查看文章 |
对 于一般用户而言,打造一个适合自己的COMODO防火墙的规则,谈何容易,编写规则就更谈不上了。高手的规则很强大,却不一定适合自己,而且大多数人无法 成为专门论坛的会员,既无从下载,也不会导入,只能与之无缘。自己摸索,慢慢熟悉,逐步明白,也会用得很顺很强大。新手使用COMODO,啥都不懂,一切 先按默认走,不要随意去设置什么,切忌一知半解地去设置,出问题了就说“毛豆”不好用,扔掉完事。“毛豆”V3、V4的防火墙和DEFENSE+ 默认都是“安全模式”,这种模式下,“毛豆”会根据本身超过百万应用程序的签名数据库来创建规则,认为安全的不提示,只有认为不安全的才根据 其行为给出等级不同的警报提示。这样一来,提示已经少多了,特别是V4,智能化程度提高较大,相对又安静了不少,更何况还有杀毒、杀马软件防御功能已经阻 挡了不少恶意软件和行为。所以剩下的的任务就是怎样处理并不算多的“安全警报”了。常用选择不外乎三种:允许、阻止、是否记住,我们的简便思路是:坚决阻 止危险的,慎重判断不清楚的,其它允许、记住。一边正常使用电脑,一边随时选择,很快也就没有多少警报了,再出现的一般都是不正常的危险动作了(自己的特 殊操作除外)。 总之,知道应该阻止什么,是使用防火墙的捷径。现将总结整理的“COMODO Firewall V3-V4防火墙弹出警告的18种安全阻止策略”与朋友们分享(有心人还可以在此基础上进一步进行分类),敬请高手不吝斧正—— 1、询问框安全等级: 黄色报警:低威胁报警。在大多数时候你可以允许这些网络连接请求或行为请求。这个等级默认对安全请求是自动勾选“Remember my answer for this application” (记住)选项的。 橘色报警:中 度威胁报警。请仔细阅读安全评估后再做出决定。这个警报可能是信任程序的无害进程或活动,也可能是恶意软件的攻击。如果你知道这个程序是安全的你通常可以 选择允许,如果你不清楚这个程序执行的动作或连接是否安全你可以阻止它。这里我的建议是如果有进程或动作不清楚,可以百度或狗狗来了解下,对判断很有帮 助。 红色报警:高威胁报警。这个报警显示了类似木马病毒或其他恶意软件活动的高度可疑行为。在允许此活动前请仔细阅读提供的信息,慎重决定,不能确定的话百度狗狗是你的好榜手 2、如何对询问提示做出正确的判断: 对于防火墙询问:仔细看安全评估。Comodo能够识别数千中安全程序(比如IE和outlook),如果程序被认为是安全的,如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。 对于行为监控询问:仔细看安全评估。Comodo 能够识别数千中安全程序,如果程序被认为是安全的,如果是你平常经常用的程序你可以允许它的执行动作请求,如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。 3、Device Driver Installation(安装设备驱动)和Physical Memory Access(访问物理内存):很少会有合法程序会有这两种动作(可惜中国好像很多^_^),这通常是比较明显的恶软和rootkit的行为。除非你确定 请求此动作的程序是合法的。建议:访问物理内存一般不管正常与否都可以阻止,对程序的使用没有大的影响,安装驱动请确定程序的合法性,如果不确定一定要先阻止。 4、修改受保护的注册表键值报警:这种情况一般发生在你安装新软件时,如果没有安装新软件,在使用软件的过程中出现这种情况,建议阻止,即使你看不懂它要修改的是什么也没关系,一般阻止了不会影响程序的使用。 5、受保护的文件报警: 一般发生在你下载文件或复制文件或者升级程序安装程序时。如果不是以上这些情况建议阻止。 如果有程序要在windows目录和子目录下创建可执行程序一定要特别注意。这是典型的恶意软件的行为,如果你不是安装新程序或打补丁一定要阻止。 如果有程序要创建一个很陌生的dll文件,可能是病毒,除非你信任此程序,否则建议阻止,或者将它设置为“监禁程序”'Isolated Application' 。 6、我的受保护的COM(组建对象模型)接口:Comodo默认已经将一些重要COM加入了保护,你也可以自己添加。建议是看到有关COM的报警就阻止。 7、运行应用程序:如果在上网时你没有运行突然弹出询问框报警程序运行你就要当心了,一 定要仔细看程序路径名称,一般会自动运行的除了病毒就是一些软件的升级程序,但是如果该程序是在TEMP路径下的话一定记住要阻止,99.9%是病毒! 8、加载驱动程序:一 般只有比较BT的软件会要求加载驱动程序,比如杀软以及一些安全工具,所以这个也很简单,只有你完全信任的程序才可以允许,否则请阻止。特别是路径或程序 名比较陌生的。(一般需要加载驱动的程序大都是杀软,冰刃一类安全软件,如果是其他程序报警提示加载驱动就要留意了,有可能是病毒) 9、访问物理内存:要求访问物理 内存的程序一般都是比较BT的,除了你确信的其他一般可以阻止,即使是正常软件阻止了也不会影响使用。 10、底层磁盘操作:所谓底层磁盘操作本身并没有什么危害,某种程度上还提高了操作效率。但对于FD而言如果仅仅是在Windows层面上进行控制,那么有些有害程序就是通过直接对磁盘进行操作的方法来绕过HIPS的控制。就象你在家门口放两个门卫以为可以高枕无忧,哪知人家挖了个地道直接进了你家,门卫就成了摆设。因此HIPS应该要包括对底层磁盘操作的防护。除非HIPS能做到最底层。一般来说阻止底层操作不会影响软件的使用。 11、创建远程线程:创建远程线程是木马隐藏自己的一个非常高明的手段,就好象一个特务在通关时一般都会混进一些高官的车中,胁持高官谎程自己是高官的部下,从而获得了免于审查并通关的权利。所以对于不熟悉的程序一定要阻止其创建远程进程。 12、修改其他进程内存:一般正常软件不会有此动作,所以阻止吧。 13、安装全局钩子:英文叫hook,指利用api来提前拦截并处理windows消息的一种技术,能够使该程序对其他系统内有键盘响应事件的程序自己挂钩。说白了就是在你家安装窃听器,你能容忍吗?阻止!不过QQ是要允许的哦,要不然就登录不上去了。 14、键盘记录、修改系统时间、直接操作系统内核:有些正常程序也会进行键盘输入监控,所以键盘记录一定要确定是不是正常程序。修改系统时间、直接操作系统内核一般建议阻止。 15、Windows消息:这个建议先阻止,看无影响下次就可以阻止并记住。有些病毒会利用消息破坏你的系统。 16、结束进程:这个建议选询问。如果一般应用程序comodo提示它要结束其他程序进程一定要阻止。 17、DNS Client Service DNS客户端服务:选择此项设置能阻止恶意程序使用域名系统为客户服务发起DDOS洪水攻击。 18、隐藏端口: 家庭用户:选第三项Block all incoming connections - stealth my ports to everyone(阻止所有联入请求,对所有人隐藏端口),选择这一项表示你的端口对所有网络都是不可见的,不管你是否信任它们。家庭用户(使用单台电脑没有组成家庭局域网)会发现这是最方便安全的。当有联入请求时自动阻止并没有提示。但是会记录日志。 V3下载与使用参见实践交流:COMODO 3.12.111745.560多国语言版本(含中文)的简便使用方法 注:V4还不是很成熟稳定,可等等再用。 |
