Comodo Firewall V2 FAQ 常见问题整理

ubuntu

COMODO程序监控器的肤浅认识  by 伯夷叔齐


经过半年COMODO防火墙的使用,小结了下面几个经验，没有具体理论支持，仅仅是使用经验，且已经通过用杀毒软件查杀出木马证实.比如下面所说的第一种情况，我已经三次遇到，且现象甚是明显，一次是QQ，（GHOST恢复解决）一次是遨游浏览器，（用AVG ANTI-SPYWARE解决）一次是火狐狸浏览器，（红伞和AVG ANTI-SPYWARE查杀解决）

象COMODO这样的应用层防火墙，原则上是允许程序任意端口通过，当允许某程序运行并记忆,一般情况下,(默认状态下，COMODO的报警级别是"低")在程序监控记忆中，都是显示允许任意端口;程序运行时，COMODO不断跳出不同的正常端口的允许请求对话框，当允许并记忆时，COMODO会把具体端口号记录于程序监控器里时，那么,很有可能你的这个程序已经中木马,这些可能是木马外连的表现;(当然了,当报警级别设置成较高时,在记忆并允许或拒绝情况下，程序监控器会记录具体端口,尽管COMODO也认为是正常运行情况)







希望COMODO防火墙使用者关注,或者是辩驳我也许是错误的判断。

不管我说得对与错，至少我想，我们毕竟进入了一个有意义的讨论,这才是真正的意义.我们不光要爱这款防火墙，更要懂这款优秀的防火墙，这样，爱才能够有趣，才能够持久，才能够升华。否则再好的东西，你也不会发觉它的优势。

ubuntu

我对一些问题的回复整理  by ubuntu

原帖由 yangsimu 于 2007-1-5 21:42 发表
重大疑问：
我装了2.4的测试版，为什么在天网的测试网上，23和443两个端口不是隐形而是开放？如此安全性低了许多啊，规则我没有动过

Comodo 默认对外是“不可见”的，你看一下扫描的是本机IP吗？ 对于内网，扫描的是路由或网关。

原帖由 yangsimu 于 2007-1-5 21:48 发表
comodo中，我看到了LNS的影子，好象它的理念和LNS很象，就是网络上多风险，只有得到允许的才能上网，因此，网络规则优于程序规则，程序规则允许了，网络规则没有照样上不了网，如BT.那么，我们可不可以参考LNS的规则，特别是那个什么Phan...什么的牛人规则包，毕竟,LNS安全全靠规则强和理念不同于OP。COMODO和LNS很象，我们是不是可以移植LNS中的优点？请Ubuntu多指导

你很细心，Comodo在某些方面是和LnS很像，如你所说，都是由两层保护构成：应用程序过滤和互联网过滤，两者既独立，又有联系。这样和一层设计比，极大提高安全性。Phant0m 的规则，Comodo已经通过Do protocol analysis 实现，甚至更全面。因为Comodo实现了TCP/UDP SPI，而LnS只有TCP SPI 。应用程序过滤，Comodo是双向的，而LnS是单向的，Comodo更全面。
Comodo V2.x 没开放像Phat0m 那样可以控制TCP标志的底层规则，V3会在规则定制方面加强。因为，像Phant0m那样的规则，一但出错，会破坏TCP SPI的正常过滤，反倒不安全。这也是为什么，只有Phant0m这样的强人，才会出LnS规则，而你看不到其他人的。

原帖由 yangsimu 于 2007-1-9 12:58 发表
提问
在ＬＮＳ中，定义了一条规则后，可以庙宇该规则生效的时间，即是，如果用一条规则开了一个端口，那么在你设定的软件运行前，这条规则不生效，端口没有打开，这样不是更安全吗？ＣＯＭＯＤＯ设定了一条规则，就打开了一个端口，然而在平时，你并不一定需要这个端口的通讯，这样会不会不安全？

LnS 在 http://www.pcsafety.com.cn/forum/ 有很多讨论，我也做过回复，并不是像你理解的那么简单。LnS的互联网过滤规则一旦激活，对所有通过应用程序过滤的程序都有效。

下面是我以前的关于Comodo的回复：

假设防火墙都设置了BT规则。不管什么防火墙，只要BT运行，那么监听端口是开放的 Open。

关于BT端口，比如你用CHX-I 这种只有包过滤的防火墙，当BT程序不运行时，因为没有程序监听这个端口，这个端口是Closed(关闭)的，当BT运行，监听端口，那么是开放的。

对于Comodo，Outpost等有程序过滤的防火墙，当BT不运行，由于检测到没有任何程序监听这个端口，那么这个端口是Stealth(隐藏)。

你可以在pcflank.com -> Advanced Port Scanner 自定义扫描你的BT端口，可以证实。

另外即使在用BT时开放某个端口，Comodo 还有 Do protocol analysis，对不符合协议的数据包进行过滤，比如Phant0m 规则包里那些带特殊标志的TCP 数据包。

Comodo防外能力也是很强的，带有IDS，可以防御一定程度的DOS攻击，(TCP Flood、UDP Flood、ICMP Flood)和端口扫描Port Scan。对于端口扫描的主机，可以自动屏蔽，默认是5分钟。这些在你运行BT并开放某个端口时，仍然可以对这个端口的攻击进行防御。

当受到DOS攻击，并且Block无效的时候，还可以进入紧急状态，默认持续120秒，此时只允许向外发送数据包，拒绝任何数据包进入。

原帖由 hubuz 于 2007-1-20 11:52 发表
lada:
采用comodo2.4默认规则，在发邮件上传附件时被fw拦截，不知如何修改规则.

如果选择允许，Comodo的网络规则不会阻止发送邮件，最好看一下是否和其它软件有关。

原帖由 naoher 于 2007-1-20 11:19 发表
怎么样才能让Comodo 开机自动启动啊  我用的是2.4正式版中文

Comodo 2.4 安装完成就是开机自动启动，应该是你的安装出现问题。

原帖由 hotkiss718 于 2007-1-20 12:02 发表
我是通过小区宽带的pppoe拨号上网的，不知道应该怎样定义Internet Zone.

拨号由于IP不固定是无法定义 Internet Zone的，只能用Any 。

原帖由 wellkobe 于 2007-1-22 15:15 发表
我是在局域网的机子
有几台机子需要访问我上面的文件
怎么设置才能让他们访问呢
现在是被阻挡了的...........

先 添加一个区域，本地局域网，然后到
任务 -> 向导 -> 定义一个新的信任网络区域
重启系统

原帖由 naoher 于 2007-2-1 11:54 发表
装了COMODO 还用装SSM吗？

在Comodo 3.x 发布以前，需要HIPS的话，SSM是个不错的选择。

原帖由 hotkiss718 于 2007-2-8 18:13 发表
日期/时间: 2007-02-08 18:06:38级别: 高报告者: 网络监视器描述: 被协议分析功能屏蔽（无效标志组合）方向: TCP 入站 来源: 220.184.73.133:3592 目标: 60.221.66.142:52670 理由: ACK RST PSH URG   TCP 标志组合无效

理由是被协议分析功能屏蔽（无效标志组合），所以只要关闭协议分析就可以。 但是为了安全，协议分析功能是不建议关闭的。
ACK RST PSH URG   TCP 标志组合无效，这个TCP 标志组合的数据包，不是正常的TCP 连接产生的，不符合TCP/IP 协议，所以被协议分析屏蔽。


回chn9527 ：魔兽争霸　请看此贴：　http://bbs.kafan.cn/viewthread.php?tid=88554&extra=page%3D1

回rats ： Component Monitor关闭和学习模式，安全性上差别确实不大，学习模式只是增加了自动添加组件规则的能力。即使CM 关闭，只要程序行为分析的选项未作修改，和组件有关的可疑行为，Comodo还是会警告的。

原帖由 jzhhh 于 2007-1-6 00:02 发表
Comodo的规则还需要灵活一点，因为没有办法用1条规则（应用程序监视器）设置单独的端口＋一串端口（如，21，80，3076－3078（迅雷））

Comodo 的规则设置界面设计的确实很一般，V3 已经重新设计了针对高级用户的规则设置界面。

原帖由 zmfxx 于 2007-1-6 06:39 发表
好像comodo的hips重点是在他的av上,但是我这里装cav都是003错误,无奈了

cfp的RC1出了,版本号2.4.11.135

多谢提醒，已经更新。
大BOSS说了，V3 是Full HIPS。

CPF v3 will have full hips and if you install both CPF v3 and CAVS v2, then CPF v3 will provide all the HIPS functionality and CAVS v2 won't enforce its hips functionality.

[ 本帖最后由 ubuntu 于 2007-9-4 21:05 编辑 ]