千万不要让Comodo Internet Security的网络防火墙打开端口！

heroa

看到很多人用Comodo Internet Security的防火墙，谁实话，这并不是一个易用的防火墙，单说网络防火墙就不容易使用的不只是Defense+。
Comodo防火墙不管是程序出站还是外面的连接进来都需要手动根据弹框提示用鼠标点击允许或则是阻止。它是个需要动手能力很强的防火墙。
然而在system.exe和svchost.exe等重要的进程连接网络的时候会弹出提示弹框。
很多人根据弹框提示发现system.exe和svchost.exe等进程是安全程序就直接点击允许来自外面的连接，这时候防火墙的端口已经被你打开了，已经打开了端口还需要防火墙做什么。
所以千万不要打开COMODO防火墙的端口，
一条准则，凡是system.exe和svchost.exe等这些程序COMODO弹框提示来自外部的连接通通点击阻止。
即是：阻止一切外部连接，适当允许内部程序连接到网络上。
这样COMODO防火墙才真正起了网络防火墙的作用，如果打开端口和没装防火墙没什么两样。
我敢说现在用COMODO的大多数人都已经让COMODO失去了网络防火墙的保护作用了，什么都允许不如不用防火墙。
建议大家用https://www.grc.com/x/ne.dll?bh0bkyd2
检查一下自己COMODO防火墙的端口吧看多少端口是打开了的。
如果端口已经打开，要么修复COMODO防火墙用默认设置的规则一切回头来过比较简单，
要么在规则里为打开的端口编辑TCP、UDP阻止外面连接规则也可以实现隐身。
还有也可以换其他默认就已经完全隐藏所有端口的防火墙比如Outpost Firewall Pro，PC Tools Firewall Plus等。
另外防火墙的基本是网络防火墙不是HIPS系统防火墙，网络防火墙如果失效那整个防火墙就失效了。
电脑首先要保护的是端口，然后才是系统里的程序和数据。
COMODO网络防火墙的默认规则防御很好的，建议全局规则不要增加了就用默认。





[ 本帖最后由 heroa 于 2009-6-30 18:41 编辑 ]

heroa

这并不是一个易用的防火墙，但是根据弹框提示阻止一切外部连接后隐藏了所有端口其他就简单多了。
而Outpost Firewall Pro，PC Tools Firewall Plus默认设置防御效果是极好的，非局域网绝对没有打开端口的现象存在。
不管是什么服务，端口红色打开了就意味着不安全，grc.com扫描结果一般还是准确的。
Outpost Firewall Pro不会像COMODO出现这样的情况在默认设置下。
如果不小心手动打开了端口说明了什么？


[ 本帖最后由 heroa 于 2009-6-30 18:42 编辑 ]

saga3721

不允许外部连接驱动之家的东西就没法下载了，能隐身的防火墙就算允许svchost.exe入站也一样保持隐身

一力破十会

虽然赞同你的想法;

但是觉得...标题有吸人眼球之嫌...有点吓人吧.

没有不安全的端口，只有不安全的服务.
要关闭端口，就要先关闭相应的服务.
与其"千万不要打开端口",不如千万注意"服务"!

"千万..."这个词...还是挺吓人的.

kangdell

不过说的挺有道理

月光下的忍者

端口的安全性
经常有人说，我的机子开了xxx个端口，xx端口不安全。
其实，端口是没有安全性的，真正影响安全的是端口背后的服务。
因为端口是由服务开启的，要关闭端口，就要关闭相应的服务。
所以，本机要运行什么服务，一定要使用最新、最安全的版本。至于，开启哪个端口，并不是最重要的。
没有不安全的端口，只有不安全的服务(程序)。

```````````````````````````````````````````````````````````````````````——汉芯首席打磨师 Ubuntu

xinhaozs

看过U版的打磨毛豆说过：有几个特殊程序，再讲一下：
System
LAN(局域网) 或 完全阻止(无局域网)

Windows Updater/Svchost
LAN(局域网) 或 Outgoing Only(无局域网)

ts2884664

真的打开了几个端口了，换了毛豆就不知道怎么隐藏端口，如果说要隐藏1050端口，请问要怎么做呢？最好附上图，因为不是很清楚毛豆的选项位置

劉邦

如果不懂系統程序的話，只是一味點允許，任何一款防火墻都不安全，不只是毛豆。

換句話說，如果對系統完全是超級菜鳥水平，不管是防火墻還是HIPS，甚或殺軟都不安全。

只有對系統熟悉，知道裝完系統需要關閉一些無用、危險的服務，關閉一些用不上端口的用戶才能使防火墻、HIPS、殺軟發揮真正的效應。

比如關閉137、138、139、443端口，需要停用NetBios over Tcpip，關閉135需要在注冊表修改鍵值等等，這些手動項需要懂系統。

使用IP端口策略也必須用戶知道那些端口有用、常用，哪些端口無用，最好是自己知道怎么寫一個批處理文件把常見的木馬端口關閉。

如果不懂系統，即使使用最簡單的殺軟也會出問題，殺軟的誤殺就是例子，用戶不會判斷會造成不必要的麻煩。

SO，不管是毛豆還是其他防火墻、HIPS，或者殺軟，只是一款軟件，或者比喻為一種武器，具體能達到多大的功效，要看使用者本人。一把尖端的狙擊步槍放在一位盲人的手里強不過導盲棍，甚至還會誤傷別人和自己。

ktango

楼主恐怕对comodo防火墙的规则设置上有点混沌。
1)System
a)如果用户不是局域网当然是拦截所有外出进入的数据包。
b)局域网用户也应该只允许对信任的局域网IP主动接连，就算这个端囗是开放，理论上不存在安全上的问题。

2)svchost.exe
正常情况下svchost.exe只需要使用以下的远程端囗
a)本地默认端囗连接远程UDP及TCP端囗53(域名解释)
b)本地端囗123连接远程UDP端囗123(时间同步)
3)本地端囗67连接远程UDP端囗 68(分配动态的IP地址)
4)本地默认端囗连接远程TCP 端囗80及433(系统更新)

基本外部接连svchost.exe都应该拦载，在太部份情况下，svchost.exe不需要接受主动接连，这是基於安全的理由而不是隐藏端囗。

3)P2P软件
某些P2P软件需要开启本地端囗作监听端囗，设置监听端囗后，当上述应用程序启动，监听端囗已经被它占用，就算这个端囗接受主动接连，它不会对本机的扫描作回应，端囗还是隐藏的。

还有的是Outpost Firewall Pro、PC Tools Firewall Plus及COMODO防火墙在Windows XP系统下都是工作於TDI层及NDIS层，请问网络防火墙如果失效那整个防火墙就失效是什麽意思，TDI层及NDIS层同时失效？