七部分:防火墙一般设置 Common Tasks
Comodo 防火墙的设置界面由Common Tasks 和 Advanced 两部分组成。
这部分先介绍Common Tasks 普通任务。
如图,Comodo 将一些常见的防火墙操作进行了分类,需要什么功能,就可以到相应的模块里进行设置。
图1
View FireWall Events 查看防火墙日志
防火墙除了规则部分,最重要的是日志,只有通过日志,才能发现规则是否有问题,给予改正。
当安装了新的程序,也需要根据日志来设置规则。
查看日志,还有一种办法, 在Comodo的安装目录里有一个cfplogvw,可以建立一个快捷方式,用它来查看日志。
要看懂日志,需要注意:
地址、端口和方向
当收到一个封包(In)
Source Address 是指 远程 电脑的IP, Source Port 是指 远程 电脑建立此连线所使用的Port
Destination Address 是指 本机 电脑的IP, Destination Port 是指 本机 电脑建立此连线所使用的Port
当发出一个封包(Out)
Source Address 是指 本机 电脑的IP, Source Port 是指 本机 电脑建立此连线所使用的Port
Destination Address 是指 远程 电脑的IP, Destination Port 是指 远程 电脑建立此连线所使用的Port
根据来源和目标的IP地址,可以判断防火墙是阻止发送还是接收IP封包。
本机IP 可以在 View Active Connections 里 TCP/UDP Out Source 看到。
Windows Operating System
在Comodo的日志里Windows Operating System 表示防火墙拦截的未经许可,不请自来的数据包( unsolicited packet ),通俗点讲就是垃圾数据包。这些数据包无非是违反了规则被拦截,或者是不符合协议、或者超时被SPI引擎拦截。
一般情况下,Windows Operating System 的日志没有多大参考价值,只有特定情况下才有用。
要别人帮忙解决防火墙的问题,必须贴有效的日志,和一个具体程序相关的日志。
cfplogvw 提供了日志过滤功能:
右键 Filter By,有很多选项,最简单的就是程序名
比如,我想看一下PPlive的日志
图2
图3
可以通过 Export to HTML 导出日志 ,附上完整的截图,上传,就可以分析日志。
还可以通过 Remove Current Filter 移除过滤 ,查看所有日志。
顺便提一句,Defense+ 日志也有过滤功能。
图4
要让人帮忙解决防火墙问题,至少要有规则、日志、截图。
My Port Sets 端口组
将一些相关的端口进行分类,方便以后设置防火墙规则。
图5
HTTP Ports 浏览器常用端口
80
443
8080[代理服务器端口,可以去掉]
POP3/SMTP Ports 邮件客户端端口
110
25
143
993
995
465
587
Privileged Ports 系统服务保留端口
0-1024
Dynamic Ports 1025-5000 XP动态端口
1025-5000
Dynamic Ports Vista动态端口
49152-65535
注:Vista客户端动态端口范围和XP是不一样的。
Dynamic Ports 1025-65535 动态端口 用于P2P软件
1025-65535
Netbios Ports Netbios端口 用于局域网文件和打印机共享
135
137-139
445
Dangerous Ports “危险”端口 对于一个全补丁系统并不“危险”,不过,还是阻止比较好
135
137-139
445
500
1900 [如果用UPnP,需要去掉这个端口]
Thunder Ports 迅雷端口 一个网络程序端口的例子
21
80
3076-3078
5200
6200
15000
16000
P2P TCP In
P2P 允许连入的TCP端口,每个人都不同,不贴具体端口
P2P UDP In
P2P 允许连入的UDP端口,每个人都不同,不贴具体端口
图6
My Network Zone 网络区域
将一些IP地址或子网,用一个网络区域Zone 来代替,方便以后设置防火墙规则。
图7
OpenDNS OpenDNS服务器
IP 208.67.222.222
IP 208.67.220.220
Loopback Zone 本地环回地址,加了掩码是为了防止伪造地址
IP In [127.0.0.1/255.0.0.0 ]
Local Area Network 局域网,请根据自己情况修改IP范围
IP In [192.168.1.0/255.255.255.0]
IP 0.0.0.0
IP 255.255.255.255
Internet-wide Multicast 预留组播地址
IP in 224.0.1.0-238.255.255.255
Special & Local Multicast 管理权限地址 & 本地链接地址
IP in 224.0.0.0-224.0.0.255
IP in 239.0.0.0-239.255.255.255
My Computer 本机IP
192.168.1.100/255.255.255.0
附:一些特殊的IP地址
有类网络
IP地址的第一个字节 归属网络
1-127 A类
128-191 B类
192-223 C类
保留的私有网络地址
下面的一些网络地址是私有的,只能通过NAT转换为公网地址才能访问Internet
地址范围 网络类
10.0.0.0-10.255.255.255 A类
172.16.0.0-172.31.255.255 B类
192.168.0.0-192.168.255.255 C类
127.0.0.1-127.255.255.255 回环地址
网络地址和广播地址
举个例子,在局域网中,我们的IP址一般使用私有C类IP地址
其中,以 .0结尾的地址代表网络地址,用于区分不同的网络
以 .255结尾的地址代表广播地址。例如:
192.168.1.0/255.255.255.0
192.168.1.0 就是网络地址,第一个主机地址是网络地址+1 192.168.1.1
192.168.1.255 就是这个网络的广播地址,最后一个主机地址是广播地址-1 192.168.1.254
网络主机的IP地址是:192.168.1.1-192.168.1.254
为了设置方便,我们最好是将网络地址和广播地址都加入局域网
IP Mask : 192.168.1.0/255.255.255.0
IP Ranger:192.168.1.0----192.168.1.255
0.0.0.0
严格说来,0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合:所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说,它就是一个“收容所”,所有不认识的“三无”人员,一律送进去。如果你在网络设置中设置了缺省网关,那么Windows系统会自动产生一个目的地址为0.0.0.0的缺省路由
255.255.255.255
限制广播地址。对本机来说,这个地址指本网段内(同一广播域)的所有主机。如果翻译成人类的语言,应该是这样:“这个房间里的所有人都注意了!”这个地址不能被路由器转发。
127.0.0.1
本机地址,主要用于测试。用汉语表示,就是“我自己”。在Windows系统中,这个地址有一个别名“Localhost”。寻址这样一个地址,是不能把它发到网络接口的。除非出错,否则在传输介质上永远不应该出现目的地址为“127.0.0.1”的数据包。
224.0.0.1
组播地址,注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机,224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议,使用组播功能)功能,那么你的主机路由表中应该有这样一条路由。
本地链接地址:224.0.0.0~224.0.0.255,用于局域网,路由器不转发属于此范围的IP包
预留组播地址:224.0.1.0~238.255.255.255,用于全球范围或网络协议
管理权限地址:239.0.0.0~239.255.255.255,组织内部使用,用于限制组播范围
169.254.x.x
如果你的主机使用了DHCP功能自动获得一个IP地址,那么当你的DHCP服务器发生故障,或响应时间太长而超出了一个系统规定的时间,Wingdows系统会为你分配这样一个地址。如果你发现你的主机IP地址是一个诸如此类的地址,很不幸,十有八九是你的网络不能正常运行了
10.x.x.x、172.16.x.x~172.31.x.x、192.168.x.x
私有地址,这些地址被大量用于企业内部网络中。一些宽带路由器,也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连,因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时,要使用地址翻译 (NAT),将私有地址翻译成公用合法地址。在Internet上,这类地址是不能出现的。
对一台网络上的主机来说,它可以正常接收的合法目的网络地址有三种:本机的IP地址、广播地址以及组播地址。
My Blocked Network Zones
屏蔽一个IP或网段
图8
Stealth Ports Wizard 端口隐藏向导
我在给新人的指南里已经讲过了,我再将 局域网设置 解释一下:
点击向导,设置一个信任网络:
图9
在Zone Name :加入我们前面设置的Local Area Network和Special & Local Multicast,点Finish
这样,本机和局域网之间的访问就没有问题了。
图10
这部分先介绍Common Tasks 普通任务。
如图,Comodo 将一些常见的防火墙操作进行了分类,需要什么功能,就可以到相应的模块里进行设置。
图1
View FireWall Events 查看防火墙日志
防火墙除了规则部分,最重要的是日志,只有通过日志,才能发现规则是否有问题,给予改正。
当安装了新的程序,也需要根据日志来设置规则。
查看日志,还有一种办法, 在Comodo的安装目录里有一个cfplogvw,可以建立一个快捷方式,用它来查看日志。
要看懂日志,需要注意:
地址、端口和方向
当收到一个封包(In)
Source Address 是指 远程 电脑的IP, Source Port 是指 远程 电脑建立此连线所使用的Port
Destination Address 是指 本机 电脑的IP, Destination Port 是指 本机 电脑建立此连线所使用的Port
当发出一个封包(Out)
Source Address 是指 本机 电脑的IP, Source Port 是指 本机 电脑建立此连线所使用的Port
Destination Address 是指 远程 电脑的IP, Destination Port 是指 远程 电脑建立此连线所使用的Port
根据来源和目标的IP地址,可以判断防火墙是阻止发送还是接收IP封包。
本机IP 可以在 View Active Connections 里 TCP/UDP Out Source 看到。
Windows Operating System
在Comodo的日志里Windows Operating System 表示防火墙拦截的未经许可,不请自来的数据包( unsolicited packet ),通俗点讲就是垃圾数据包。这些数据包无非是违反了规则被拦截,或者是不符合协议、或者超时被SPI引擎拦截。
一般情况下,Windows Operating System 的日志没有多大参考价值,只有特定情况下才有用。
要别人帮忙解决防火墙的问题,必须贴有效的日志,和一个具体程序相关的日志。
cfplogvw 提供了日志过滤功能:
右键 Filter By,有很多选项,最简单的就是程序名
比如,我想看一下PPlive的日志
图2
图3
可以通过 Export to HTML 导出日志 ,附上完整的截图,上传,就可以分析日志。
还可以通过 Remove Current Filter 移除过滤 ,查看所有日志。
顺便提一句,Defense+ 日志也有过滤功能。
图4
要让人帮忙解决防火墙问题,至少要有规则、日志、截图。
My Port Sets 端口组
将一些相关的端口进行分类,方便以后设置防火墙规则。
图5
HTTP Ports 浏览器常用端口
80
443
8080[代理服务器端口,可以去掉]
POP3/SMTP Ports 邮件客户端端口
110
25
143
993
995
465
587
Privileged Ports 系统服务保留端口
0-1024
Dynamic Ports 1025-5000 XP动态端口
1025-5000
Dynamic Ports Vista动态端口
49152-65535
注:Vista客户端动态端口范围和XP是不一样的。
Dynamic Ports 1025-65535 动态端口 用于P2P软件
1025-65535
Netbios Ports Netbios端口 用于局域网文件和打印机共享
135
137-139
445
Dangerous Ports “危险”端口 对于一个全补丁系统并不“危险”,不过,还是阻止比较好
135
137-139
445
500
1900 [如果用UPnP,需要去掉这个端口]
Thunder Ports 迅雷端口 一个网络程序端口的例子
21
80
3076-3078
5200
6200
15000
16000
P2P TCP In
P2P 允许连入的TCP端口,每个人都不同,不贴具体端口
P2P UDP In
P2P 允许连入的UDP端口,每个人都不同,不贴具体端口
图6
My Network Zone 网络区域
将一些IP地址或子网,用一个网络区域Zone 来代替,方便以后设置防火墙规则。
图7
OpenDNS OpenDNS服务器
IP 208.67.222.222
IP 208.67.220.220
Loopback Zone 本地环回地址,加了掩码是为了防止伪造地址
IP In [127.0.0.1/255.0.0.0 ]
Local Area Network 局域网,请根据自己情况修改IP范围
IP In [192.168.1.0/255.255.255.0]
IP 0.0.0.0
IP 255.255.255.255
Internet-wide Multicast 预留组播地址
IP in 224.0.1.0-238.255.255.255
Special & Local Multicast 管理权限地址 & 本地链接地址
IP in 224.0.0.0-224.0.0.255
IP in 239.0.0.0-239.255.255.255
My Computer 本机IP
