Thursday, July 25, 2013

[How To] Comodo Firewall (6、7適用) 新手設定教學

注意:本篇文章已經過時,COMODO防火牆的相關教學請參考COMODO Internet Security 8:前言與安裝教學以及使用與設定說明這兩篇文章。

「如果我只是一般的使用者,我還需要安裝防火牆嗎?」

「我電腦裡的資料不值錢,怎麼會有人想要入侵?」

「裝防火牆之後很麻煩,常常我的某些軟體突然就因為防火牆而不能用了」

 這是我在建議別人使用防火牆軟體時最常遇到這情況,但現在網路上各種威脅遍布,只仰賴防毒軟體就可以確保資訊安全的時代已經過去了,裝防火牆的目的也不僅僅是防止資料外洩,也是為了防範自己所使用的電腦成為駭客入侵他人電腦的工具。

現今市面上的防火牆除了傳統的個人防火牆之外,還包含一種被稱為HIPS(Host-based Intrusion Prevention System)的主機入侵防禦系統,這種系統不像傳統個人牆只監測連接埠是否被開啟,HIPS同時也對網路連線所產生的行為進行監控。除此之外也會以監測的方式來確保電腦中的登錄檔、文件、與應用程式的完整性,必要時會將可疑的程式或文件用沙盒進行隔離。而在這裡使用者的角色,就是在必要的時候協助判斷該軟體是否是可信任的,但隨著白名單的擴張,使用者所需要參與的程度也隨之遞減。

在眾多的產品之中,個人最推薦COMODO的防火牆軟體。不需要太多的資訊安全知識,一般人也能夠很輕易地上手。且v6.X版推出至今已半年有餘。雖然剛推出時的Bug的確引起不少風波,但歷經多次改版後,許多惱人的問題已不復見。且現在只要設定妥當,就不用擔心過多的彈出式警告視窗干擾使用者,也可以降低使用者誤按導致其他軟體無法正常使用的機率,也沒有使用上的限制(可商業使用),再加上COMODO雖然是免費軟體,但評比結果打趴眾多付費軟體。因此他仍是我目前推薦防火牆給他人使用的第一選擇。

 最後,由於現今市面上已經有許多比Comodo Antivir更傑出的防毒軟體可以選擇,因此我會建議使用者安裝Comodo Firewall搭配其他廠牌的防毒軟體,會比只安裝Comodo Internet Secruity得到更好的保護。

基本資訊

軟體安裝教學

  1. 下載完成之後,雙擊安裝程式,會跳出語言選擇視窗,預設是正體中文。

  2. 接下來會看到下圖中的視窗,基本上只勾選「我想要啟用無法辨識程式的"雲端基礎行為分析"...」這個選項,其他取消勾選。接著點選視窗中的「自訂安裝」。

  3. 自訂安裝選項有三個頁籤,我們這裡只更動「安裝選項」這個頁籤,只有「安裝Comodo Firewall」這個選項是我們要的,其他取消勾選。完成後選擇上一步,回到剛才的視窗,選擇「同意並安裝」

  4. 安裝完成之後,Comodo FireWall會跳出詢問視窗:「加入新網路」,建議選擇「我在公共場所」,並且記得勾選「別再偵測新的網路」,到這裡安裝總算是告一段落。

軟體基本設定教學

  1. 點選桌面上的Comodo Firewall圖示,會出現Comodo的首頁面板如下,這是進階檢視的畫面。但無論是簡單檢視或者是進階檢視,都是選擇下圖中藍色箭頭所指的位置:「任務」,點選以後會出現任務面板。

  2. 任務面板如下,點選進階任務,選擇:「開啟進階設定」,接著就會開啟進階設定視窗。

  3. 進階設定分為一般設定與安全性設定兩個區塊,下圖是一般設定中的使用者介面

  4. 務必設定密碼來保護防火牆設定不被變更。

    接著是更新,預設是每天檢查,我認為除了遭遇到嚴重的問題,否則2~7天檢查一次即可。

    組態的部分,根據Comodo的官方說明我整理如下表:

    Preset Internet Security Proactive Security Firewall Security
    HIPS O O O
    Behavior Blocker O O X
    Firewall O O O

    從上表看不出Internet Security與Proactive Security的差異。簡單來講,Internet Security只針對一般狀況下會受感染的檔案與資料夾以及exploited COM 介面進行保護。而Proactive Security在這方面的設定則是更加全面,但對一般使用者而言可能反而造成困擾。由於Comodo的沙盒經常造成使用上的困擾,因此個人並不建議使用Behavior Blocker,選擇擁有HIPS與Firewall功能的Firewall Security會比較單純好管理。

