对于防火墙“隐身模式”的作用的解释

Magis

我的理解：开放P2P相关端口的时候，如果建立连接的对方用该端口，而且利用非法的有漏洞的P2P软件理论上可以攻击你。但是此时的开放的端口对于未建立关系的第三者依然是隐身的。大家可以试试用emule或BT软件的时候，测下自己的相关端口，依然显示为stealthed。
欢迎各位实验后，指正

guohouzuo

Magis~
通过全局规则开放的端口，应该和应用程序规则上给p2p程序开放端口不太一样，比如说一条全局规则都不写，当有人要连入135端口的时候防火墙会提示你询问是否允许svchost接收传入连接，但如果全局规则直接阻止135传入，那么就不会有提示了，也就是说，全局规则和应用程序没有太大的联系，comodo无法判断某个通过全局规则允许的传入连接和联网的程序关联起来吧。
你说的是在pcflank的stealth test吗？comodo在刚一安装下来的时候就能过那个stealth test，因为他那个是用的端口扫描技术，comodo的状态监测机制可以防止遭到端口扫描，无论是否在隐身模式下。

Packet' type                   Status         
          TCP "ping"                   stealthed         
          TCP NULL                   stealthed         
          TCP FIN                   stealthed         
          TCP XMAS                   stealthed         
          UDP                   stealthed

Check for vulnerabilities of your computer system to remote attacks
Safe                  

Safe!


Trojan horse check
Safe                  

Safe!


不过开放了p2p的端口，能否有什么别的方法来探测到这个端口是开放的从而发现主机，这个~我还真不太知道怎么测试了，呵呵~还请坛友指教。

[ 本帖最后由 guohouzuo 于 2009-6-27 10:43 编辑 ]

ktango

在windows XP及以下的系统，COMODO的全局规则是工作於NDIS层，工作於NDIS层的防火墙要将数据包联系到应用程序是非常困难，所以在NDIS层设置的规则都应用到所有应用程序。个人估计COMODO的应用程度规则是工作於TDI层，工作於TDI层的防火墙优点是能联系应用程序。数据包是通过TDI层再到NDIS层外出，数据包是通过NDIS层再到TDI层进入，如果某个端囗被直接阻止传入，数据包根本不可能传到应用程序，当然不会有任何提示。

如果COMODO用户使用默认的全局规则，无论是否使用隐身模式，它都应该能在互联网隐藏端囗。

lorchid

同意LS的意见~
Comodo 的状态检测是和应用程序规则相关的，当在全局规则建立一条开放端口的规则后，当相关程序运行时，端口是开放的，而当程序关闭以后，端口会自动隐藏。

guohouzuo

顶ktango，magis这回懂了吧

Magis

明白了 应用规则和全局规则工作于不同的layer。

lfj162

学习一下，不太懂。。。。。。。。。

moongate

说的很简单明了啊

tmdyaoming

受教了

demonmars

学习了