Comodo（毛豆） V3 使用指南

swolook 2010-04-19

展開(kāi)全文

前言

本文是寫(xiě)給從未使用Comodo的新人和只使用Comodo V2.4，但沒(méi)有使用HIPS經(jīng)驗(yàn)的用戶，力求淺顯易懂，不求十全十美，只有一點(diǎn)私人體會(huì)。沒(méi)有100%的安全，我盡力站在開(kāi)發(fā)者和新人的角度，做到最簡(jiǎn)單的操作，盡可能地安全。

第一部分 Comodo Firewall Pro V3 簡(jiǎn)介

啥是Comodo V3，沒(méi)聽(tīng)說(shuō)過(guò)？
Comodo V3 是一款剛剛發(fā)布的全新XP/Vista桌面安全軟件，完全免費(fèi)，包括了HIPS 和 Firewall(很水產(chǎn))。提供了對(duì)于各種惡意威脅的最大保護(hù)。Comodo V3 是一款革命性的個(gè)人桌面安全產(chǎn)品，將引領(lǐng)桌面安全產(chǎn)品的轉(zhuǎn)型，未來(lái)HIPS 將成為你安全體系的最重要的組成部分，是防御各種惡意軟件，網(wǎng)絡(luò)入侵的第一道防線。

Comodo V3 增加了什么新功能？
支持32位/64位 XP SP2/Vista 系統(tǒng)
Defense+ Host Intrusion Prevention System(HIPS)
增強(qiáng)的防火墻引擎
申請(qǐng)專(zhuān)利的Patent Pending 模式
全新的圖形界面和安全策略設(shè)置界面
增強(qiáng)的惡意軟件行為啟發(fā)分析
全新的“學(xué)習(xí)模式”和“CleanPC模式”
龐大的白名單，Comodo Safe-List 數(shù)據(jù)庫(kù)
Windows 安全中心集成

HIPS 是啥(我暈)？
HIPS 全稱(chēng)是主機(jī)入侵防御系統(tǒng) ( Host Intrusion Prevention System)，通俗的講就是系統(tǒng)防火墻。Comodo 給自己的HIPS 命名Defense+ (簡(jiǎn)稱(chēng)D+) 。 Defense+ 是一個(gè)極其強(qiáng)大的HIPS，還在不斷完善中。
Defense + 可以保護(hù)你的系統(tǒng)資源(文件、注冊(cè)表)不被惡意篡改，可以保護(hù)你的私人文檔，各種密碼不被木馬竊取，可以阻止病毒、木馬的運(yùn)行和對(duì)系統(tǒng)的破壞，可以阻止Rootkits 在你的系統(tǒng)留下后門(mén)。
Defense + 就是病毒將要QJ你的系統(tǒng)時(shí)，你可以反過(guò)來(lái)QJ它的武器。

啥是 Firewall(我再暈)？
Firewall 主要負(fù)責(zé)控制網(wǎng)絡(luò)通訊，過(guò)濾有害或者沒(méi)用的垃圾數(shù)據(jù)包，只允許你批準(zhǔn)的程序訪問(wèn)網(wǎng)絡(luò)，防御來(lái)自網(wǎng)絡(luò)的攻擊。
Comodo V3 增強(qiáng)了防火墻引擎，提高了對(duì)P2P程序的支持(不影響速度、不占用CPU)。
Comodo V3 提供了ARP 保護(hù)，保護(hù)你的ARP緩存不被非法修改。

第二部分為什么要使用HIPS (Defense+)

HIPS的分類(lèi)
我認(rèn)為HIPS至少分為三類(lèi)：
Classic HIPS，也就是傳統(tǒng)意義上的HIPS，包括SSM、PS、EQ，Comodo 的Defense + 是Classic HIPS。
Smart HIPS 所謂智能型的HIPS，不多談。
Sandbox HIPS 沙盤(pán)型的HIPS，Sandbox HIPS 三巨頭：DefenseWall、GeSWall、Sandboxie，此外還有BufferZone、SafeSpace.

