写给新人的 Comodo V3 指南
前言
本文是写给从未使用 Comodo 的新人和只使用 Comodo V2.4 ,但没有使用 HIPS 经验的用户,力求浅显易懂,不求十全十美,只有一点私人体会。没有 100% 的安全,我尽力站在开发者和新人的角度,做到最简 单的操作,尽可能地安全。 具体某些具体细节和操作,如 果有疑问,可以结合 baerzak 版主的帖子 一起看。
本文系作者原创,转贴请注明出处。
第一部分Comodo Firewall Pro V3 简介
啥是Comodo V3 ,没听说过?
Comodo V3 是一款刚刚发布的全新 XP/Vista 桌面安全软件,完全免费,包括了 HIPS 和 Firewall( 很水产 ) 。提供了对于各种恶意威胁的最大保护。 Comodo V3 是一款革命性的个人桌面安全产品,将引领桌面安全产品的转型,未来 HIPS 将成为你安全体系的最重要的组成部分,是防御各种恶意软件,网络入侵的第一道防线。
Comodo V3 增加了什么新功能?
支持 32 位 /64 位 XP SP2/Vista 系统
Defense+ Host Intrusion Prevention System(HIPS)
增强的防火墙引擎
申请专利的 Patent Pending 模式
全新的图形界面和安全策略设置界面
增强的恶意软件行为启发分析
全新的“学习模式”和“ CleanPC 模式”
庞大的白名单, Comodo Safe-List 数据库
Windows 安全中心集成
HIPS 是啥( 我晕) ?
HIPS 全称是 主机入侵防御系统 ( Host Intrusion Prevention System) ,通俗的讲就是系统防火墙。 Comodo 给自己的 HIPS 命名 Defense+( 简称 D+) 。 Defense+ 是一个极其强大的 HIPS ,还在不断完善中。
Defense + 可以保护你的系统资源 ( 文件、注册表 ) 不被恶意篡改, 可以保护你的私人文档,各种密码不被木马窃取,可以阻止病毒、木马的运行和对系统的破坏,可 以阻止 Rootkits 在你的系统留下后门。
Defense + 就是病毒将要 QJ 你的系统时,你可以反过来 QJ 它的武器。
啥是Firewall( 我再晕) ?
Firewall 主要负责控制网络通讯,过滤有害或者没用的垃圾数据包,只允许你批准的程序访问网络,防御来自网络的攻击。
Comodo V3 增强了防火墙引擎,提高了对 P2P 程序的支持 ( 不影响速度、不占用 CPU) 。
Comodo V3 提供了 ARP 保护,保护你的 ARP 缓存不被非法修改。
第二部分 为什么要使用HIPS (Defense+)
HIPS 的分类
我认为 HIPS 至少分为三类:
Classic HIPS ,也就是传统意义上的 HIPS ,包括 SSM 、 PS 、 EQ , Comodo 的 Defense + 是 Classic HIPS 。
Smart HIPS 所谓智能型的 HIPS ,不多谈。
Sandbox HIPS 沙盘型的 HIPS , Sandbox HIPS 三巨头: DefenseWall 、 GeSWall 、 Sandboxie ,此外还有 BufferZone 、 SafeSpace.
