Mac OS X 10.5 Leopard: О «Брандмауэре для программ»

  • Дата изменения: 06 Май, 2009
  • Статья: HT1810
  • Старая статья: 306938

Обзор

В Mac OS X 10.5 Leopard применяется новая технология, известная как «Брандмауэр для программ».

Одна из основных задач брандмауэра — управление подключениями к вашему компьютеру со стороны других компьютеров в сети. В большинстве программных брандмауэров требуется знать сетевые порты и протоколы, которые используются приложением для соединений, чтобы контролировать подключения этих приложений к сети.

Примечание. Эти сведения применимы к версии «Брандмауэра для программ», включенного в Mac OS X 10.5.1 и более поздних версий. Обновите свою ОС до Mac OS X 10.5.1 или более поздней версии.


В ОС Leopard в качестве брандмауэра используется «Брандмауэр для программ». Брандмауэры этого типа позволяют управлять соединениями для отдельных приложений, а не для отдельных портов. Это позволяет менее опытным пользователям более полно использовать преимущества защиты с помощью брандмауэра. Это также помогает закрыть нежелательным приложениям доступ к сети через порты, используемые также допустимыми приложениями.

Брандмауэр контролирует передачу данных по наиболее распространенным Интернет-протоколам — TCP и UDP. Работа брандмауэра не затрагивает AppleTalk. Брандмауэр можно настроить на блокировку входящих запросов ICMP, включив в дополнительных настройках невидимый режим.

Доступ к более ранней технологии ipfw по-прежнему осуществляется из командной строки (в терминале), а правила ipfw имеют более высокий приоритет по сравнению с правилами «Брандмауэра для программ»; все пакеты, заблокированные ipfw, «Брандмауэром для программ» уже не обрабатываются.

Эта статья применима к версии «Брандмауэра для программ», включенного в Mac OS X 10.5.1 и более поздних версий.

Продукты, у которых возникает эта проблема

Mac OS X 10.5

Настройка «Брандмауэра для программ»

Выполните указанные ниже действия.

  1. В меню Apple выберите пункт Системные настройки.
  2. Нажмите «Безопасность».
  3. Откройте вкладку «Брандмауэр».
  4. Выберите режим работы брандмауэра.

Три режима работы «Брандмауэра для программ»

1. Разрешить все входящие подключения:

Это наиболее «открытый» режим. Mac OS X разрешает все входящие соединения с вашим компьютером. Этот режим используется Leopard по умолчанию. При обновлении с версии Mac OS X 10.4.x «Брандмауэр для программ» установит этот режим в качестве режима по умолчанию.

2. Разрешить только важные службы:

Этот режим является наиболее консервативным. Mac OS X заблокирует все соединения, кроме соединений ограниченного набора важных служб, необходимых для работы операционной системы.

Системные службы по-прежнему могут принимать следующие входящие соединения:

  • configd для DHCP и других служб для настройки сети
  • mDNSResponder для Bonjour
  • racoon для IPSec

3. Установить доступ к определенным службам и программам:

Этот режим является наиболее гибким. В этом режиме политика блокировки входящих соединений приложений настраивается вручную.

Чтобы добавить приложение в список разрешенных приложений, нажмите кнопку «+». Для удаления приложения из этого списка нажмите кнопку «-». Щелкните по названию приложения, зажав при этом клавишу Ctrl, чтобы открыть место расположения приложение в Finder.

После добавления приложения выберите, следует ли разрешать или блокировать все входящие соединения данного приложения. В этот список можно также добавлять приложения, управляемые с командной строки.

При добавлении приложения в этот список Mac OS X добавляет к нему цифровую подпись (если она отсутствует). Если в будущем приложение изменится, вам потребуется снова указать, следует ли разрешать или блокировать все входящие соединения данного приложения. Эта функция повышает уровень безопасности, хотя большинство приложений остается без изменений.

Приложения с цифровой подписью

Приложения, не включенные в список, но обладающие цифровой подписью (подпись кода для уникальной идентификации приложений) из доверенного центра сертификации, также могут принимать входящие соединения. Приложения Apple в Leopard подписаны Apple и могут принимать входящие соединения. Чтобы запретить подписанному приложению принимать входящие соединения, необходимо добавить его в список, а затем настроить для него блокировку.

При запуске приложения, которое не имеет цифровой подписи и отсутствует в списке «Брандмауэра для программ», на экране отобразится диалоговое окно, где необходимо выбрать, следует ли разрешать или блокировать все входящие соединения данного приложения. Если вы выбрали «Разрешить», то Mac OS X 10.5 подпишет приложение и автоматически добавит его в список «Брандмауэра для программ». Если вы выбрали «Запретить», то Mac OS X 10.5 подпишет приложение, автоматически добавит его в список «Брандмауэра для программ» и отклонит подключение.

Некоторые приложения при запуске выполняют самопроверку, что делает невозможным их подпись. При обнаружении такого приложения «Брандмауэр для программ» не сможет подписать его, поэтому при каждом его запуске будет отображаться уже знакомое диалоговое окно. Это устраняется путем обновления приложения до версии, имеющей подпись его разработчика.