关于comodo防火墙规则的疑惑，望高手解答（已解决）

tossball

疑问1：打磨贴中：“Comodo会允许外部传入的正常回应的数据包通过，在这里 Comodo的 TCP SPI / UDP Pseudo SPI 会起作用，它可以判断哪些数据包是属于目前存在的已经建立好的本地连接。简单的说是“许出不许进，或者有条件的进 No Money，No Pass”

这是不是说——应用程序访问规则中只需允许程序出站即可，进站数据comodo可以自动识别？
如果是的话，那Allow IP Out From IP Any To IP Any 岂不是和Allow IP in/Out From IP Any To IP Any 等价（正常数据通讯情况下）？
如果想一个程序只能有数据出站，即使有数据返回也不允许进站，岂不是实现不了了？


疑问2：打磨贴中：“本机 -> Applications Rules -> Global Rules -> 外部网络；外部网络-> Global Rules -> Applications Rules -> 本机”

出站情况下：Applications Rules 允许出站，但Global Rules 中找不到匹配的规则时，程序是不是默认允许出站？（我机子上好像是允许）
进站情况下： Global Rules 允许进站，但Applications Rules 中允许出站且不允许进站时，数据能进站吗？
  Global Rules 允许进站，但Applications Rules中 找不到对应的程序时或者没有程序与之对应（如ICMP echo  reply），请求是不是默认被拒绝？







[ 本帖最后由 tossball 于 2009-1-3 13:38 编辑 ]

伯夷叔齐

这是不是说——应用程序访问规则中只需允许程序出站即可，进站数据comodo可以自动识别？
如果是的话，那Allow IP Out From IP Any To IP Any 岂不是和Allow IP in/Out From IP Any To IP Any 等价（正常数据通讯情况下）？
如果想一个程序只能有数据出站，即使有数据返回也不允许进站，岂不是实现不了了？

在允许应用程序访问外部某地址后，该地址与本机应用程序建立通讯的正常数据包才会被COMODO自动识别允许；Allow IP Out From IP Any To IP Any 与Allow IP in/Out From IP Any To IP Any 的区别在于，第二条如果该程序开放了服务，那么就允许外部主动访问本机这个指定程序的特定端口和特定服务。

出站情况下：Applications Rules 允许出站，但Global Rules 中找不到匹配的规则时，程序是不是默认允许出站？（我机子上好像是允许）

如果要出站或者入站，全局规则和程序网络规则都必须允许，缺一不可，这样增加了系统的安全性，如果要禁止此访问连接，网络全局规则或程序网络规则只需要禁止任何一点，就可以阻止此访问连接。

进站情况下： Global Rules 允许进站，但Applications Rules 中允许出站且不允许进站时，数据能进站吗？
  Global Rules 允许进站，但Applications Rules中 找不到对应的程序时或者没有程序与之对应（如ICMP echo  reply），请求是不是默认被拒绝？

全局规则和程序网络规则的任何一部分，里面的规则并不是非要列出来，里面的规则是上下逐一匹配。

[ 本帖最后由 伯夷叔齐 于 2009-1-3 02:01 编辑 ]

Mr.Z

進來跟伯夷叔齐學習

tossball

在允许应用程序访问外部某地址后，该地址与本机应用程序建立通讯的正常数据包才会被COMODO自动识别允许；Allow IP Out From IP Any To IP Any 与Allow IP in/Out From IP Any To IP Any 的区别在于第一条阻止非请自来的数据包，也就是说，程序不允许外部主动访问的数据来访问本机本程序，也就是说本机，本服务器不作为服务端，除非我主动连接你才可以建立相互的通讯，而你无法主动连接我；而第二条是开放了该程序的服务，允许外部主动访问本机指定程序。

你说的我能理解，但是如果想一个程序只能有数据出站，即使有数据返回也不允许进站，岂不是实现不了了？这个问题没回答，能实现吗？（不管有没有实际意义）

如果要出站或者入站，全局规则和程序网络规则都必须允许，缺一不可，这样增加了系统的安全性，如果要禁止此访问连接，网络全局规则或程序网络规则只需要禁止任何一点，就可以阻止此访问连接。

缺一不可？？？问题是Global Rules 中找不到匹配的规则（没有禁止），此时comodo如何处理呢？拒绝访问吗？

说白了，就是comodo的网络请求处理流程问题，能把
本机 -> Applications Rules -> Global Rules -> 外部网络；外部网络-> Global Rules -> Applications Rules -> 本机
详细分析一下吗？

伯夷叔齐

原帖由 Mr.Z 于 2009-1-2 23:59 发表
進來跟伯夷叔齐學習

别这样说，我感到有点无地自容。但我还是很感谢你的支持。更多的应该向你学习才是。

你说的我能理解，但是如果想一个程序只能有数据出站，即使有数据返回也不允许进站，岂不是实现不了了？这个问题没回答，能实现吗？（不管有没有实际意义）

程序网络规则 或 网络全局规则里，禁止外部主动访问本机（Block IP in From IP Any To IP Any ）只是针对外部主动访问连接，而对于本机特定程序的出站访问后，而建立的外部连入通讯不在此列。