我个人使用 Classic HIPS + Sandbox HIPS 的组合,因为我很懒,最近也很忙。
Comodo V3( 完全免费 ) + DefenseWall 2.09 特别版 (100 年 key ,不提供升级服务 )(CD 组合 )
我个人推荐的完全免费 HIPS 组合还有 EQ + Comodo , EQ 下一个版本 3.5 将会有沙盘加入。 (CE 组合 )
另外普通用户可以使用的组合有: Comodo V3( 关闭 D+) + ThreatFire 或微点或卡巴主防 ... + 一款杀软
为什么要使用HIPS (Defense+)
目前,特征码杀毒早已 滞后 于 新病毒的产生,传统杀毒软件对新病毒的检出率也就是 5x%-6x% ,最多 7x%, 纷纷引入主动防御。我给你一幅图,请不要和我讨论哪个杀毒软件好,我拿这 张图是为了说明为什么增加 HIPS 作为防御体系一部分,因为 HIPS 不依赖特征码,可以在杀毒软件的真空期,应付几乎所有的未知威胁。我本人在使用 Comodo V3 Beta 和 DefenseWall 2.0 组合以后,就已经放弃了使用杀毒软件实时监控系统,而只是用来手动扫描。
我在这里推荐新人增加免费的红伞监控,组成 ACD 组合或者 ACE 组合。
12 月 
10 、 11 、 12 月 
第三部分 安装Comodo V3
下载地址: http://www.personalfirewall.comodo.com/download_firewall.html
安装 Comodo 前,你需要卸载其它第三方防火墙 ( 防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机 ) ,关闭 Windows 防火墙。重启。
用杀毒软件扫描系统,保证你的系统是干净的。 如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。
断开网络连接,暂时停用你的一切保护,双击安装程序开始安装。
这里可以选择 Advanced Firewall with Defense+ ( 包过滤防火墙 + HIPS) ,或者不需要安装 HIPS ,可以选择 Basic Firewall( 基础的包过滤防火墙 ) 。即使这里选择安装高级防火墙,以后在使用中,也可以选择不激活 Defense + 而成为一个包过滤防火墙。
图 2
注意这里,新手要选择P2P 友好模式(Yes) ; 对 V2.4 比较熟悉的,会自己设置 P2P 规则,可以选择 (No) 。
图 3
安装结束以后,去掉 Restart the Computer 的勾, Finish 。
图 4
我们接下来要备份默认规则,运行 regedit 导出注册表: HKEY_LOCAL_MACHINE/SYSTEM/Software/Comodo/Firewall Pro
双击运行 Comodo ,在 MISCELLANEOUS -> Manage My Configurations 用 Export 导出设置。
图 5
为啥备份默认规则?
因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉 HKEY_LOCAL_MACHINE/SYSTEM/Software/Comodo/Firewall Pro ,然后恢复默认规则。
右键点防火墙托盘图标, 去掉 Display Ballon Messages ,这个选项本来就应该去掉的,以减少对用户的打扰。
图 6
在 MISCELLANEOUS -> Settings -> Update 去 掉 Automaticlly perferm an online lookup for the unrecognized files, 以减少警告对话框弹出时间。
图 7
开始菜单 运行里输入 services.msc 将 Terminal Services 设置成手动,并且启动。
其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。
图 8
在 MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging ,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。
图 9
安装结束,重启系统。
第四部分Defense+ 基本设置
自动检测私有网络
Comodo V3 在安装以后会自动检测本地网络连接,弹出相应的提示:
是一个带有掩码的 IP 地址段,比如: 192.168.1.100/255.255.255.0 、 10.200.1.62/255.255.255.252
通常,拨号上网,只要点 OK 就可以,或者勾上不自动检测; 局域网如果需要共享文件,需要勾上相应的选项。
图 10
完全禁用Defense+( 高级防火墙和基本防火墙切换)
Defense+ 是 Comodo V3 的 HIPS (主机入侵防御系统),可以最大程度防御已知和未知的威胁;在得到更加强大的保护的同时,用 户需要进行更多的设置,需要处理更多的弹出窗口。禁用 Defense+ 以后 Comodo V3 只是一个单纯的防火墙。
