMODO不报警。————大概是这样
----------
官方那边有什么反应?相握这样注册表文件导入的呢,有影响吗?
伯夷叔齐
发表于 2008-6-25 21:21:04 | 显示全部楼层
原帖由 抓抓 于 2008-6-25 20:58 发表



那句话你没看到吗?---“你都允许了还谈什么过滤........”。。你可以试着去建立一个与对方的互相共享,然后再看看对方的广播包有没有被你过滤掉。。。。。。
对ARP的问题,很早前就说过了,局域网地址解析就 ...
你太幽默了,我真想笑。好了好了,我简单点。楼主是想共享,还是不想,不想就用你得规则,想共享,没有办法了,必须允许广播,允许共享端口开放,这个说法没有问题吧!!
后面那个问题是因为大部分是单机客户端用户,没有必要开放端口,个人防火墙在特定时候还是需要作为服务端的,比如P2P,但部分P2P软件只要不影响下载速度,可以例外,此其一;其二,就是个人防火墙和服务端防火墙能力的差异,看看P2P软件为什么监听端口都可以随机生成,再联想现在黑客扫描器的端口针对性,就可以理解了。

[ 本帖最后由 伯夷叔齐 于 2008-6-26 00:37 编辑 ]
伯夷叔齐
发表于 2008-6-25 21:28:22 | 显示全部楼层
原帖由 XMAN4 于 2008-6-25 21:19 发表
是的,如果你的程序开放了服务。
-----------

在程序规则中阻止呢,或者程序没有后开启或者程序关闭呢?还等同于吗?


----------那你能告诉我,既然这样,那防火墙中的“隐藏端口”是什么用意??。。。防火 ...
你可以试下,我觉得原理上没有任何问题。我也支持用户在程序上就阻止掉。
说到这里你还提醒了我一下,由于COMODO的SPI实现程度较高,对于出站请求来的访问,全局的入站阻止规则不会生效,那只是对主动连入的数据包,基于这点,可以看看你们在引用抓抓的规则时,是否在程序上就阻止了与局域网其他电脑的通讯,如果没有,感觉用不了那么多全局规则,直接把SYSTEM的进出阻止,然后把SVCHOST.EXE连入阻止,连出限制一下,别去连出到局域网就可以了,因为抓抓的规则说白了就是禁止局域网的所有共享通讯。

仅仅在全局规则中添加Block 规则一样的,如果你的服务开启了,而你在全局规则中阻止了另一个端口,这个Block基本没用。隐患不是也有吗

除非先来一个阻止所有通讯,然而针对相应服务开启相应端口,这种规则设置出来,如果相应服务不启动,在网络上端口还是关闭的。所以这种好像安全性更高。端口好像是有服务决定开启的。

全局规则阻止出站的话,那么程序网络规则即使允许,那么也不能访问远程,出站只能规则允许或阻止,防火墙不能做主动出站的过滤,任何防火墙都这样;
对于全局入站的阻止,它只能阻止主动连入那种不请自来的数据包,对于出站请求而来的访问和通讯,全局入站规则是没有阻止效力的,防火墙需要过滤的是伪装请求而来的伪包,靠的是SPI,当然这不是能力问题,而是COMODO的SPI机制问题。


相握这样注册表文件导入的呢,有影响吗?
导入我想应该可以,因为牵涉到注册表,我说那个问题,应该是注册表丢失了重要的信息。

[ 本帖最后由 伯夷叔齐 于 2008-6-26 13:29 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 05:57 , Processed in 0.109533 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表