一切都围绕comodo防火墙展开.pdf

作者：伯夷叔齐 主菜之前，先上一道开胃甜品 关闭comodo防火墙（系统墙已禁止） 通过GRC防火墙测试网站对0-1055端口的测试结果如图： 关闭防火墙后，还保持隐藏的端口有：135-139，445，593 有兴趣的朋友可以关闭防火墙去扫描一下，看看是否一致，我们再来一起耍耍。 主餐介绍 此帖不是一个规则贴，仅仅是一个方法论。就不赘言了，三个目的： 1、把除TCP、UDP、（ICMP）之外的协议调出来，让大家讨论；更好的提高网络通讯的安 全和稳定； 2、对个别程序进行严格设置以提高安全性； 3、和大家讨论一下各种协议在网络环境中的作用，以及让大家对查看网络日志时，对一些“奇 怪的”数据包有一个认识，而不至于造成担心。 ICMPv6 “IP ” 一、提取规则，挖出 与 细节 所隐藏着什么玄机 （一）前期准备 1、保证本地连接和宽带连接都加载了IPv6驱动 2、防火墙行为设置中勾选“启用IPv6过滤”，并确定（为了激活IPv6过滤机制） 并把防火墙警告级别设置为最高，原因如图中右边红色所示，目的就是产生最细致的规则 3、在“端口隐藏”向导中，激活或再次激活第二项（为了激活IPv6过滤机制） 这个时候，看到P2P全局规则里，多了一条“阻止IP入从任何到MAC任何当协议是ICMPv6”。 看来，comodo还没有为IPv6时代的到来做好充分准备。 4、下图是comodo安装后默认的防火墙程序网络控制部分的规则。如图： 它们是从D+的程序规则中由comodo安装后自动导入到防火墙程序控制部分。紫色框定的 就是防火墙程序控制部分的三个程序组；红色框定的是经常进行网络通讯的程序或服务。如 图： 先别冒进，摸着石头过河，系统程序是最容易“出状况”的地方，那么把默认的防火墙网络规 则里的“Windows系统升级程序”、“windows系统程序”的网络规则修改为询问IP出入站。 如图： （二）启动进入系统，介绍提示框 准备工作已就绪，要做的就是重新直接重新启动系统。 1、再次进入系统时，跳出询问框 主程序：Svchost.exe ADSL拨号上网的外网用户，禁止该通讯，内网应该允许通讯。 这个过程就是通过DHCP 协议（动态主机配置协议）自动获取内网服务器动态分配的IP， 前提是需要有一个局域网，如家庭内部网络。源IP为 或 :: 这两个分属于IPv4与 IPv6的地址表示，此时本机局域网地址未获得分配，它们地址不是真正意义上的IP地址。 而这里的IP:55和ff02::1:2的地址是限制广播地址，网内所有主机的意思， 而并不是具体远程地址。 端口号68对应54667对应547，系统没有加载IPv6，就不会有第二个提示框，一次启动电脑 到关机过程，只会有一个提示框出现，这里拿出来，仅作对比。 ff02::1:2 = ff02:0:0:0:0:0:1:2 = 55(私有广播地址) 2、主程序：Svchost.exe 没有加载IPv6协议驱动，不会有第二个提示框。一次启动电脑到关机过程，只会有一个提 示框出现，这里拿出来，仅作对比。 内网的朋友，需要允许此两项 上面两个提示框显示通过UDP协议访问IP52的5355端口，这是一个通过链路多播 的名称解析（Link-local Multicast Name Resolution），协议允许IPv4和IPv6主机，执行在 同一个本地连接的主机名称解析。相当于局域网中 IPv4与IPv6之间的地址解析的DNS， 不同的就是“多播”与单播的区别。图中分别是IPv6和IPv4的地址。该通讯的作用也仅限 于内网。 ff02::1:3 = ff02:0:0:0:0:0:1:3 = 52(组播协议地址) 3、主程序：Svchost.exe 路由器内网用户需要允许 可以从图中看到mcast（多播）一词，本地管理组的范围是- 55， 用于私人组播领域，而50就属其中。 P2P下载时，会为客户端自动映射端口，UPNP协议规则基础上的PC 机和智能设备常见对 等网络连接的体系结构，尤其是在家庭中。比如：支持upnp的路由器和Wi-Fi 和802.11B 无线网络的连接等，应用范围太广泛。功能上的强大和安全上的虚弱共存，可以通过在系统 “服务”中禁止SSDP 服务和Universal Plug andPlay DeviceHost两项服务，以关闭1900端 口，但那样，就会无法搜索到upnp设备，以后随着即插即用和家庭智能产品用户大幅增加， 可能随口就让用户关闭此两项服务的说法将叫停，就如现在看若干