为了满足不同用户的需求(使用其它 HIPS 、或不想使用 HIPS ), Comodo V3 提供了禁用 Defense+ 的选项。
DEFENSE + ------> Advanced -------> Defense+ Settings
图 11
安全等级
安全等级决定了 Comodo V3 对不同类型的程序如何处理,是否采用学习模式,或者弹出提示。
建议经过适当时间的学习,所有常用程序设置好规则以后,将 Network Defense 设置为 Custom Policy Mode ,将 Alert Frequency Level 设置为 Very High/High 。
如果安装时系统是干净的 ( 所有硬盘分区 ) ,将 Proactive Defense+ 保持为 Clean PC Mode 是最佳选择;还可以设置为 Train Safe Mode 。
Paranoid Mode 不推荐普通用户使用。
图 12
基本设置方法
新手使用 Comodo V3 是很简单的,只需要运行自己常用的软件,帮助 Comodo 学习你使用软件的方式。 Comodo 一般不会打扰你,只在必要的时候给予提示,当碰到提示的时候,如果是网络软件或易被病毒利用的程序,选 择 Allow this request & Remember my answer & OK 。 对于,不需要上网的一般程序选择 Treat this application as
Trusted Application & Remember my answer & OK 。
Clean PC Mode 是王道
Comodo 默认安装以后 Defense+ 使用“ Clean PC Mode” 。
对于新人来说, Clean PC Mode 是王道,最好的选择。
Clean PC Mode 的前提是你的电脑必须干净,所以,我才会在安装前提示你杀毒。
Clean PC Mode 假设你的电脑硬盘里的当前所有程序是安全的,学习它们的操作,一般不会提示;
假设移动存储设备、网络是不安全的,对于以后新加入的文件,将认为是不安全的,任何操作都将给予提示。
Clean PC Mode 和 My Pending Files 密切相关, My Pending Files 里的文件是唯一在 Clean PC Mode 下被 Comodo 认为不安全的文件,当从网络上下载一个新的程序 (exe) 到硬盘里,或从 RAR 解压一个 exe 文件, Comodo 将会将它加入 My Pending Files ,成为不受信任的文件。以后运行这个程序将弹出提示。
Clean PC Mode 和 My Pending Files 是 Comodo 申请专利的技术, Comodo V3 的启动 splash 有 patent pending 字样,就是指这个。 Clean PC Mode 和 My Pending Files 提供足够的保护的同时,保证了 Comodo V3 的简单易用,最大限度地使用学习模式,是易用性和安全性平衡的典范。
我推荐新人使用Clean PC Mode 。我本人也在测试和使用Clean PC Mode !
等待审核的文件My Pending Files
Comodo V3 没有 SHA/MD5 这样的文件 Hash 系统,而是使用文件保护和实时追踪系统文件变化。
新建立、更新、修改的可执行文件 ( 包括 exe 、 dll 、 sys 等 ) ,都会被加入 My Pending Files 等待用户审核。
My Pending Files 的文件是不信任的,任何动作都将会提示。为了保证系统安全,在 Clean PC Mode 下,必须 100% 确认这些文件是安全的,才能用 Remove 移除,一旦移除,这些文件将会成为安全的, Comodo 对以后的一般操作都不会提示。对于不确认的,请保留到 My Pending Files 直到最后确认是否安全。对于,不存在的或者临时文件,可以用 Purge 移除。 对于不安全的,直接在资源管理器里彻底删除。
图 13
安装模式Installation Mode
Comodo 提供了安装模式,可以在安装新程序时,减少提示。
首先要确保安装程序 100% 安全,然后运行,选择 Treat this application as an Installer or Updater 即可。
图 14
Comodo 会提示 是否切换到安装模式,选“ Yes” 进入安装模式,不同意的选“ No” 。
图 15
由于处于安装模式的程序具有很大的权限,所以 Comodo 会定时提醒你,切换回从前的模式 ( 安装完选 Yes) 。
图 16
Image Execution Control Settings
加入: *.com, *.bat, *.pif *.cmd *.sys
图 17
第五部分Firewall 基本设置
Comodo 默认安装以后 Defense+ 使用“ Clean PC Mode” , Firewall 使用“ Train With Safe Mode” 。
为什么不在 Firewall 里也搞个 Clean PC Mode 呢? 因为网络是不安全的,一旦一个程序有访问网络的权限,它就有可能危害你的系统和个人隐私, Firewall 的 Clean PC Mode 没有意义。
