如何分析和部署COMODO D+规则

要理解COMODO D+规则的作用及逻辑，请先看“所有应用程序*”这条规则——全局规则。抓住这条规则，就抓住了规则的要点，理解这条规则要着眼在“所有应用程序”这几个字上——*代表任意程序，任何有后缀名的可执行文件（例如firefox.exe，cmd.exe，explorer.exe……*.com，*.bat，*.pif，*.vbs，*.tmp……）和无后缀名的可执行文件（例如A1007f7m8等）。也就是说，该条规则对任何程序都是适用的，只要能够执行到它这里，它就对每个程序都适用，都能管！

如果该条规则置顶，那么，首先会执行该条规则的各项规定，完毕后才往下执行各个具体程序的规则。此时，这条规则是起优先过滤作用的，可以叫做第一道全局大过滤。

如果这条规则垫底，那么，执行完上面的具体程序的规则后，才会执行这条全局规则。此时，这条全局规则是起扫尾作用的，可以叫做最后封口的规则，扎口子的规则。

明白了这个，先来看看COMODO自带的默认规则——全局规则垫底，所有选项都是询问，例外全部留空。它的意思就是，所有操作交由用户完成：既然是计算机安全规则里还没有该程序的规则，运行该程序时，COMODO D+调用规则判断时，就执行到全局规则，而全局规则是询问，于是就弹出窗口给用户选择，用户选定的操作就变成一条规则自动添加到全局规则之上，以后再运行该程序时，D+就会首先执行这条用户选定的操作规则，这就叫做是充分尊重用户的选择。

那么，对于用户手动在D+里添加的规则，为什么要放在全局规则之下，是否起作用呢？因为不是在运行程序时调用D+的规则判断主动生成的规则，是用户自己添加的，对于D+来说是被动生成的，为示区别，D+就把它放在了全局规则之下。根据D+规则的执行顺序及规则流程，首先会执行全局规则，默认的全局规则是询问，属于模糊操作，依据模糊操作后于精确操作（允许、阻止）的关系，D+会检查一下全局规则下是否还有其它规则，检查的结果有，于是就根据该规则的设定，允许或者阻止了。

注意，以上实例说明了这样一个问题：全局规则之上的程序规则，如果不适用于程序行为，就由全局规则来判断，如果全局规则是询问，就会弹窗询问；全局规则之下的程序规则，如果规则设定适用于程序行为，虽然全局规则在上，如果全局规则是询问的话，就会直接执行下面的允许或者阻止，绝不会弹窗询问，这就是所谓的静默法则。

说上面这一大堆废话，实际上就是要阐明，我们的程序规则是紧紧围绕着全局规则来展开和部署的。我们可以这样设想，当我们开始部署自己的规则时，除了系统程序和COMODO的规则被D+预置外，除了垫底的全局规则外，再无其它的规则了。当我们运行程序或者手动添加规则时，都会触发全局规则，每一条新添加的规则，都是和全局规则息息相关、血肉相连的。不管我们的规则有多少，实际上都是一条一条叠加起来的结果，都是不停地和全局规则比对、联系后产生的结果。不论程序规则处在哪个位置，它都是和全局规则有逻辑关系、甚至是因果关系的。明白了这个道理，做规则是不是很简单，无非是依据和全局规则的关系来添加而已！再复杂的规则，看起来是不是很简单，再复杂的规则，管某个程序的也只不过是某条程序规则和全局规则之间的相互关系及作用的结果而已，有啥稀罕的？

参见下图示例：文档办公的规则和全局规则共同作用和制约办公软件

明白这些道理，部署自己的规则也就不难了，无非是总体规划和排版而已——根据自己的需要和喜好，可以把全局规则置顶，也可以把全局规则垫底，也可以混排（垫底的全局规则之下还有程序规则）。作为比较容易把握和收尾扎口而言，全局规则垫底是比较容易掌握的，这就是流行规则大多把全局规则垫底的原因。

规则的强度以及严厉程度，可以通过全局规则里面各项的具体设置来获得。对于全局规则垫底的方案而言，如果全局规则设置很强悍，对于阻止未知程序的行为是十分有效的。当然，规则强度究竟设置到哪个地步，才能找到安全性与易用性之间的平衡，这是一个艺术尺度的问题。顺便指出，虽然本帖一再强调全局规则的重要，我们也不能只抓住全局规则而忽略了具体的程序规则。如果程序规则已经开了口子，在程序规则那里就放了水，全局规则这里设再严也没用了。所以，要再三强调规则的执行顺序，强调程序规则与全局规则之间的有机联系，不要孤立看待。

最后说明一下，类似全局规则这样具有全局性的过滤规则，并非只能设置一条，只要你喜欢，你可以多设置几道过滤，每道过滤分别过滤不同的内容。看看抓抓的规则就知道了，多重过滤是如何有效及严密。不管设置多少道过滤，概括来看，还是归结为具体程序规则与全局规则之间的关系，本质问题不变。对于新尝毛豆的用家而言，一般推荐先从简单的开始，玩好了简单的，再尝试玩复杂的多道过滤。