OS X:关于应用软件防火墙

OS X 包含一个应用软件防火墙,您可以用于控制网络上其他电脑到您电脑的连接。

OS X v10.5.1 及更高版本包含一个应用软件防火墙,您可以用于根据应用软件(而不是端口)控制连接。这样可以轻松获得防火墙保护带来的好处,并有助于防止不良 app 控制已为合法 app 打开的网络端口。

在 OS X v10.6 及更高版本中配置应用软件防火墙

使用以下步骤来启用应用软件防火墙:

  1. 从 Apple 菜单中,选取“系统偏好设置”。
  2. 点按“安全性”或“安全性与隐私”。
  3. 点按“防火墙”标签。
  4. 点按左下角的锁图标以解锁面板,然后输入管理员用户名和密码。
  5. 点按“打开防火墙”或“启动”以启用防火墙。
  6. 点按“高级”以自定防火墙配置。

在 Mac OS X v10.5 中配置应用软件防火墙

确保您已更新到 Mac OS X v10.5.1 或更高版本。然后,使用以下步骤来启用应用软件防火墙:

  1. 从 Apple 菜单中,选取“系统偏好设置”。
  2. 点按“安全性”。
  3. 点按“防火墙”标签。
  4. 选择希望防火墙采用的模式。

高级设置

阻止所有传入连接

选择“阻止所有传入连接”选项将阻止所有共享服务(如文件共享和屏幕共享)接收传入连接。仍允许接收传入连接的系统服务有:

  • configd,用于实施 DHCP 和其他网络配置服务
  • mDNSResponder,用于实施 Bonjour
  • racoon,用于实施 IPSec

要使用共享服务,请确保取消选中“阻止所有传入连接”。

允许特定应用软件

要允许某个特定的 app 接收传入连接,请使用“防火墙选项”进行添加:

  1. 打开“系统偏好设置”。
  2. 点按“安全性”或“安全性与隐私”图标。
  3. 选择“防火墙”标签。
  4. 点按偏好设置面板中的锁图标,然后输入管理员用户名和密码。
  5. 点按“防火墙选项”按钮
  6. 点按“添加应用软件”(+) 按钮。
  7. 选择您要为其允许传入连接的 app。
  8. 点按“添加”。
  9. 点按“确定”。

您还可以点按“删除 App”(-) 按钮来删除此处列出的您不再想允许的所有 app。

自动允许已签名的软件接收传入连接

通过有效认证机构签名的应用软件将自动添加到允许访问的 app 列表中,而不会提示用户授权这些 app。OS X 中包含的 app 已经过 Apple 签名,这些 app 可以接收传入连接(如果已启用此设置)。例如,由于 iTunes 已经过 Apple 签名,因此会自动允许通过防火墙接收传入连接。

如果运行不在防火墙列表中的未签名 app,则系统会显示一个对话框,其中包含“允许”或“拒绝”针对该 app 的连接选项。如果选取“允许”,则 OS X 将对该应用软件签名,然后自动将其添加到防火墙列表中。如果选取“拒绝”,则 OS X 会将其添加到列表中,但拒绝针对该 app 的传入连接。

如果要拒绝经数字签名的应用软件,应先将其添加到列表,然后明确拒绝。

在不使用代码签名的情况下打开某些 app 时,它们会检查自己的完整性。如果防火墙识别出这样的 app,则不会对其签名。而是每次打开该 app 时都显示“允许或拒绝”对话框。升级到由该 app 的开发者签名的 app 版本可以避免出现此问题。

启用秘密行动模式

启用秘密行动模式会阻止电脑响应探测请求。电脑仍会响应授权 app 的传入请求,将忽略意外请求(如 ICMP (ping))。

防火墙限制

应用软件防火墙可与应用软件最常使用的互联网协议(即 TCP 和 UDP)配合使用。防火墙设置不会影响 AppleTalk 连接。在“高级”设置中启用“秘密行动模式”,即可将此防火墙设置为阻止传入的 ICMP“ping”。您仍可以从命令行(在“终端”中)访问早期的 ipfw 技术,而应用软件防火墙不会破坏使用 ipfw 设置的任何规则。如果 ipfw 阻止某个传入的数据包,则应用软件防火墙不会对其进行处理。

发布日期: