新版毛豆是这样的吗？

8090s

一直在用CIS V4 ，可是前天由于某些原因系统登录灰常慢，启动到桌面竟然要30分钟！！于是把EVA和CIS 卸载了重新安装，装好后系统就正常了！
可是看了一下毛豆的防火墙全局规则发现。。。。。。！！！和原来的默认全局不一样，上次用毛豆V4的时候我还添加过全局规则，记得没有一个是和这个一样的，具体如图所示：

8090s

这个全局规则一个都看不懂啊！难道是V4更新后被官方改成这样的吗？

liqing0305

我用不习惯 风行啊  金山卫士 根本安装完成后连接不了网络  

zlj_lf

[:27:]COMODO默认的防火强全局规则就是这个。自己参照U版大人的贴子自己把全局规则添加进去，很容易的。

xiaoyv

貌似是的

伯夷叔齐

回复 4楼 zlj_lf  的帖子


没有必要，这不是隐藏端口模式，即使不添加上面的允许部分，默认全局已经允许了（SPI过滤），除非你程序部分阻止掉。





这是默认的P2P全局规则，以前可能你用的是默认的“端口隐藏全局规则”。
这个规则比以前的P2P规则有一些改变。以后也许会越来越少。

zlj_lf

回复 6楼 伯夷叔齐  的帖子

叔齐指教的是，不过我说的就是端口隐藏模式啊，能用端口隐藏不用白不啦。。。

伯夷叔齐

回复

叔齐指教的是，不过我说的就是端口隐藏模式啊，能用端口隐藏不用白不啦。。。
zlj_lf 发表于 2010.6.26 19:05

其实对COMODO来说，默认P2P模式下，端口隐藏不隐藏，不是全局规则说了算（因为全局没有阻挡，是单方面允许了的，当然只是说默认条件下），而是程序网络控制部分的规则说了算；“P2P模式下，全局告诉程序控制部分：只要你这里允许，我这里就没问题，照你意思，绝对放行。”或者理解为：“我这里是开着的哟！放行不放行就看你自己了，我这里照办。”所以这样的情况下，程序控制部分只要判断正确，阻止远程入站访问本机的××端口，那么全局自然就允许连入，也就开放具体某个端口以提供服务；反之，程序部分针对某特定程序阻止连入，你把全局怎么折腾都没用。我说这些你可以通过在线端口扫描来印证。

而隐藏模式下，则是全局规则说了算,现在的V4.1应该不询问的情况下，如果不在全局添加特定允许规则，你怎么都不会开放任何端口。

以前V3时代，程序部分也要询问，比如即使你允许外部访问本机80端口，但在全局隐藏规则下，对方也无法主动连入。现在V4.1做得很完善了，只要是隐藏模式，程序部分对外部连入就不报了，但如果记录阻止日志，你就会发现防火墙报的不是具体某程序阻止连入，而是windows operating system阻止连入到某端口。

总结：“程序网络控制部分”与“全局规则部分”，如果程序控制部分如各条江河，它都要流入大海，那么全局部分就是大海入口，两者一项阻止，则全盘阻止，要允许，则两者缺一不可。

还有一种拟人化比喻，程序控制部分就如同高级管理者，懂管理而没有技术，全局部分就如同专业保卫，有技术而不懂管理，全局只有在程序控制部分的有效管理下，更能够充分发挥自己的技术优势。

所以很多人用很牛逼的专业软防，如果不导入规则，那么程序管理上就很难捉摸，没有任何程序提示、反馈，就如同只有高级技术保卫而没有管理员和经理，不得不把“老板”和“董事长”（这里指用户本人）推到前台来充当经理和管理者的角色。



一、如果你要用隐藏模式，最后一条规则是隐藏模式的关键规则，这个前提下，红框部分就是多余，同时还有第三条、第六条也没有必要设，当然要看你版本是多少，即使版本是V3，第三条也没有必要，因为有第二条，因此第三条会由程序发出ECHO请求而允许ECHO应答的ICMP数据报的接收，COMODO的ICMP 虚拟SPI在V3时就能够做到这点；V4时代，ICMP的SPI继续完善，因此第六条“允许ICMP进入 从IP 任意 到IP 当ICMP消息是 端口不可达”也没有必要设置，以前的教程规则可以做出适当修改。

二、如果是P2P模式，最后一条规则 加上 上面的允许部分就是多余。

第一条规则具体内容不详，就不做分析了。

zlj_lf

回复 8楼 伯夷叔齐  的帖子

谢谢叔齐兄指教，真的是受益匪浅啊，
这回对COMODO的防火墙部分又了解了一点，哈哈，希望你们这些老高手多来指点啊！学习了~~