  5. 安全性設定分為三個部分:「Defense+」、「防火牆」、「檔案評價」。Defense+包括HIPS、行為封鎖程式以及沙盒...等,下圖是HIPS設定。

    在這裡若使用者是剛重灌好的系統,則HIPS可以選擇乾淨電腦模式,否則使用安全模式會比較適合。然後將"彈出警示設定成詳細資訊模式"打勾,這個對於判斷警告視窗會很有幫助,然後在下面勾選"在系統資源不足下啟用自我調整模式"。

  6. HIPS規則與規則集的設定需要較高的資訊安全知識門檻,因此在此不建議使用者進行更動。

  7. 「受保護的物件」建議點擊右鍵,新增→檔案群組→Windows系統應用程式。除此之外,還可以視使用者需求增加要監視的資料夾。

  8. 行為封鎖模式由於我們選擇Firewall Security,因此預設是停用的。如果有使用沙盒的需求,建議參考我的另一篇文章:[How To] 用沙盒保護系統的安全 - Sandboxie使用教學

  9. 防火牆的部分有些地方要注意,首先將螢幕警示逾時改成120秒或者更高。

  10. 警示頻率等級預設是低(預設會顯示沒有勾選),在這裡個人習慣使用"中"。

    並且勾選封鎖分散的IP流量,如果因此無法使用網路印表機者,必須要取消勾選這個項目。

    在區域網路內的使用者,則建議"啟用防ARP詐騙",因為這類型的功能在現今變得相當普遍。可能來自於電腦病毒,也可能是對方用NetCut、P2Pover這類的程式惡意攻擊造成。

  11. 應用程式規則設定是最重要的部分,預設只包含三個項目:「Comodo Internet Secruity」、「Windows更新應用程式」、「Windows系統應用程式」。然而這裏我建議使用者應該還要多增加一些項目,新增方法如下:

  12. 右鍵新增規則之後會跳出應用程式規則的新視窗,瀏覽→檔案群組→選擇欲新增的項目。

    規則集部分建議使用內建的規則集,除非有自架網站、FTP、以及網頁瀏覽器之外,建議一律使用「只允許連出」這個選項。「只允許連出」並不代表只允許程式發出封包,而是如果程式要接收外來的封包,則必須是程式先主動發出封包並請求封包。

    下圖是我設定的應用程式規則

  13. 全域規則部分,要新增一條新的規則,否則會無法使用Ping命令。設定如下圖:

  14. 進階設定至此已經完成。回到任務面板以後,到防火牆任務點選「隱身連接埠」,會跳出一個視窗詢問封鎖連入連線或是警示連入連線。我在此強烈建議選擇封鎖連入連線,此選項會讓他人的電腦在沒有先收到來自我們的電腦的封包,就無法主動傳送封包過來。

  15. 這個選項主要是為了避免前面的設定應用程式規則時有所疏漏,那為什麼不直接設定這裡就好了呢?因為應用程式規則優先於該選項,如果應用程式規則為自訂,則會優先執行自訂規則。因此前面的設定是不可以不做的。

    如果有使用BitComet這款BitTorrent軟體的話,要使用"警示連入連線"才不會影響到下載的速率,但我會推薦µTorrent這款做為替代方案,因為就算使用"封鎖連入連線"也不會對下載速率造成影響。

後記

感謝Y3k的提醒,再重新研究後我對教學內容進行下列更動:

  1. 對組態提供更進一步的介紹
  2. 將建議組態從Proactive Security調整為Firewall Security
  3. 建議使用者以Sandboxie取代Comodo內建的沙盒功能。
  4. 增加Bicomet使用者的注意事項。

參考資料:http://help.comodo.com/topic-72-1-451-4685-Introduction-to-Comodo-Internet-Security.html

本著作依據Creative Commons 姓名標示-非商業性-相同方式分享授權條款釋出

內容如有錯誤 煩請不吝指教

29 comments :

y3k said...

不管是哪個Profile都有開啟HIPS的喔@@
差異在Proactive是預設將能監控的項目全部打開
其他兩個則是有砍一些

如果有搭其他防毒軟體 建議一般使用者開到Firewall Security即可
不然處理不完的彈框會消磨使用者判斷的耐心XDrz

COMODO的沙箱個人不建議一般使用者使用
懂沙箱原理的人有更好的Sandboxie可以選擇
不懂沙箱原理的人用會出問題
這樣我不知道要推給誰用= =a

Anonymous said...

