Всем доброго вечера, принимайте в свои ряды нового пользователя продуктов COMODO. Хочу обратится к вам за помощью по такому вопросу: есть локальная сеть 192.168.1.3/255.255.255.0 настольный комп LAN, ноут WLAN, медиаплеер LAN, помогите создать правила политики сетевой безопасности для максимальной защиты и корректной работы домашней локальной сети. Интернет провайдер Укртелеком интернет ADSL.
И Вам доброго вечера, Aliado! Странно , что никто не хочет ответить на простой вопрос. 
Наверное, выходные… Вы можете сделать это несколькими способами. Можете С помощью мастера скрытых портов (на закладке “фаервол”) выбрать доверенную сеть, можете включить (собственно, оно включено по умолчанию) определение новых сетей (разное → настройки) и тогда при появлении новой сети CIS будет спрашивать, какой статус ей присваивать.
Спасибо за ответ. Я наверное не совсем правильно поставил вопрос. После обнаружения в автоматическом режиме настройки прописываются в правилах затем я через мастер скрытых портов блокирую все входящие соединения, нужно ли мне дополнительно создать запрещающие правила для локальной сети? И не сочтите за труд посмотрите мои настройки по всем правилам на ниже приведенных скринах, все ли я правильно настроил?
http://i28.fastpic.ru/thumb/2011/0925/6a/c3f3640bb781c49f8a8d0154b1f5ef6a.jpeg
http://i28.fastpic.ru/thumb/2011/0925/7f/4b7597b3b35fe2bc77e4d8119568f07f.jpeg
Дошли, наконец, руки до Ваших скринов…
По глобальным правилам.
- Я бы поменял пятое (первое блокирующее) правило с “блокировать входящие из любого в домашнюю сеть” на “блокировать входящие, где отправитель не в домашней сети”.
- Не понял, зачем Вам второе и шестое правила, тем более, что они, практически, дублируют друг друга.
- Вы уверены, что Вам нужны 7-ое и 8-ое правила?
По локальным.
По-моему, Вы слишком много свободы дали “системным приложениям windows” и необоснованно широкие правила для svchost. 2-е правило для мюторрента можно, по большому счёту, заменить на просто “разрешить все исходящие”. Для дракона, в принципе, вполне пошла бы политика “веб-браузер”, правда, её иногда приходится корректировать для разных “штучек” вроде потокового видео и т.п. Не помню сейчас какие там порты…
Что Вы имеете в виду?
Спасибо за помощь. Сделал так, перешел в пользовательский режим и включил высокий уровень оповещений и создаю правила для каждого приложения, вот что получается.
http://i30.fastpic.ru/thumb/2011/0930/53/63dedced7b9fcded8b644739a651fa53.jpeg
http://i30.fastpic.ru/thumb/2011/0930/de/80ef36d9a89ac20e71a65ce10a96c9de.jpeg
Замечания вроде бы все учел. Посмотрите на правильном ли я пути.
Aliado, что касается правил для приложений, то я не понял, в чём Ваш вопрос. Уточните, если не сложно.
Касаемо глобальных правил:
- Второе сверху правило не нужно.
- Третье сверху правило разбейте на два, “разрешить исходящие в домашнюю сеть” и “разрешить входящие из домашней сети”. Были косяки, связанные с блокировкой локальных серверов, работающих через 0.0.0.0. Правда, может это исправлено уже, что-то пришло в голову, что давно это не проверял…
- Пятое правило всё равно перекрывает шестое. Так что шестое можно и убрать.
И первое глобальное можно разбить на 2 правила - отдельно для TCP, отдельно для UDP. Впрочем, необязательно.
Спасибо глобальные поправил. Что касается правил для приложений то там скорее не вопрос а просьба посмотреть опытным глазом нет ли грубых ошибок и поправить если что не правильно.
http://i29.fastpic.ru/thumb/2011/1001/f2/ce6f979ecc1b9f692a8b7bc0abdca4f2.jpeg
http://i29.fastpic.ru/thumb/2011/1001/1f/00a2c2b8801f9a0e4cca11e9cdc0721f.jpeg
И еще по поводу предопределенных политик, я правильно понял, они нужны что бы быстро создавать правила для приложений? или у них другая роль? и нужно ли их править? или подойдут те которые прописаны по дефолту?
Неправильно поправили. 3-е и 4-е напишите как “разрешить входящие, если отправитель в домашней зоне” и “разрешить исходящие, если получатель в домашней зоне”. У Вас в правилах для приложений так написано правило для “System”.
Ну тогда я выше уже написал. Единственное, что сразу бросается в глаза сейчас, это слишком широкие права для “системных приложений windows”. Список их велик, а разрешить им все исходящие - слишком жирно Лучше решать в каждом конкретном случае вообще без этого правила.
Да. Предопределённые политики, сетевые зоны, наборы портов - только для упрощения создания правил, чтобы не писать по сто раз одно и то же. И чтобы, скажем, при изменении того же набора портов, не пришлось переписывать ранее созданные правила.
По желанию заказчика, как говорится.
Спасибо. Больше вопросов нет.
Добрый день, не поможете ли с настройками firewall в CIS 5.5? Я установил настройки как на рисунках, но после этого ни я не могу выйти в локальную сеть (192.9.2.ххх), ни ко мне никто достучаться не может. Как только я делаю firewall неактивным, то все ОК, кроме, разумеется, защиты.
http://img510.imageshack.us/img510/6491/97719893.th.png
http://img43.imageshack.us/img43/457/55320407.th.png
http://img850.imageshack.us/img850/1800/80957430.th.png
Что я сделал неправильно?
Заранее благодарен.
скорее всего вам нужно создать правила для sistem в правилах для приложений , посмотрите как у меня на скринах
rli74, разрешите для svchost “локальную зону”. Добавьте в “локальную зону” 127.x.x.x. Третье глобальное правило не нужно.
Ничего не помогло, даже когда я разрешил для svchost полный доступ. Более того, я могу зайти на другой компьютер, если точно укажу его имя и расшаренный каталог, а если я захожу через “Вся сеть/Microsoft Windows Network/KO-7(это имя нашей группы)”, то в списке доступных компьютеров я вижу только свой. Когда кто-то пытается зайти ко мне, то Windows пишет “Нет доступа. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору”. Операционка у всех в группе - Windows XP, администрирование ни на одном компьютере не делали, все работают под админитраторскими правами, пароли тоже никто не вводил.
rli74, покажите свои новые правила с внесёнными изменениями. И растяните, пожалуйста, окна так, чтобы было видно каждое правило целиком, без многоточий. Вы для “System”, как писал Aliado, локальный доступ разрешали?
Всем добрый вечер
Роскажите, пожалуйста как создать такие глобальные правила как писал модератор ntoskrnl
Я в настройках такого не нашел.
Еще не пойму что за порты указаны у Aliado вот на этом скрине ( сверху 2 первых правила) http://i29.fastpic.ru/big/2011/1001/f2/ce6f979ecc1b9f692a8b7bc0abdca4f2.png
Вас смущает использование в правилах [Домашняя сеть] или все же вопрос о том как вообще создать глобальное правило ?
Это входящие на порт utorrent.
Меня интерисует как создать глобальное правило.
“разрешить входящие, если отправитель в домашней зоне” и “разрешить исходящие, если получатель в домашней зоне”
Создать зону: Файервол-Политики сетевой безопасности-Сетевые зоны (сверху вкладка)-Добавить(сбоку кнопка)-Новая сетевая зона-(ввести название, например, Домашняя сеть)-Применить.
Далее заполнить адреса зоны и при создании правил ей воспользоваться.
[attachment deleted by admin]