关于应用程序防火墙

OS X 包含一个应用程序防火墙,可用于控制网络上其他电脑与您的电脑之间建立的连接。

OS X v10.5.1 和更高版本包含一个应用程序防火墙,可用于按应用程序而不是按端口对连接进行控制。这样不但可以更轻松地获得防火墙保护提供的益处,还有助于防止不良 App 控制那些为合法 App 开放的网络端口。

在 OS X v10.6 及更高版本中配置应用程序防火墙

请按照以下步骤启用应用程序防火墙:

  1. 从苹果菜单中选取“系统偏好设置”。
  2. 点按“安全性”或“安全性与隐私”。
  3. 点按“防火墙”标签。
  4. 点按左下角的锁形图标以解锁面板,然后输入管理员用户名和密码。
  5. 点按“打开防火墙”或“开始”,以启用防火墙。
  6. 点按“高级”以自定防火墙配置。

在 Mac OS X v10.5 中配置应用程序防火墙

请确保您已更新到 Mac OS X v10.5.1 或更高版本。然后,按照以下步骤来启用应用程序防火墙:

  1. 从苹果菜单中选取“系统偏好设置”。
  2. 点按“安全性”。
  3. 点按“防火墙”标签。
  4. 选取您希望防火墙使用的模式。

高级设置

  

 

阻止所有传入连接

选择“阻止所有传入连接”选项可阻止“文件共享”和“屏幕共享”等所有共享服务接收传入连接。仍允许接收传入连接的系统服务包括:

  • configd,用于实现 DHCP 和其他网络配置服务
  • mDNSResponder,用于实现 Bonjour
  • racoon,用于实现 IPSec

要使用共享服务,请确保“阻止所有传入连接”处于取消选中状态。

允许特定的应用程序

要允许某个特定 App 接收传入连接,请使用“防火墙选项”添加这个 App:

  1. 打开“系统偏好设置”。
  2. 点按“安全性”或“安全性与隐私”图标。
  3. 选择“防火墙”标签。
  4. 点按偏好设置面板中的锁形图标,然后输入管理员名称和密码。
  5. 点按“防火墙选项”按钮。
  6. 点按“添加应用程序”(+) 按钮。
  7. 选择您要允许其拥有传入连接接收权限的 App。
  8. 点按“添加”。
  9. 点按“好”。

您还可以点按“移除 App”(-) 按钮,以便移除此处列出的您不想再允许的任何 App。

自动允许已签名的软件接收传入连接

由有效证书颁发机构签名的应用程序会自动添加到允许的 App 列表中,而不是由系统提示用户进行授权。启用这项设置后,OS X 中包含的 App 将由 Apple 签名,并允许接收传入连接。例如,iTunes 已由 Apple 签名,因此,系统自动允许 iTunes 通过防火墙接收传入连接。

如果您运行防火墙列表中没有列出的某个未签名 App,则会显示一个对话框,其中包含“允许”或“拒绝”这个 App 进行连接的选项。如果您选取“允许”,OS X 将对这个应用程序进行签名,并自动将它添加到防火墙列表中。如果您选取“拒绝”,OS X 会将这个 App 添加到列表中,但拒绝这个 App 的传入连接。

如果您想要拒绝某个数字签名的应用程序,则应先将它添加到列表中,然后再明确拒绝。

某些 App 在打开时会进行自身的完整性检查,而不使用代码签名。如果防火墙识别出这类 App,则不会对它进行签名,而是在每次打开 App 时显示“允许或拒绝”对话框。您可以将 App 升级至由开发者签名的版本来避免这种情况。

启用隐身模式

启用隐身模式可防止电脑响应探测请求。电脑仍会响应针对已授权 App 的传入请求,但 ICMP (ping) 等意外请求将被忽略。

防火墙限制

应用程序防火墙可与应用程序最常使用的互联网协议(TCP 和 UDP)搭配使用。防火墙设置不会影响 AppleTalk 连接。通过在“高级设置”中启用“隐身模式”,可将防火墙设置为阻止传入的 ICMP“ping”。早期的 ipfw 技术仍然可以从“终端”中的命令行进行访问,并且应用程序防火墙不会否决使用 ipfw 设置的任何规则。如果 ipfw 阻止了某个传入数据包,则应用程序防火墙不会对它进行处理。

发布日期: