Comodo防火墙编辑规则和设置时需要注意的一些细节上的问题

guohouzuo

comodo的网络防火墙的一些细节问题

comodo的防火墙功能和性能都是非常强大的。它功能多而样样强大，而却仅占用少许系统资源。（虽然有些朋友们说comodo占用资源大~不过对比起他的功能来，占用的资源大小还是可以接受的。）

但是在使用它的过程中，我发现comodo在一些地方可以做的更好。首先就是他那令人难以捉摸的规则设置，什么源端口、目标端口，还有那搞不清楚的icmp状态检测，出站入站匹配规则的顺序等等。后来我发现，那个源端口和目标端口应该是这么回事：
           入站  |  出站
源端口    远程端口 本地端口
目标端口  本地端口 远程端口

对于那个icmp状态检测，我确定comodo对icmp是状态检测的~（有人会说了，状态检测是tcp协议的专利，呵呵~建议你去看看《防火墙、入侵检测与vpn》就知道了，状态检测是个大概念，甚至udp都可以用状态检测的方法。）我试过：允许ping.exe进行icmp出站请求，全局规则阻止所有icmp入站的情况下，本机防ping，可以ping通别人（我意思是出站的ping是没被阻止的）证明comodo对icmp实行状态检测，否则不可能接收到目标机器发来的icmp reply。但是允许ping.exe出站的情况下，全局规则禁止icmp出站，竟然无法ping的通。这点就产生了分歧：难道comodo对icmp不是状态监测的？还是说，comodo处理完application rules还要处理global rules，处理的顺序到底是怎样的呢？（pctools这点做的绝对比comodo好，application rules叫内部转发规则，可以由用户安排他的位置，方便用户的把它和别的规则一起编辑，设置顺序）

我们只好再做一个实验：来验证出站时，规则到底执行顺序是怎样的。我做一条全局规则，写上允许icmp出站并记录，应用程序规则禁止ping.exe做任何出站连接。发现防火墙日志，只记录下了禁止ping.exe的icmp出站行为，得出结论：comodo对于任何程序，会先匹配应用程序规则，接着匹配全局规则。

global rules名曰全局规则，就是要让任何情况下，都要处理到他吧！

由这个实验，我们可以得出三点：
1、comodo对于icmp实行状态检测。
2、global rules必将会被处理到
3、入站时，先处理global rules，再处理application rules，出站时，先处理application rules再处理global rules。

对于udp，comodo是否施行状态检测，我目前还没有个实验的思路，如果大家有的话一起讨论讨论。

有些朋友应该注意到了，防火墙设置上，有两项：Protect ARP Cache和Block Gratuitous ARP Frames，这两项翻译过来，一个是保护arp缓存，另一个是阻止无端arp数据包。
这两个选项对于防护arp攻击会有什么效果呢？我引用下官方的帮助文件上的解释：
Protect the ARP Cache
Checking this option makes Comodo Firewall to start performing stateful inspection of ARP (Address Resolution Protocol) connections. This will block spoof ARP requests and protect your computer from ARP cache poisoning attacks.

保护arp缓存
勾上这个选项，comodo防火墙就对arp连接（其实就是arp包）施行状态检测制度。这会阻止arp请求欺骗包，保护你的电脑免遭arp缓存投毒攻击。
看来，勾上这个选项，comodo就会认识出非网关发来的arp“请求”欺骗包，并且阻止他们。这样一些网管软件一类的，就无法更改你的arp缓存了，也就无法截取你对网关发送的数据了。
arp的工作原理是arp请求——arp回复，所以官方这个应该是打错了，应该是arp回复包才能起到欺骗作用，就是说，应该是arp replies.

下面是阻止无端arp数据包：
A gratuitous ARP frame is an ARP Reply that is broadcast to all machines in a network and is not in response to any ARP Request. When an ARP Reply is broadcast, all hosts are required to update their local ARP caches, whether or not the ARP Reply was in response to an ARP Request they had issued
一个无端的arp包是通过广播发送arp回复包给所有网段内的机器，但却不是由任何arp请求而来的。arp回复包如果是广播的话，所有主机就要更新他们的arp缓存，不论是否有arp请求。

可见~他俩功能是重复了。不知道comodo的这俩功能有什么不同，不过效果都是一样：对于arp包施行状态检测机制，阻拦未经arp request而来的arp reply，从而防止本机遭到arp欺骗。

还有个功能，这或许是comodo的特色，但是我看不到他有什么效果，可能是我的实验还不到位：
Do Protocol Analyse

Do Protocol Analysis
Protocol Analysis is key to the detection of fake packets used in denial of service attacks. Checking this option means Comodo Firewall checks every packet conforms to that protocols standards. If not, then the packets are blocked
协议分析是用于探测dos攻击的虚假包的关键，勾上这个选项，comodo防火墙就要检查每个数据包看他是否符合他所用的协议的标准，如果不符合，就要阻止他。

大家懂点网络知识的来看看，comodo防火墙的设置页面上，关于防护dos攻击是通过数据包的速率来判断的，所以这个协议分析到底有没有效果呢，是否能帮助comodo来阻止dos攻击呢？I've no idea~

说了这么多细小的地方，只能说comodo防火墙功能实在是太多了，所以这些地方他表达的不是很明确。但是，大家看过《GUI设计禁忌》的程序员朋友们会知道，comodo这种不明了的、矛盾的地方是绝对不符合gui设计标准的。


希望comodo再这些地方有所改进！


另外，我还发现有些朋友用它防火墙的方法也有些不恰当。
（I've already prepared to receive “eggs”）

我见到过一些坛友们编写的规则，写了一大堆一大堆的，过滤每一个icmp类型的全局规则~只能说，对于这么智能的，甚至给icmp都状态检测了的防火墙，是完全没必要的。你阻拦所有的icmp入站，和阻拦那些address mask request\information request\echo request\timestamp request没有区别，甚至比他更保险。可能那些坛友是担心，过滤所有icmp入站会让ping程序无法返回结果吧。但是事实不是那样的。


有人天天在想，comodo能不能防护arp攻击呢？答案是：能，一部分而已。我之前说道，他有阻拦欺骗包的功能，所以他不需要什么特殊的规则，就可以保持本机不被欺骗（效果我也没测试过，我没怎么想过用comodo来防护arp。但是官方help这么说的）。对于找出攻击源、对网关施行主动防御、不响应非网关的arp request，comodo无能为力（风云这些功能都有，但是他的网络防火墙实在是差劲）。

说了这么多，希望对大家能有帮助，有不同观点的朋友们欢迎提出来大家一起讨论！

大家对局域网攻击或防御感兴趣的话，有空++我建立的这个qq高级群，现在名额不多了，群号86552715

[ 本帖最后由 guohouzuo 于 2009-6-21 21:37 编辑 ]

cqpreson

comodo的设置好像就是出战只要没阻止，那个程序连接的远端返回的数据包会被接收，不能拒绝。

无上至尊

还是看不懂！那么多术语

bbs2811125

comodo资源占用本不大啊~还算是可以了~真要想占用资源少还是用lns或者套装吧