вопрос по антивирусу и правилам фаервола

всем доброго времени суток

кто мне сможет помочь и прояснить:

  1. почему при снятой галочке “создавать правила для безопасных приложений” правила все равно создаются автоматически? режим фаервола стоит: пользовательская политика.
    пример:
    в настройках utorrent стоит правило “Спросить и логировать все TCP или UDP исходящие из мой_ip в MAC любой, где порт источника любой и порт назначения 80”
    при проверке порта возникает оповещение, спрашивающее об исходящем соединении ip:80 и после разрешения в настройках сетевой безопасности добавляется правило: “Разрешить IP исходящий из MAC любой в MAC любой, где протокол любой”

—update—
нашел:

но при алерте, активируя опцию “обработать как” нет варианта с uTorrent

—update2—
забавно, что когда я изменяю правило на “Разрешить и логировать все TCP или UDP исходящие из мой_ip в MAC любой, где порт источника любой и порт назначения 80” - то работает без проблем. почему при опции “спросить” CIS добавляет новое правило для всех исходящих соединений?

  1. копирую файл в папку, антивирус подозревает его на вредоносность и выскакивает соответствующий алерт, щелкаю - добавить в доверенные, немного подумав антивирус снова выдает алерт, щелкаю - добавить в исключения, и … угадайте, что антивирус снова выдает

зайдя в настройки сканирования и открыв раздел исключения я наблюдаю несколько одинаковых записей, где указан путь и файл, который я пытаюсь исключить

-----update----
вопрос №2 решил переустановкой CIS 5.8 Beta
вопрос №1 в силе

Видимо, потому, что включена галка “запомнить” в алерте…

Создаваемые правила зависят от положения ползунка “уровень частоты оповещений” в настройках ФВ. Если загнать его на самый верх, то будут создаваться правила на каждый протокол/адрес/порт. Естественно, с учетом специфики торрента, там всоре может оказаться весь интернет, а отвечать на алерты придётся по нескольку раз в секунду… :slight_smile: Варианты “обработать как” берутся из предопределённых политик, а не из правил для конкретных приложений, даже если там стоит запрос.

http://img845.imageshack.us/img845/6981/dhde45ytgsdfgqw3ysefh.th.png


http://img197.imageshack.us/img197/6969/sew45ycgjd4562wq5rthdfg.th.png


http://img850.imageshack.us/img850/8674/hfs34tgsehgsderuwshfghd.th.png

Забросьте, если не сложно, этот файл мне в личку. Бета-версии не рекомендуется ставить на рабочую машину.

ползунок "уровень частоты оповещений" стоит в режиме Низкий.
по логике, если я разрешаю какой-то запрос, фаервол должен запомнить, что именно на этот ip и по этому порту я хочу разрешить траффик. не логично разрешать сразу скопом все исходящие. галочка Запомнить вообще не играет роли. алерт выдается на конкретное событие, и галочка отмечает сохранение поведения в этой ситуации.
если это не так, тогда вопрос к разработчикам интерфейса…

вряд ли весь интернет, на 80й порт торрент ломится на сайт для проверки обновлений и для проверки порта (открыт/закрыт).

откуда уверенность в том, что машина рабочая? в моем случае BETA версия решило проблему, вывод - что-то не так было с локальным антивирусом.

Я не знаю, что “логично”, а что “нет”, но правила создаются (и алерты появляются) в соответствии с указанным ползунком. Я же привёл скриншот, хотите алерт (и правило) на каждый IP - ставьте “очень высокий” уровень алертов. Ума не приложу, зачем, проще просто настроить правила для конкретного приложения сразу.

См. выше. Правило запоминается в соответсвии “частотой” алертов.

Я же привёл выше скриншот, что получается при “очень высоком” уровне. Запоминается каждый адрес + каждый порт. На “высоком” запоминается только каждый новый порт.

У кого уверенность? Под рабочей машиной подразумемается компьютер, на котором Вы выполняете повседневные задачи и храните свои данные. Нет никакой гарантии, что бета-версия не угробит систему или данные, на то она и бета.

Не вижу пока никаких оснований для того, чтобы сделать такой вывод…

затем, что изначально не известно, что может понадобится приложению и куда оно попросится и зачем. потому-то по умолчанию все правила для приложений одинаковые, как однояйцевые близнецы (Разрешить все исходящие из любого Мак в любой Мак).

тут я уже разобрался, спасибо за подсказку

под рабочей машиной подразумевается машина, на которой выполняют работу, под домашней - домашний компьютер. по крайней мере я употребляю эти термины именно так. разница в том, что если я угроблю личный компьютер - то сам себе виноват, но если это произойдет с компьютером на работе …

не возражаю, но у меня ничего не взорвалось, не умерло, никто не выкинулся из окна. работает Beta вполне надежно, жду stable-релиз

возможно и системный глюк, но на форуме никто больше не описывал подобной ситуации, хотя я может и невнимательно смотрел.