Mac OS X 10.5 Leopard:關於應用程式防火牆
摘要
Mac OS X 10.5 Leopard 包含一種稱為「應用程式防火牆」的新技術。
防火牆的基本目的之一就是控制網路之上其他電腦與您的電腦之間的連線。在大多數的防火牆軟體中,您必須瞭解應用程式用於通訊的網路連接埠和通訊協定,以便控制該應用程式的網路連線。
附註:此文章適用於 Mac OS X 10.5.1 或更新版本隨附的應用程式防火牆版本。如果您還沒有升級,請升級至 Mac OS X 10.5.1 或更新版本。
Leopard 中的「防火牆」是「應用程式防火牆」。此類型的防火牆允許您基於每個應用程式來控制連線,而不是基於每個連結埠。這將使得缺乏經驗的使用者更易受益於防火保護,並可防止不良應用程式控制那些已為合法應用程式開啟的網路連結埠。
「防火牆」適用於通常大多為應用程式、TCP 和 UDP 所使用的網際網路通訊協定。「防火牆」不會影響 AppleTalk。透過啟用 [進階] 設定中的 [隱藏模式],可將「防火牆」設定為攔截傳入 ICMP 「ping」。
仍然可從命令行 (位於終端機) 存取較早時期的 ipfw 技術,並且「應用程式防火牆」不會強使改變使用 ipfw 設定的規則;如果 ipfw 攔截傳入封包,「應用程式防火牆」將不會處理該封包。
此文章適用於 Mac OS X 10.5.1 或更新版本隨附的應用程式防火牆版本。
受影響的產品
Mac OS X 10.5
設定應用程式防火牆
請遵循下列步驟:
- 從 [蘋果] 選單中選擇 [系統偏好設定]。
- 按一下 [安全性]。
- 按一下 [防火牆] 標籤。
- 選擇您想要使用的防火牆執行模式。
應用程式防火牆的三種作業模式
1.允許所有傳入連線:
此為最「開放」模式。Mac OS X 將不會攔截至您電腦的任何傳入連線。此為 Leopard 的預設模式。如果您從 Mac OS X 10.4.x 開始升級,應用程式防火牆將預設為此模式。
2.僅允許必要服務:
此為最傳統的模式。Mac OS X 將攔截除您電腦作業所必需的有限服務之外的所有連線。
仍被允許接收傳入連線的系統服務為:
- configd,可實作 DHCP 和其他網路設定服務
- mDNSResponder,可實作 Bonjour
- racoon,可實作 IPSec
3.設定對特定服務和應用程式的存取權限:
此模式提供最大之靈活性。您可以為您系統上的任何應用程式選擇允許或者拒絕傳入連線。
您可以按一下「+」鍵以將應用程式新增至此列表。您可以選擇一個應用程式,然後按一下「-」鍵移除該應用程式。按住 Control 鍵並在應用程式名稱上按一下,您就可選擇是否在 [Finder] 中顯示應用程式的位置。
一旦將應用程式新增至列表,您就可以選擇是允許還是拒絕該應用程式的傳入連線。您甚至可以將命令行應用程式新增至此列表。
當您新增應用程式至此列表時,Mac OS X 將對該應用程式進行數位簽名 (如果還沒有對此應用程式簽名)。如果稍後修改了該應用程式,系統將提示您是允許還是拒絕至該應用程式的傳入網路連線。大多數應用程式不會對它們自身進行 修改,因此這是一項通知您變更的安全性功能。
數位簽名應用程式
允許由系統信任的「憑證授權」進行數位簽名 (為了代碼簽名之目的) 但不在列表之中的所有應用程式接收傳入連線。Leopard 中的每一個 Apple 應用程式已由 Apple 簽名,因此被允許接收傳入連線。如果您想拒絕數位簽名的應用程式,您應首先將此應用程式新增至列表,然後再明確拒絕。
如果您執行不在「應用程式防火牆」列表之列的未簽名應用程式,將出現對話方塊讓您選擇允許還是拒絕至該應用程式的連線。如果您選擇 [允許],Mac OS X 10.5 將對此應用程式進行簽名並自動將其新增至「應用程式防火牆」列表。如果您選擇 [拒絕],Mac OS X 10.5 將對此應用程式進行簽名並自動將其新增至「應用程式防火牆」列表,然後拒絕連線。
在未使用代碼簽名而執行時,一些應用程式將檢查自身的完整性。如果「應用程式防火牆」辨識出此類應用程式,將不會對其進行簽名,但卻會在每次執行該應用程式的時候重新顯示對話方塊。透過升級至已由開發人員簽名的應用程式版本,可避免出現此問題。