我個(gè)人使用Classic HIPS + Sandbox HIPS的組合，因?yàn)槲液軕?，最近也很忙?
Comodo V3(完全免費(fèi)) + DefenseWall 2.09特別版(100年key，不提供升級(jí)服務(wù))(CD組合)
我個(gè)人推薦的完全免費(fèi)HIPS組合還有 EQ + Comodo，EQ下一個(gè)版本3.5將會(huì)有沙盤(pán)加入。(CE組合)
另外普通用戶可以使用的組合有：Comodo V3(關(guān)閉D+) + ThreatFire或微點(diǎn)或卡巴主防... + 一款殺軟

為什么要使用HIPS (Defense+)
目前，特征碼殺毒早已滯后于新病毒的產(chǎn)生，傳統(tǒng)殺毒軟件對(duì)新病毒的檢出率也就是5x%-6x%，最多7x%,紛紛引入主動(dòng)防御。我給你一幅圖，請(qǐng)不要和我討論哪個(gè)殺毒軟件好，我拿這張圖是為了說(shuō)明為什么增加HIPS 作為防御體系一部分，因?yàn)?HIPS不依賴特征碼，可以在殺毒軟件的真空期，應(yīng)付幾乎所有的未知威脅。我本人在使用Comodo V3 Beta 和 DefenseWall 2.0組合以后，就已經(jīng)放棄了使用殺毒軟件實(shí)時(shí)監(jiān)控系統(tǒng)，而只是用來(lái)手動(dòng)掃描。
我在這里推薦新人增加免費(fèi)的紅傘監(jiān)控，組成ACD組合或者ACE組合。

第三部分安裝Comodo V3

下載地址：[url=http://bbs.kafan.cn/goto.php#http://www.personalfirewall./download_firewall.html]http://www.personalfirewall./download_firewall.html[/url]

安裝Comodo前，你需要卸載其它第三方防火墻(防火墻只需要一個(gè)，兩個(gè)防火墻裝一起，有可能輕則不能上網(wǎng)，重則藍(lán)屏死機(jī))，關(guān)閉Windows 防火墻。重啟。

用殺毒軟件掃描系統(tǒng)，保證你的系統(tǒng)是干凈的。如果你喜歡收集病毒樣本，先將這些樣本用壓縮軟件打包。

斷開(kāi)網(wǎng)絡(luò)連接，暫時(shí)停用你的一切保護(hù)，雙擊安裝程序開(kāi)始安裝。

這里可以選擇 Advanced Firewall with Defense+ (包過(guò)濾防火墻 + HIPS)，或者不需要安裝HIPS，可以選擇Basic Firewall(基礎(chǔ)的包過(guò)濾防火墻)。即使這里選擇安裝高級(jí)防火墻，以后在使用中，也可以選擇不激活Defense + 而成為一個(gè)包過(guò)濾防火墻。
圖2

注意這里，新手要選擇P2P 友好模式(Yes)；對(duì)V2.4 比較熟悉的，會(huì)自己設(shè)置P2P規(guī)則，可以選擇(No)。
圖3

安裝結(jié)束以后，去掉Restart the Computer 的勾，F(xiàn)inish。
圖4

我們接下來(lái)要備份默認(rèn)規(guī)則，運(yùn)行regedit 導(dǎo)出注冊(cè)表：HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro

雙擊運(yùn)行Comodo，在 MISCELLANEOUS -> Manage My Configurations 用Export 導(dǎo)出設(shè)置。
圖5

為啥備份默認(rèn)規(guī)則？
因?yàn)椋履阋院蠛阆垢?，整的連系統(tǒng)都進(jìn)不去了，好跑到安全模式，刪掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro，然后恢復(fù)默認(rèn)規(guī)則。

右鍵點(diǎn)防火墻托盤(pán)圖標(biāo)，去掉 Display Ballon Messages ，這個(gè)選項(xiàng)本來(lái)就應(yīng)該去掉的，以減少對(duì)用戶的打擾。
圖6

在 MISCELLANEOUS -> Settings -> Update 去掉 Automaticlly perferm an online lookup for the unrecognized files , 以減少警告對(duì)話框彈出時(shí)間。
圖7

開(kāi)始菜單運(yùn)行里輸入 services.msc 將Terminal Services 設(shè)置成手動(dòng)，并且啟動(dòng)。
其實(shí)這里設(shè)不設(shè)置都無(wú)所謂，不過(guò)開(kāi)機(jī)可以看到綠色的已啟動(dòng)，比還在初始化要舒服。
圖8

在 MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging，取消記錄日志，大多新人看不懂日志，不如取消，等有問(wèn)題的時(shí)候再打開(kāi)也不遲。
圖9

安裝結(jié)束，重啟系統(tǒng)。

第四部分 Defense+ 基本設(shè)置

自動(dòng)檢測(cè)私有網(wǎng)絡(luò)
Comodo V3 在安裝以后會(huì)自動(dòng)檢測(cè)本地網(wǎng)絡(luò)連接，彈出相應(yīng)的提示：
是一個(gè)帶有掩碼的IP地址段，比如：192.168.1.100/255.255.255.0、 10.200.1.62/255.255.255.252
通常，撥號(hào)上網(wǎng)，只要點(diǎn)OK 就可以，或者勾上不自動(dòng)檢測(cè)；局域網(wǎng)如果需要共享文件，需要勾上相應(yīng)的選項(xiàng)。
圖10

完全禁用Defense+(高級(jí)防火墻和基本防火墻切換)
Defense+ 是Comodo V3 的HIPS（主機(jī)入侵防御系統(tǒng)），可以最大程度防御已知和未知的威脅；在得到更加強(qiáng)大的保護(hù)的同時(shí)，用戶需要進(jìn)行更多的設(shè)置，需要處理更多的彈出窗口。禁用Defense+ 以后 Comodo V3 只是一個(gè)單純的防火墻。
為了滿足不同用戶的需求（使用其它HIPS、或不想使用HIPS），Comodo V3 提供了禁用Defense+ 的選項(xiàng)。
DEFENSE + ------> Advanced -------> Defense+ Settings
圖11

安全等級(jí)
安全等級(jí)決定了 Comodo V3 對(duì)不同類(lèi)型的程序如何處理，是否采用學(xué)習(xí)模式，或者彈出提示。
建議經(jīng)過(guò)適當(dāng)時(shí)間的學(xué)習(xí)，所有常用程序設(shè)置好規(guī)則以后，將Network Defense 設(shè)置為 Custom Policy Mode，將Alert Frequency Level 設(shè)置為 Very High/High 。
如果安裝時(shí)系統(tǒng)是干凈的(所有硬盤(pán)分區(qū))，將Proactive Defense+ 保持為 Clean PC Mode 是最佳選擇；還可以設(shè)置為T(mén)rain Safe Mode。
Paranoid Mode 不推薦普通用戶使用。
圖12

基本設(shè)置方法
新手使用Comodo V3 是很簡(jiǎn)單的，只需要運(yùn)行自己常用的軟件，幫助Comodo 學(xué)習(xí)你使用軟件的方式。Comodo一般不會(huì)打擾你，只在必要的時(shí)候給予提示，當(dāng)碰到提示的時(shí)候，如果是網(wǎng)絡(luò)軟件或易被病毒利用的程序，選擇 Allow this request & Remember my answer & OK。對(duì)于，不需要上網(wǎng)的一般程序選擇 Treat this application as
Trusted Application & Remember my answer & OK 。

Clean PC Mode是王道
Comodo 默認(rèn)安裝以后Defense+ 使用“Clean PC Mode” 。
對(duì)于新人來(lái)說(shuō)，Clean PC Mode 是王道，最好的選擇。
Clean PC Mode 的前提是你的電腦必須干凈，所以，我才會(huì)在安裝前提示你殺毒。
Clean PC Mode 假設(shè)你的電腦硬盤(pán)里的當(dāng)前所有程序是安全的，學(xué)習(xí)它們的操作，一般不會(huì)提示；
假設(shè)移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)是不安全的，對(duì)于以后新加入的文件，將認(rèn)為是不安全的，任何操作都將給予提示。
Clean PC Mode 和 My Pending Files 密切相關(guān)，My Pending Files 里的文件是唯一在Clean PC Mode下被Comodo認(rèn)為不安全的文件，當(dāng)從網(wǎng)絡(luò)上下載一個(gè)新的程序(exe)到硬盤(pán)里，或從RAR解壓一個(gè)exe 文件，Comodo 將會(huì)將它加入My Pending Files，成為不受信任的文件。以后運(yùn)行這個(gè)程序?qū)棾鎏崾尽?

Clean PC Mode 和 My Pending Files 是Comodo 申請(qǐng)專(zhuān)利的技術(shù)，Comodo V3 的啟動(dòng)splash 有 patent pending 字樣，就是指這個(gè)。 Clean PC Mode 和 My Pending Files 提供足夠的保護(hù)的同時(shí)，保證了 Comodo V3的簡(jiǎn)單易用，最大限度地使用學(xué)習(xí)模式，是易用性和安全性平衡的典范。

我推薦新人使用Clean PC Mode 。我本人也在測(cè)試和使用Clean PC Mode ！

等待審核的文件 My Pending Files
Comodo V3 沒(méi)有SHA/MD5 這樣的文件Hash系統(tǒng)，而是使用文件保護(hù)和實(shí)時(shí)追蹤系統(tǒng)文件變化。
新建立、更新、修改的可執(zhí)行文件(包括exe、dll、sys等)，都會(huì)被加入 My Pending Files 等待用戶審核。