請問為什麼在加入新網路這裡要選擇我在公共場所呢?
一般的家用電腦不是選擇我在家裡嗎?
windows7在偵測網路的時候我也是選擇家用網路~
還是說這有什麼區別呢?

Ting-Hsuan Lin said...

這篇是微軟對網路位置的解釋
Windows7的網路位置我是設為公用網路,主要是因為我不想開啟網路探索,也不想被探索。在Comodo的Guidelin並沒有很明確地去解釋這三種的差別,但應該是類似的概念。

Anonymous said...

那請問如果有需要用到網芳~
所以windows7網路位置選擇家用網路~
那Comodo FireWall就變成選擇我在家裡嗎?
其它的設定是不是都一樣不用變?

Ting-Hsuan Lin said...

是的,Windows7網路位置必須要使用家用網路,否則無法加入"家用群組",Comodo Firewall則選擇Home,然後務必要開啟防止ARP欺騙。

Anonymous said...

其實目前家裡只有一台電腦~
是怕以後還會有別台所以才選家用~
有上網查了一下開啟防止ARP欺騙~
太複雜了看不懂= =
不過只在家裡用應該不會被攻擊吧?

Ting-Hsuan Lin said...

喔喔,家裡只有一台電腦的話就不用勾選防止ARP攻擊那個選項了。

Anonymous said...

想請問
全域規則的設定倘若像是http://imgur.com/hUGUnB4
是否還有需要更改呢?

全域規則部分,要新增一條新的規則,否則會無法使用Ping命令

倘若不會用到PING指令 是否還需要做此設定呢?
謝謝

Ting-Hsuan Lin said...

如果你不需要使用到Ping指令,那全域規則維持現狀即可。

Anonymous said...

請問螢幕桌面右上角的那塊COMODO圖示,有沒辦法設定讓它消失?看起來很礙眼,因為那一向是我擺常用辭典的地方。謝謝!

Ting-Hsuan Lin said...

如果你說的是這個,這是Comodo Firewall的Widget。對系統通知區的Comodo icon叫出右鍵選單,可以關閉Widget。

Anonymous said...

正有此需要,感謝您的分享 !

Anonymous said...

感謝你的分享
很好用的設定教學

Anonymous said...

大大你好~
之前看過這篇教學覺得很不錯~
所以最近準備灌這款防火牆~
不過安裝過程中發現了一些不一樣的項目~
能麻煩大大再更新一下嗎?
主要不一定要地方如下:
HIPS中的受保護的物件和防火牆中的應用程式規則~
發現都缺少了Windows 通訊端介面~
而防火牆的應用程式規則多了一個系統~
再麻煩大大幫忙看一下@@

就像〝楓 葉〞般 said...

comodo的行為偵測會將未知的程式自動丟入沙箱((或者限制權限 可是這樣會導致該程式無法連線 請問有什麼補救的方法?

Ting-Hsuan Lin said...

就像〝楓 葉〞般

有幾個選擇,如果不想把沙盒功能關閉,那就是要將該程式加入白名單。在設定裡的沙盒部分,在《共用空間》勾選不要虛擬化存取指定的檔案/資料夾,然後將該檔案加入清單中。另外就是將該檔案加入信任清單中,但我認為這種作法會有額外的風險。最後就是乾脆將沙盒這功能關閉了...我自己是採用最後者。7版有針對沙盒功能進行修正,但我自己目前還是用6版,所以就不多加評論了。

Ting-Hsuan Lin said...

回不知道你是誰的誰:

7版已經推出一段時間,所以會和我所寫的這篇專門為6版而寫的教學稍有不同,但由於我個人目前還在觀望中,因此暫時不會推出7版的防火牆教學,以上。

Anonymous said...

目前官網上下載的還是6版吧~
因為我安裝完的版本號碼跟大大的一樣啊~
都是6.3.302093.2976~
還是說又改版了我不知道~
小弟我前幾天才剛裝的說= =
安裝時有多出PrivDog這個選項(我有取消)~
然後我講的那些細部的東西又跟大大介紹的有點不太一樣所以才想說詢問下@@

Anonymous said...

