COMODO防火墙安简规则 for V5

抓抓

回复 339楼 Kagami 的帖子

。
嗯，，在小白用户与安全这两者之间，可能LZ为小白用户们考虑的更多一些了吧。。


在局域网内，，在用户不懂改IP的情况下，像这样的规则就会失去很大一部分作用。。

另外，在局域网中，不仅要阻止外面来的广播包，，还应该要阻止向外广播。。

广播地址最好用MAC地址表示：FFFFFFFFFFFF

不然，在用户不懂改IP的情况下，那个192.168.1.255就会变得无效而可能放行了广播包。。


COMODO确实应该改进一下，就像LNS那样自动检测本地IP和网关并绑定（最好每项都各生成一个组，，这样对编写通用规则非常方便，就不需要再根据自己的网络环境作修改了），，

不过用规则似乎可以起到类似的绑定作用。。。

抓抓

回复 340楼 Kagami 的帖子


我只使用了我们这个地区的DNS，，没用其它的DNS。。

不修改IP地址的情况下，，在这个规则中分两种情况：

1，在我自己的网络环境（就是不对规则进行任何修改）下，，联网的程序会忽略这个规则本身设定的DNS，此时使用的是我本机设定的DNS进行解析（与规则中设定的DNS不相同）。。
2，在用DHCP分配地址的情况下，，联网的程序使用网关作为解析地址。。也忽略了规则中设定的DNS。。

Kagami

抓抓 发表于 2010.10.15 18:20
回复 339楼 Kagami 的帖子

。

感谢建议.用规则来实现绑定在comodo上效果不太好,特别是MAC地址的使用,有时会出现规则失效的情况(希望是我的个例~~).对于广播的阻止,这个也是让人伤神的问题,比如路由环境使用DHCP自动获取IP时需要发送广播,某些广播类软件的使用还需要组播,进行严格限制会在很多环境下产生使用问题.在局域网环境下comodo对于arp攻击显得力不从心,相关的问题还是要专业的arp防火墙来解决,真希望comodo之后能在防火墙改进上多下一些功夫,LNS,Jetico等都有很多值得借鉴的地方.

PS:有个问题想和抓兄讨论下,关于comodo默认规则中的回环区域的表示方法,默认是127.0.0.1/255.0.0.0,一直想不通这样设置的意义为何,按照ip掩码的表示方法个人认为是127.0.0.0/255.0.0.0才对,或者直接针对性的设置为127.0.0.1/255.255.255.255

冷月无声ycy

这个支持一下

Kagami

抓抓 发表于 2010.10.15 18:35
回复 340楼 Kagami 的帖子

感谢测试.规则中DNS的限制是在应用程序规则中,是否因为是处于TDI层而被绕过,这是一个猜测;又或者是comodo在监控某些复杂网络环境时,选择了错误的监控协议,因为类似的问题曾在LNS使用上遇到过;还有一种可能,本地回环这块的问题,在新版本D+中取消了对回环的监控.现在不方便测试,针对这个问题抓抓是否有较好的解决方法?

抓抓

回复 343楼 Kagami 的帖子

DHCP用的是68、67端口，，，

对局域网产生较大影响的广播包主要是通过135、137-139、445这些端口实现的。。

在调好这两者之间的位置后，基本没什么冲突。。。

真正让人伤神的是既要阻止广播包，又必须要共享，，，这两种愿望似乎无法共存，只能选择其

一。。


COMODO不加强ARP防御效果是对的。。

可能存有这样的考虑：
1，由于ARP防火墙在加强防御时，是需要向外发送大量数据包的，，特别是对网关发送数据包用

以检测地址正确性。。这样会肯定会对网络产生负作用，，这违背了COMODOD防火墙的安全理念。

。。
2，如果对ARP加强设置后，，那么在FW里就必须要作出相应的放行，，在较复杂的网络里，这样

在安全上可能会产生一些矛盾。。
3，因为还有一个简单有效无负作用的方法：双绑。。。ARP防火墙软件不是解决ARP攻击的正确方

法（因为会产生负作用）。。所以COMODO认为加强ARP防火墙没有必要。


------

127.0.0.1=localhost代表本机，本地回环，，作网页编程的也会用到这个地址。。

127.0.0.0代表一个网段的ID

那个255.0.0.0是掩码。。

255.255.255.255应该是指向全网，可以看作广播地址。。

本质不同。。

Kagami

抓抓 发表于 2010.10.15 19:33
回复 343楼 Kagami 的帖子

DHCP用的是68、67端口，，，

COMODO不加强ARP防御这个我也是赞同的,协议本身的缺陷,还是用双向绑定最为有效.但comodo在除开ARP外其他可提升的空间也很大,最近几大版本的更新都在D+上了,官方也没加强防火墙的意思.对135、137-139、445这些端口的广播在前面的规则版本中作过限制的,就是因为考虑到共享问题对本机发出的广播就没有作限制.

关于那个回环地址,可能是我没表述清楚.用ip掩码表示法127.0.0.0/255.0.0.0,对字段逐段逻辑与运算,可以得到地址范围是127.0.0.0-127.255.255.255;对于127.0.0.1/255.255.255.255换算后得到127.0.0.1这个地址.但是官方默认的写法为127.0.0.1/255.0.0.0,不明白官方这样写的意义何在?

抓抓

回复 347楼 Kagami 的帖子

可别说，，相对之前的几个版本，V5在防火墙里面加强了很多，，特别是对数据包的控制上。。目前对数据包的控制方面的简单测试，发现几乎接近完美。。比之前的版本强很多。。。


看那个标题：Loopback区域，，也就是说，它是个本地回环地址，，（相当于一个接口）。。

用127.0.0.1作为本地回环地址，不是COMODO默认的写法，而是微软规定的。。。


另外，，到目前为止，，没有发现谁用过255.255.255.255作掩码的。。

你的换算是不是哪出了问题？

Kagami

抓抓 发表于 2010.10.15 20:20
回复 347楼 Kagami 的帖子

可别说，，相对之前的几个版本，V5在防火墙里面加强了很多，，特别是对数据包的 ...

TCP/IP协议将net-id字段为127的地址保留为环回测试用,comodo的本意应该是要表示所有环回地址的,如果只是127.0.0.1直接写成单个地址就可以了.
255.255.255.255作为掩码一般是不用的,但是是存在的.因为这类地址可以直接用单个地址表示,所以没必要使用ip掩码方式.前面写这个类型是为了方便比较说明举的例子.

对于V5版本某些加强的确是有,应该说comodo对内置的检测规则进行了调整.最近发现comodo在UDP包的状态检测上还是有一定缺陷,比如upnp的某些入站包必须要自己定义入站~

抓抓

回复 349楼 Kagami 的帖子

有道理，，我这才注意到，，那个标题叫做loopback区域，，既然标明“区域”，应该指的是127.0.0.0才对。。

我也认为可能就是对内置的检测规则作了调整，，因为像对UDP等这类数据包的控制，就算是最初的版本也应该能够轻松控制。。

“对入站包必须自定义放行”这种思路，，我很赞成，，我不认为这是缺陷啊，，，在我看来，，所有不请自来的数据包都必须默认阻止。。。COMODO似乎一直都是这样干的。。。