关于全局允许规则的问题

491866227

唉。。。怎么没人质疑p2p模式呢？
看来大家对comodo的程序规则模块都很放心。

[ 本帖最后由 491866227 于 2008-6-25 22:29 编辑 ]

抓抓

原帖由 XMAN4 于 2008-6-25 22:18 发表
没有看得太懂，如果你能发截图来，全局和程序的都发上来，那就最好了
----------
我说的都是最基本最不自动的防火墙，现在的防火墙都很高级了。
一种规则写法，添加一个允许全部连接的规则，然后一个一个阻止想要阻止的端口连接。
另一种写法，首先阻止所有连接，然后一个一个添加允许的规则。
我们在全局规则中仅仅写上阻止某个端口或者ICMP 入站，那不和第一种写法有些类似？ 当然如果默认全局规则什么不写就是关闭的话，应该没太大问题。
总觉得在全局规则里面加一个阻止其它所有连接心里踏实。

“另一种写法，首先阻止所有连接，然后一个一个添加允许的规则。”-------都已经首先阻止了所有连接，那下面添加的允许还有什么意义？

怎么觉得“实际说的那个全局只需要 Block 的规则属于第一种，不大安全啊”与“总觉得在全局规则里面加一个阻止其它所有连接心里踏实。”有点看不懂？？

伯夷叔齐

原帖由 XMAN4 于 2008-6-25 22:18 发表
没有看得太懂，如果你能发截图来，全局和程序的都发上来，那就最好了
----------

我说的都是最基本最不自动的防火墙，现在的防火墙都很高级了。

一种规则写法，添加一个允许全部连接的规则，然后一个一个阻止 ...

http://bbs.kafan.cn/viewthread.php?tid=271316&extra=page%3D2六楼是我得解释
http://bbs.kafan.cn/viewthread.php?tid=269585&extra=page%3D4四楼是我得解释
一家之言

XMAN4

因为前一段装了Linux ，防火墙教程就是这样说得,基本上两种写法。而且系统本身默认基本关闭了所有端口，比如 ubuntu 。用nmap 扫的。只有你开启相应服务，比如升级，端口才开放。Linux 防火墙的写法差不多，不过多数不是图形界面，需要一个一个输，第二个基于程序的防火墙少，都是过滤包和协议的。好像好像文件完整性和防入侵在 Linux 上都是靠 HIDS 实现，可是本人对 Linux 服务和进程一窍不通，不是图形界面的东西用起来更糊涂，那些 HIDS 规则看不懂，文件交验也不懂，也不知道一般的网马对 Linux 有没有害，所以现在根本不敢用 ubuntu上网，万一被入侵了或者弄进木马就不好办了。但是像 ubuntu 这种防火墙都是内核级的，你可以通过升级来增加功能，比如防 ARP，而且 Linux 基本不怕病毒，就是中了，损失也不大，类似于 Vista 的UAC

491866227

楼主越说越远了。。。
还是绕回来吧。
不然他们就更加看不懂了。

XMAN4

“另一种写法，首先阻止所有连接，然后一个一个添加允许的规则。”-------都已经首先阻止了所有连接，那下面添加的允许还有什么意义？
----------

你先别急，有的是由上往下匹配，有的是由下往上匹配，有的不分先后顺序，但是逻辑的。

这个“先后”顺序是这样的，先阻止所有连接，需要哪个服务，开启那个端口。没有被允许的，依然被阻止的规则阻止。

先允许所有连接，在一个个阻止，就是说没被阻止的仍然被允许，这是防火墙最基本的两种规则写法，Comodo 也不例外。那条阻止一切的规则就是这个意思。不要以为它放在最下面就是“后”。我个人是这么理解的

[ 本帖最后由 XMAN4 于 2008-6-25 22:38 编辑 ]

抓抓

原帖由 XMAN4 于 2008-6-25 22:37 发表
“另一种写法，首先阻止所有连接，然后一个一个添加允许的规则。”-------都已经首先阻止了所有连接，那下面添加的允许还有什么意义？
----------

你先别急，有的是由上往下匹配，有的是由下往上匹配，有的不分先后顺序，但是逻辑的。

这个“先后”顺序是这样的，先阻止所有连接，需要哪个服务，开启那个端口。没有被允许的，依然被阻止的规则阻止。

先允许所有连接，在一个个阻止，就是说没被阻止的仍然被允许，这是防火墙最基本的两种规则写法，Comodo 也不例外。那条阻止一切的规则就是这个意思。不要以为它放在最下面就是“后”。我个人是这么理解的

要不是你最后的这句话，我还不能肯定你在说什么呢。。。
当然，你说的这两种情况，相对来说，第一种容易做得更安全些，，毕竟的第二种“先允许所有连接，在一个个阻止”中，你不可能清楚所有危险的连接，。。。但第一种你起码还知道一部分相对安全的连接，除了这部分相对安全的连接之外，其它的都阻止了，这样肯定相对安全些。。。。
“不要以为它放在最下面就是“后”。”-----从优先级来说，放在后面的肯定“后”，，，只是某些时候你的请求不在前面规则的约束之内，而直接“执行”最后那条罢了，但这也不能说明它就不是“后”了。。。

XMAN4

你看看，你说的是优先级，我说的是规则制定的思路，先后的含义不同。只能说在这种规则思路下一个一个允许的优先级要高于阻止一切的规则才有效。但是这种规则的基本方针就是“先”阻止一切连接



像 Windows 这种默认开启很多服务的操作系统，或者个人用户什么网都上，什么程序都装得才会有些不明服务。现在越来越觉得 Windows 的理念有些问题————后台开启了很多用不到的服务，不如把常用的功能弄得很大很显眼放在桌面上，像开关一样，谁用就开，用完了就关上安全。比如写上——“升级”画一个开关图标放在桌面上，一摁，开关合闸，升级开始，“新闻”，啪一摁，就浏览网页，也没必要开机不言语一声就把这些服务开了。

[ 本帖最后由 XMAN4 于 2008-6-25 23:37 编辑 ]

抓抓

原帖由 XMAN4 于 2008-6-25 23:36 发表
你看看，你说的是优先级，我说的是规则制定的思路，先后的含义不同。只能说在这种规则思路下一个一个允许的优先级要高于阻止一切的规则才有效。但是这种规则的基本方针就是“先”阻止一切连接



像 Windows 这种 ...

希望有人能真正看懂你表述的内容。。。

491866227

个人觉得你说的和我想的差不多。
只是好像跟你 一楼的疑问 又是另一回事。
一个一个问题来嘛。不然大家又乱了。

[ 本帖最后由 491866227 于 2008-6-26 10:05 编辑 ]