问题是Global Rules 中找不到匹配的规则（没有禁止），此时comodo如何处理呢？拒绝访问吗？

P2P友好模式里的确没有Block IP in From IP Any To IP Any 这一条，这都是基于COMODO的SPI的优秀能力，因此在P2P友好模式里，我们是看不到这一条规则的。P2P模式意味着如果有程序需要作为服务端让外部主动连入，一旦程序网络控制跳出访问请求询问而允许，那么网络全局规则就不会阻挡外部主动连入访问，这是为了方便用户。

题外话，所有跳出的出站入站访问提示框，都是COMODO在TDI层对程序进行的控制，单纯的工作在NDIS层的防火墙是监控不了具体是哪个程序在进行网络通讯的，当然，COMODO肯定是一款基于NDIS驱动的防火墙，NDIS层过滤部分是在全局规则那儿。现在优秀的个人防火墙都是同时在TDI和NDIS层下工作。。。TDI层下过滤的目的是为了更好的监控是哪个具体程序的网络通讯。。。NDIS层下过滤的效果肯定会更优秀。。。但对程序网络通讯控制力几乎不存在。。去对比一下CHX-I和COMODO，OP,ZA的区别，就明白了。。

[ 本帖最后由 伯夷叔齐 于 2009-1-3 00:35 编辑 ]

tossball

AR：Applications Rules
GR：Global Rules
出站：（所有情况）
本机--AR无规则--询问--拒绝或者允许
                                       AR拒绝--出站拒绝；
                                       AR允许--GR拒绝--出站拒绝；
                                                      GR允许--出站允许；
                                                      GR无规则--？？？
入站：
外部网络--GR无规则--？？？
                GR拒绝---访问拒绝；
                 GR允许----AR允许--访问允许；
                                  AR拒绝--？？？
                                  AR无规则--？？？
现在就对红色部分，不甚明了，各位老大解释下

伯夷叔齐

AR：Applications Rules
GR：Global Rules
出站：（所有情况）
本机--AR无规则--询问--拒绝或者允许
                                       AR拒绝--出站拒绝；
                                       AR允许--GR拒绝--出站拒绝；
                                                      GR允许--出站允许；
                                                      GR无规则--？？？

是这样的，除非程序存在安全漏洞和安全隐患，只要D+部分设置得当，那就不需要阻止出站的规则，否则在程序出站时出现提示框，你就该阻止掉它，没有阻止出站的规则，就意味着放行。


入站：
外部网络--GR无规则--？？？————是的，究竟是阻止或允许，就看AR的提示框了。
                GR拒绝---访问拒绝；
                 GR允许----AR允许--访问允许；
                                  AR拒绝--？？？————拒绝的话，那么就阻止了外部访问本机。
                                  AR无规则--？？？————允许或阻止掉的同时，必须勾选，才可能建立规则，否则，只是对本次访问的允许或阻止。或直接手动建立规则。

抓抓

这是不是说——应用程序访问规则中只需允许程序出站即可，进站数据comodo可以自动识别？
----------------------------------------
是的，没错。。





如果是的话，那Allow IP Out From IP Any To IP Any 岂不是和Allow IP in/Out From IP Any To IP Any 等价（正常数据通讯情况下）？
----------------------------------------
Allow IP Out From IP Any To IP Any 仅代表“允许所有出站连接”。。
Allow IP in/Out From IP Any To IP Any代表“允许所有出站和进站连接”（此时不请自来的数据也可以进站，也就是允许外部共享）





如果想一个程序只能有数据出站，即使有数据返回也不允许进站，岂不是实现不了了？
----------------------------------------
Allow IP Out From IP Any To IP Any
block IP in From IP Any To IP Any
这样就实现了。。。





出站情况下：Applications Rules 允许出站，但Global Rules 中找不到匹配的规则时，程序是不是默认允许出站？
----------------------------------------
是的，没错。。





进站情况下： Global Rules 允许进站，但Applications Rules 中允许出站且不允许进站时，数据能进站吗？
----------------------------------------
不能。。。





  Global Rules 允许进站，但Applications Rules中 找不到对应的程序时或者没有程序与之对应（如ICMP echo  reply），请求是不是默认被拒绝？
----------------------------------------
这个问得好。。。不会没有程序与之对应，，，入站的目的要么连接应用程序，要么连接system。。。否则没意义。。

tossball

现在都清楚了，感谢伯夷叔齐和抓抓两位老大，感激涕零

tossball

最后一个疑问：

在允许应用程序访问外部某地址后，该地址与本机应用程序建立通讯的正常数据包才会被COMODO自动识别允许；

其中的这个正常的数据包能被阻止吗？（我机器上MS没有方法阻止，IE使用outgoing only规则，依然正常浏览网页。）
用抓抓的方法能行吗？

如果想一个程序只能有数据出站，即使有数据返回也不允许进站，岂不是实现不了了？
----------------------------------------
Allow IP Out From IP Any To IP Any
block IP in From IP Any To IP Any
这样就实现了。。。

[ 本帖最后由 tossball 于 2009-1-3 01:42 编辑 ]