My Pending Files 的文件是不信任的，任何動(dòng)作都將會(huì)提示。為了保證系統(tǒng)安全，在Clean PC Mode 下，必須100% 確認(rèn)這些文件是安全的，才能用Remove移除，一旦移除，這些文件將會(huì)成為安全的，Comodo 對(duì)以后的一般操作都不會(huì)提示。對(duì)于不確認(rèn)的，請(qǐng)保留到 My Pending Files 直到最后確認(rèn)是否安全。對(duì)于，不存在的或者臨時(shí)文件，可以用Purge 移除。對(duì)于不安全的，直接在資源管理器里徹底刪除。
圖13

安裝模式 Installation Mode
Comodo 提供了安裝模式，可以在安裝新程序時(shí)，減少提示。
首先要確保安裝程序100%安全，然后運(yùn)行，選擇 Treat this application as an Installer or Updater 即可。
圖14

Comodo 會(huì)提示是否切換到安裝模式，選“Yes” 進(jìn)入安裝模式，不同意的選“No”。
圖15

由于處于安裝模式的程序具有很大的權(quán)限，所以Comodo會(huì)定時(shí)提醒你，切換回從前的模式(安裝完選Yes)。
圖16

Image Execution Control Settings
加入：*.com, *.bat, *.pif *.cmd *.sys
圖17

第五部分 Firewall 基本設(shè)置

Comodo 默認(rèn)安裝以后Defense+ 使用“Clean PC Mode”，F(xiàn)irewall 使用“Train With Safe Mode” 。
為什么不在Firewall 里也搞個(gè)Clean PC Mode呢？因?yàn)榫W(wǎng)絡(luò)是不安全的，一旦一個(gè)程序有訪問(wèn)網(wǎng)絡(luò)的權(quán)限，它就有可能危害你的系統(tǒng)和個(gè)人隱私，F(xiàn)irewall 的Clean PC Mode 沒(méi)有意義。

Train With Safe Mode 只學(xué)習(xí)Comodo 白名單數(shù)據(jù)庫(kù)里的安全程序的網(wǎng)絡(luò)規(guī)則，這在干凈的電腦上是安全的。對(duì)于不認(rèn)識(shí)的程序，將會(huì)提示。

調(diào)整Firewall設(shè)置

在學(xué)習(xí)規(guī)則前，我們先調(diào)整一下防火墻設(shè)置。
1.修改My Port Sets -> POP3/SMTP Ports
Comodo 268 默認(rèn)的和郵件有關(guān)的端口，少了幾個(gè)，我們添加一下，最后是：
110、25、143、465、587、993、995

2. 新建一個(gè)Dangerous Ports 危險(xiǎn)端口組，添加：
135、137-139、445

3. Firewall -> Common Tasks -> Stealth Ports Wizard
你可以在這里添加局域網(wǎng)信任區(qū)域；
你可以在這里選擇P2P 友好模式；
你可以在這里選擇完全隱身模式，以后自己象V2.4 那樣添加規(guī)則。
圖18

我個(gè)人使用P2P 友好模式。

4.自定義Global Rules

Comodo V3 的Global Rules 相當(dāng)于 V2.4 的Network Monitor；
Comodo V3 的Application Rules 相當(dāng)于 V2.4的Application Monitor 。

Firewall -> Advanced -> Network Security Policy -> Global Rules
添加一些規(guī)則，注意所有允許的規(guī)則都放在阻止的規(guī)則上面，因?yàn)?Comodo Global Rules 由上至下匹配。
這里只針對(duì)撥號(hào)上網(wǎng)用戶，和不開(kāi)服務(wù)的用戶。
局域網(wǎng)用戶，需要首先檢查和添加，信任局域網(wǎng)的規(guī)則。
然后添加規(guī)則：
阻止對(duì)本機(jī) Privileged Ports[0-1024] 的訪問(wèn)，普通用戶，不會(huì)開(kāi)啟這些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止對(duì)本機(jī) 3389 端口的訪問(wèn)，由于前面開(kāi)了 Terminal Service，在這里阻止遠(yuǎn)程協(xié)助端口，以防萬(wàn)一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本機(jī)連接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默認(rèn)的阻止被人Ping的規(guī)則
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

建議經(jīng)過(guò)適當(dāng)時(shí)間的學(xué)習(xí)，所有常用程序設(shè)置好規(guī)則以后，將Network Defense 設(shè)置為 Custom Policy Mode，將Alert Frequency Level 設(shè)置為 Very High/High 。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： swolook > 《電腦安全》

舉報(bào)/認(rèn)領(lǐng)