Train With Safe Mode 只学习 Comodo 白名单数据库里的安全程序的网络规则,这在干净的电脑上是安全的。对于不认识的程序,将会提示。
调整Firewall 设置
在学习规则前,我们先调整一下防火墙设置。
1. 修改My Port Sets -> POP3/SMTP Ports
Comodo 268 默认的和邮件有关的端口,少了几个,我们添加一下,最后是:
110 、 25 、 143 、 465 、 587 、 993 、 995
2. 新建一个Dangerous Ports 危险端口组,添加:
135 、 137-139 、 445
3. Firewall -> Common Tasks -> Stealth Ports Wizard
你可以在这里添加局域网信任区域;
你可以在这里选择 P2P 友好模式;
你可以在这里选择完全隐身模式,以后自己象 V2.4 那样添加规则。
图 18
我个人使用P2P 友好模式。
4. 自定义Global Rules
Comodo V3 的 Global Rules 相当于 V2.4 的 Network Monitor ;
Comodo V3 的 Application Rules 相当于 V2.4 的 Application Monitor 。
Firewall -> Advanced -> Network Security Policy -> Global Rules
添加一些规则,注意所有允许的规则都放在阻止的规则上面,因为 Comodo Global Rules 由上至下匹配 。
这里只针对拨号上网用户,和不开服务的用户。
局域网用户,需要首先检查和添加,信任局域网的规则。
然后添加规则:
阻止对本机Privileged Ports[0-1024] 的访问,普通用户,不会开启这些端口。
Block And LogTCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机3389 端口的访问,由于前面开了Terminal Service ,在这里阻止远程协助端口,以防万一。
Block And LogTCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接135 、137-139 、445 端口
Block And LogTCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping 的规则
Block And LogICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
各种端口。
HTTP Ports 浏览器常用端口
80
443
8080[代理服务器端口,可以去掉 ]
POP3/SMTP Ports 邮件客户端端口
110
25
143
993
995
465
587
Privileged Ports 系统服务保留端口
0-1024
Dynamic Ports 1025-5000 XP动态端口
1025-5000
Dynamic Ports Vista动态端口
49152-65535
注: Vista客户端动态端口范围和 XP是不一样的。
Dynamic Ports 1025-65535 动态端口 用于 P2P软件
1025-65535
Netbios Ports Netbios端口 用于局域网文件和打印机共享
135
137-139
445
Dangerous Ports “危险”端口 对于一个全补丁系统并不“危险”,不过,还是阻止比较好
135
137-139
445
500
1900 [如果用 UPnP,需要去掉这个端口 ]
Thunder Ports 迅雷端口 一个网络程序端口的例子
21
80
3076-3078
5200
6200
15000
16000
P2P TCP In
P2P 允许连入的 TCP端口,每个人都不同,不贴具体端口
P2P UDP In
P2P 允许连入的 UDP端口,每个人都不同,不贴具体端口
My Network Zone 网络区域
将一些 IP地址或子网,用一个网络区域 Zone 来代替,方便以后设置防火墙规则。
OpenDNS OpenDNS服务器
IP 208.67.222.222
IP 208.67.220.220
Loopback Zone 本地环回地址,加了掩码是为了防止伪造地址
IP In [127.0.0.1/255.0.0.0 ]
Local Area Network 局域网,请根据自己情况修改 IP范围
IP In [192.168.1.0/255.255.255.0]
IP 0.0.0.0
IP 255.255.255.255
Internet-wide Multicast 预留组播地址
IP in 224.0.1.0-238.255.255.255
Special & Local Multicast 管理权限地址 & 本地链接地址
IP in 224.0.0.0-224.0.0.255
IP in 239.0.0.0-239.255.255.255
My Computer 本机 IP
192.168.1.100/255.255.255.0
1977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
