Mac OS X 10.5 Leopard:关于 Application Firewall
摘要
Mac OS X 10.5 Leopard 包含一种称为 Application Firewall 的新技术。
防火墙的其中一项基本功能是控制从网络上其他计算机到您计算机的连接。对于大多数防火墙软件,您必须了解应用程序通信所使用的网络端口和协议,才能控制该应用程序的网络连接。
注意:本文适用于 Mac OS X 10.5.1 和更高版本随附的 Application Firewall 版本。如果尚未更新到 Mac OS X 10.5.1 或更高版本,请进行更新。
Leopard 中的防火墙是 Application Firewall。使用此类型的防火墙可以单个应用程序而非单个端口为基础进行连接控制。这样一来,缺乏经验的用户就可以轻松获得防火墙保护带来的好处, 并有助于防止不需要的应用程序控制已为合法应用程序打开的网络端口。
此款防火墙适用于应用程序最常用的 Internet 协议,即 TCP 和 UDP。它不会影响 AppleTalk。通过在“高级”设置中启用“秘密行动模式”,可以将此防火墙设置为拦截传入的 ICMP“ping”。
仍可以通过命令行(在终端中)来访问早期的 ipfw 技术,而 Application Firewall 不会破坏 ipfw 设置的规则;如果 ipfw 拦截某个传入的数据包,Application Firewall 将不会对其进行处理。
本文适用于 Mac OS X 10.5.1 和更高版本随附的 Application Firewall 版本。
受影响的产品
Mac OS X 10.5
配置 Application Firewall
请按照下列步骤进行操作:
- 在 Apple 菜单中选择“系统首选项”。
- 单击“安全性”。
- 单击“防火墙”标签。
- 选择希望防火墙采用的模式。
Application Firewall 的三种工作模式
1. 允许所有传入的连接:
这是最“开放”的模式。Mac OS X 不会拦截到您计算机的任何传入连接。这是 Leopard 的默认模式。如果从 Mac OS X 10.4.x 升级,则默认情况下,Application Firewall 将采用此模式。
2. 仅允许基本服务:
这是最保守的模式。Mac OS X 将拦截除计算机运行所需的有限服务列表外的所有连接。
仍允许接收传入连接的系统服务有:
- configd,实现 DHCP 和其他网络配置服务
- mDNSResponder,实现 Bonjour
- racoon,实现 IPSec
3. 设置对特定服务和应用程序的访问权限:
此模式最为灵活。您可以选择是否允许对系统中任何应用程序的传入连接。
单击“+”按钮可将某个应用程序添加到此列表。选择某个应用程序并单击“-”按钮即可将其删除。按 Control 并单击应用程序名称即可在 Finder 中显示应用程序的位置。
将某个应用程序添加到该列表后,可以选择是否允许对该应用程序的传入连接。甚至可以将命令行应用程序添加到该列表。
将某个应用程序添加到该列表时,Mac OS X 会对该应用程序实施数字签名(如果尚未对其签名的话)。如果稍后修改了该应用程序,系统将提示您是否允许指向它的传入网络连接。大多数应用程序都不会进行自身修改,此安全功能会将所作更改通知您。
经数字签名的应用程序
允许不在列表中,但由系统信任的证书颁发机构进行数字签名(目的是实施代码签名)的所有应用程序接收传入的连接。Leopard 中的每个 Apple 应用程序都经过 Apple 签名,并允许接收传入的连接。如果要拒绝经数字签名的应用程序,则应先将其添加到列表,然后明确拒绝它。
如果运行不在 Application Firewall 列表中的未签名应用程序,则系统会显示一个对话框,其中有“允许”或“拒绝”该应用程序的连接的选项。如果选择“允许”,Mac OS X 10.5 将对该应用程序签名,并自动将其添加到 Application Firewall 列表。如果选择“拒绝”,Mac OS X 10.5 将对该应用程序签名,并自动将其添加到 Application Firewall 列表并拒绝连接。
某些应用程序在没有使用代码签名的情况下运行时,会检查它们自己的完整性。如果 Application Firewall 识别出这样的应用程序,则不对该应用程序签名,但将在每次该应用程序运行时显示对话框。升级到由该应用程序的开发者签名的应用程序版本后可能会解决此问 题。