192.168.1.100/255.255.255.0
附:一些特殊的IP地址
有类网络
IP地址的第一个字节 归属网络
1-127 A类
128-191 B类
192-223 C类
保留的私有网络地址
下面的一些网络地址是私有的,只能通过NAT转换为公网地址才能访问Internet
地址范围 网络类
10.0.0.0-10.255.255.255 A类
172.16.0.0-172.31.255.255 B类
192.168.0.0-192.168.255.255 C类
127.0.0.1-127.255.255.255 回环地址
网络地址和广播地址
举个例子,在局域网中,我们的IP址一般使用私有C类IP地址
其中,以 .0结尾的地址代表网络地址,用于区分不同的网络
以 .255结尾的地址代表广播地址。例如:
192.168.1.0/255.255.255.0
192.168.1.0 就是网络地址,第一个主机地址是网络地址+1 192.168.1.1
192.168.1.255 就是这个网络的广播地址,最后一个主机地址是广播地址-1 192.168.1.254
网络主机的IP地址是:192.168.1.1-192.168.1.254
为了设置方便,我们最好是将网络地址和广播地址都加入局域网
IP Mask : 192.168.1.0/255.255.255.0
IP Ranger:192.168.1.0----192.168.1.255
0.0.0.0
严格说来,0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合:所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说,它就是一个“收容所”,所有不认识的“三无”人员,一律送进去。如果你在网络设置中设置了缺省网关,那么Windows系统会自动产生一个目的地址为0.0.0.0的缺省路由
255.255.255.255
限制广播地址。对本机来说,这个地址指本网段内(同一广播域)的所有主机。如果翻译成人类的语言,应该是这样:“这个房间里的所有人都注意了!”这个地址不能被路由器转发。
127.0.0.1
本机地址,主要用于测试。用汉语表示,就是“我自己”。在Windows系统中,这个地址有一个别名“Localhost”。寻址这样一个地址,是不能把它发到网络接口的。除非出错,否则在传输介质上永远不应该出现目的地址为“127.0.0.1”的数据包。
224.0.0.1
组播地址,注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机,224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议,使用组播功能)功能,那么你的主机路由表中应该有这样一条路由。
本地链接地址:224.0.0.0~224.0.0.255,用于局域网,路由器不转发属于此范围的IP包
预留组播地址:224.0.1.0~238.255.255.255,用于全球范围或网络协议
管理权限地址:239.0.0.0~239.255.255.255,组织内部使用,用于限制组播范围
169.254.x.x
如果你的主机使用了DHCP功能自动获得一个IP地址,那么当你的DHCP服务器发生故障,或响应时间太长而超出了一个系统规定的时间,Wingdows系统会为你分配这样一个地址。如果你发现你的主机IP地址是一个诸如此类的地址,很不幸,十有八九是你的网络不能正常运行了
10.x.x.x、172.16.x.x~172.31.x.x、192.168.x.x
私有地址,这些地址被大量用于企业内部网络中。一些宽带路由器,也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连,因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时,要使用地址翻译 (NAT),将私有地址翻译成公用合法地址。在Internet上,这类地址是不能出现的。
对一台网络上的主机来说,它可以正常接收的合法目的网络地址有三种:本机的IP地址、广播地址以及组播地址。
My Blocked Network Zones
屏蔽一个IP或网段
图8
Stealth Ports Wizard 端口隐藏向导
我在给新人的指南里已经讲过了,我再将 局域网设置 解释一下:
点击向导,设置一个信任网络:
图9
在Zone Name :加入我们前面设置的Local Area Network和Special & Local Multicast,点Finish
这样,本机和局域网之间的访问就没有问题了。
图10
--------------------------------------------------------------------------------------------------
欢迎关注我的微博 http://weibo.com/pco18
您的顶帖是我发帖的动力↘