板主好,非常感謝您寫了這篇教學文,解開了我許多設定上面的疑慮,真的是受益良多,在此想請問,comodo 的 進階設定 > 一般設定 > 使用者介面 > 「 顯示通知訊息 」 ,這裡顯示的訊息是哪方面的,假如不是學習模式,這裡有需要勾選嗎?? ( 目前使用HIPS安全模式,防火牆自訂 )

Dxzy Ion said...

剛換comodo6的時候完完全全照文章設定,用了好一陣子完全沒有想到要去懷疑,結果等我發覺的時候才想到這6怎麼跟之前的警示功能偏離太遠。

簡單說就是像其中一張圖,防火牆將可執行檔案設為只允許連出,這似乎就意味著所有在電腦裡的可執行程式一概都放行可連出了(相對地因為是先連出那麼就能跟別台主機建立連線,雖然你沒有允許別人連入但這根本是不擋自家木馬的設定?)

當首次開了一個不熟悉的程式,就應該回報這程式試圖做出連線或一定程度的權限要求,不過照文章設定的話,基本上有檔連入但不會檔連出,HIPS對於一些常見類型的軟體在6板之前是絕對會警報,在這設定之下卻不會,整個有夠不安心。

Anonymous said...

我想請問一下應用程式規則這張圖中,應用程式旁的選項是不是要打勾,因為它一打勾,下面就全部打勾,這樣是代表規則有匯入嗎?不然那個打勾是要幹麻的
謝謝

Anonymous said...

請問裝了COMODO防火牆後,
win7內建的防火牆需要關嗎?
兩者會衝突嗎?

Ting-Hsuan Lin said...

我的習慣是如果有裝額外的防火牆就會把內建牆關閉

bbcjae said...

請問eMule要如何得到高ID,在你的設定下,有無法讓p2p軟體中的eMule順利的運作,可不可以教我一下

謝謝您

Ting-Hsuan Lin said...

@bbcjae 在這之前我想先跟你確定一件事情,那就是關掉Comodo防火牆之後,eMule是否就能取得高-ID?

bbcjae said...

你好 Ting-Hsuan Lin
關了防火牆可以連的上 高ID 沒關什麼也連不上或低ID
我使用了下面連結教學後,就好了

知不足齋 部洛格 comodo防火牆下,設定emule hi-id
http://blog.roodo.com/kazamasogetsu/archives/31309940.html

設定完後還要使用"警示連入連線"才行
謝謝您的教學comodo防火牆初次使用

Ting-Hsuan Lin said...

@Dxzy Ion 你如果覺得新版這種方式不好,那你應該要把Comodo防火牆移除後再重新安裝一次,然後在安裝的組態設定取消勾選"盡可能不顯示要求安全性決策警告" ,如此一來你就可以找回過去那個一直該該叫的COMODO了

信‧志 said...

謝謝分享,設定完之後 網路有變順

Dxzy Ion said...

如果有錯請更正,下面的內容肯定不是100%正確。

不太確定comodo何時開始有防火牆群組的設定,但相較於舊版comodo,6以上規則已經簡化很多了。

我這裡使用的感想是,防火牆>應用程式規則>那邊群組通通都無須設定,除非你有特殊需求;大部份的可執行檔已經由白名單過濾了一次所以它不會發問要使用者(安全模式)做決定,但由於也沒勾建立安全程式規則所以既沒叫過也不會出現規則使用者就不會注意。

反之,舉例說當你已經使用到comodo處於靜默完全不會叫的程度,對於警報的規則都設完了,這時勾選建立安全程式規則會增加大量規則(隨時間),然而仍在(安全模式)之下平添這麼多已經被省略的規則意義好像不大。除非使用(自訂規則集),如同在Defense+下的偏執,但偏執很可能把使用者的電腦鎖死因為如上所說沒建立的規則太多而偏執全照規則導致電腦死機,碰。

扯遠了,總而言之群組的用途應該在於你有特殊需求或有條件的簡化操作,例如在Defense+下面如果有設定的話,所有應用程式這個群組的規則在執行可執行檔那項會排除 ?:\$Recycle.Bin\* 也就是禁止所有可能的程式從垃圾桶裡面執行;如果說想要簡化啟動近年遊戲常常會跳出的某種警報一樣可以從這添加允許或禁止,就很類似防火牆那邊全域規則的使用方式,反之如果把Defense+及防火牆的群組都隨便允許的話,除了100%comodo認定有害的東西以外他根本都不會擋了…。

anyway,去年說它不叫跟"盡可能不顯示要求安全性決策警告"那沒什麼關係,是亂設群組造成的。