由於之前使用的 Kerio 的 Personal Firewall, 似乎停止開發了 (在 4.2 出來後, 就賣給另一家公司, 不過似乎都沒什麼變動), 所以上星期就換了 CFP 來試用看看.
在一般的運作上頭, 就一個 Personal Firewall 來說, CFP 其實並不會太複雜, 也不會太難設定. 就許多網站的測試資料來看, 這個軟體至少都有中上程度的表現, 如果加上它是個完全免費的軟體, 我想, 這是一個十分適合推薦給所有人, 用來取代 XP 內建的 Firewall 的一個軟體.
不過, 用了幾天, 這個軟體也並非完全沒有缺點. 就我個人的經驗來看, 目前有下列的缺點:
- 設定的資料沒有匯出匯入的功能. 要自己由 Registry 中匯出再匯入. 如果升級程式, 必須先移除再安裝 (不確定正式的版本是否仍需要這樣, 不過測試版只能先移除再安裝), 如果忘了自己匯出設定檔, 則所有的設定在移除後就都不見了.
- 應用程式的規則中, 就算在裡頭有相同的設定可以允許某程式連線時, 仍會詢問, 如果再儲存一次, 會發現有相同的資料, 如果去編輯一次, 可以發現會併成一筆, 可見兩筆規則是重複的. (我在官方的討論區問過, 官方人員說一定有些地方不同, 不過有人說他也碰過相同的問題)
- 應用程式的規則與網路的規則是不同的. 以前使用 Kerio 的經驗, 當設定允許某個程式可以接受外頭進來的某個 port 的封包後, 並不需要另外在網路規則上頭, 設定另外一筆允許這個 port 進入的規則, firewall 在收到這個 port 的封包時, 會看是否為允許的程式所接收, 如果是就會放行. 而 CPF 的作法, 是除了應用程式上頭的設定外, 必須也在網路設定上頭, 也開放這個 port 進入, 才能正常運作. 這一點, 也不能說是 CPF 的作法有問題. 只是, 對使用者來說, Kerio 的作法, 會比較好一些, 使用者可以少維護一些規則.
- 在應用程式行為分析上頭, 對於使用 COM/OLE 方式連線的程式, 並沒有規則可以定義. 雖然會詢問是否放行, 且可以儲存. 但這個儲存的記憶動作, 只對這次開機有效. 等下次重開機後, 同樣的情形, 一樣會再問一次. 如果有很多程式都是利用這個方式來運作的話, 對使用者會變成一種困擾, 反而會有想把這個檢查的功能關閉的念頭. (很多程式在查詢 DNS 時, 都是透過這個方式來處理)
- CPF 的 GUI 程式, 在開機時的啟動並不是很快 (放在 HKLM 中系統的 Run 裡頭), 所以開機之後, XP 會認為 firewall 沒有執行, 而出現警告訊息. 然後過一陣子, 等 CPF 的 GUI 出現後才消失. 因為還有另外兩個 service 與 CPF 有關. 所以, 我不確定 CPF 的核心是否在 GUI 沒執行之前有運作, 還是會等 GUI 出來後才運作. 如果是前者. 那麼在開機之後到 CPF 的 GUI 出現之前, 就存在很大的風險, 讓外頭的程式可以在這段時間內入侵了.
雖然有上頭的一些問題. 不過 Comodo Firewall Pro 2.4 仍然是一個不錯的軟體. 值得推薦給大家來使用.
2007/01/24:
補充一下, 在官方的討論區有看到官方的人員說明開機時的運作, 基本上, 所有進來的封包, 在開機後到 CPF 的 GUI 跑起來之前, 是全部禁止進入. 而出去的封包, 如果在你的 "安全" 名單內 (不知道是指自訂的安全程式名單, 還是在程式監看的列表上頭), 都是允許出去的. 我自己試過 ping 這台機器, 的確是開機後一直到 CPF 的 GUI 啟動後, 都不會有任何回應的封包.
comodo不是一家奇怪的公司,
它是全球第二數位憑證簽發服務商。
CFP V3會加入全功能的HIPS,敬請期待……
k牌fw其實就是8signs,據說是向之前很出名的conseal Firewall 買來的source 再加上一些過濾http的東西(TDI)
K牌?? (Kerio??)
8signs不適合一般使用者……
不管是LnS、Tiny(非CA收購後)、CHX-I……等等的
平面防火牆的規則設定都太過複雜了……(雖然很嚴謹?)
加掛HIPS的立體防火牆、以APP Filter來放行/阻擋,會是未來的趨勢。
NDIS 貌似能做 ARP 的過濾說!
所謂的HIPS??立體的rules??人太笨不懂...呵
哦……所謂的「HIPS」就是「主機入侵防禦系統」
是依靠判斷程式行為來預防各種侵入手段的工具,
SSM、SnS、CyberHawk、EQ ……等等都是。
Kaspersky2006系列產品的主動式防禦也勉強算是HIPS。
而「立體防火牆」則是以程式行為判斷模塊為基礎自動累加規則,
非「傳統防火牆」必須先行手動設定規則去做連線放行/阻擋。
所以,比起設定複雜的規則,(我猜﹕很多剛接觸FW的新手都對規則的制定很頭痛吧?)
新型的立體防火牆使用上會更加容易上手。
而加入HIPS並非所有立體防火牆都會採行的……
我僅知道的有Tiny(被CA吃下已停產)以及即將問世的Comodo-V3採用HIPS。
過年快到了,大家想必忙翻天,祝新年快樂 ﹕)
補充﹕
Tiny FW 的版本諸多;前期基本上都是平面防火牆。
而Tiny 後期出的產品,功能/操作面偏向立體防火牆。
如果不在意「已停止更新支援」Tiny FW 2005 則是非常不錯的選擇,
集合了穩定、嚴謹、高效、便利於一身的好東西。
非常適合MIS人員使用(它的規則制定還是需要專業素養的)。
呃……再補充(請版主見諒)
如果有人在你管轄的網域底下搞ARP攻擊,
你要怎麼處理??(我想我會處理「那個人」吧?!)
不過我是採取 ip-mac 雙向綁定,
所以這種事情就不依賴Firewall了……
這個防火牆不錯,小弟也在試用中~但在foxy設定上出了麻煩~因為foxy的佔用頻寬太大,用netlimite也不能管制~
主要想請教的是,最新版本還有大大所說的那些缺點嗎~謝了~
(握手...)我也是用kerio.不過是2.1.5版...
我也覺得把軟體和網路規則分開來太複雜了,一次把他們擺在一頁順序排好,不是很簡單嗎?如果還要加入Hips更是討厭,不過2.4版不就有點hips的味道?不同程式啟動的子程式還要再寫一次規則..哇咧煩死了..可能是我本身已經有hips了...一般使用者不就更煩了。雖然這麼多抱怨,但它還是目前我幫人家裝電腦時的首選啦!!!尤其看到他們臉上滿意的表情就知道,因為comodo的介面實在太好看了,一直警告也沒關係,哈哈!!