OS X:關於應用程式防火牆

OS X 有提供應用程式防火牆,您可以用來控制電腦與網路上其他電腦之間的連線。

OS X v10.5.1 和以上版本有提供應用程式防火牆,您可以用來控制連線,以每個應用程式為基礎(而非以每個傳輸埠為基礎)。這可以讓您更容易從防火牆保護獲得優勢,防止不良 app 掌控您為合法 app 開啟的網路傳輸埠。

在 OS X v10.6 和以上版本中設定應用程式防火牆

使用下列步驟來啟用應用程式防火牆:

  1. 選擇 Apple 選單中的「系統偏好設定」。
  2. 按一下「安全性」或「安全性與隱私」。
  3. 按一下「防火牆」標籤頁。
  4. 按一下左下角的鎖頭來解鎖面板,然後輸入管理者的使用者名稱和密碼。
  5. 按一下「開啟防火牆」或「啟動」來啟用防火牆。
  6. 按一下「進階」來自訂防火牆設定。

在 Mac OS X v10.5 中設定應用程式防火牆

確定您已更新至 Mac OS X v10.5.1 或以上版本。然後,使用下列步驟來啟用應用程式防火牆:

  1. 選擇 Apple 選單中的「系統偏好設定」。
  2. 按一下「安全性」。
  3. 按一下「防火牆」標籤頁。
  4. 選擇您要防火牆使用的模式。

進階設定

阻斷所有傳入連線

選擇「阻斷所有傳入連線」選項,阻止所有的共享服務(例如「檔案共享」和「螢幕共享」)接收傳入連線。仍允許接收傳入連線的系統服務如下:

  • configd 執行 DHCP 及其他網路設定服務
  • mDNSResponder 執行 Bonjour
  • racoon 執行 IPSec

若要使用共享服務,請務必取消選擇「阻斷所有傳入連線」。

允許特定應用程式

若要允許特定 app 接收傳入連線,請使用「防火牆選項」來新增連線:

  1. 開啟「系統偏好設定」。
  2. 按一下「安全性」或「安全性與隱私」圖像。
  3. 選取「防火牆」標籤頁。
  4. 按一下偏好設定面板中的鎖頭圖像,然後輸入管理者名稱和密碼。
  5. 按一下「防火牆選項」按鈕
  6. 按一下「加入應用程式」(+)按鈕。
  7. 選擇您要允許傳入連線權限的 app。
  8. 按一下「加入」。
  9. 按一下「確定」。

對於這裡所列的任何 app,如果您不想再允許傳入連線,請按一下「移除 App」(-)按鈕。

自動允許已簽名的軟體接收傳入連線

由有效憑證授權簽署的應用程式將自動加入允許的 app 列表,系統不會提示使用者進行授權。OS X 內含的 app 由 Apple 簽署,因此允許接收傳入連線(若啟用此設定)。例如,Apple 已簽署 iTunes,因此將自動允許 iTunes 透過防火牆接收傳入連線。

如果您執行未列在防火牆中的未簽署 app,則會出現含有「允許」或「拒絕」該 app 連線選項的對話框。如果您選擇「允許」,OS X 會簽署該應用程式並自動將其新增至防火牆列表。如果您選擇「拒絕」,則 OS X 會將其新增至列表,但拒絕此 app 的傳入連線。

如果您想拒絕經過數位簽署的應用程式,您應該先將其新增至列表,然後明確拒絕。

某些 app 在不使用編碼簽名下執行時,會檢查自己的完整性。如果防火牆識別出這類 app,防火牆就不會進行簽署。取而代之的是,每當該 app 開啟時,就會出現「允許或拒絕」對話框。若要避免這種情況,請將 app 升級至其開發者已簽署的版本。

啟用潛行模式

啟用潛行模式可預防電腦回應試探性要求。電腦仍會回答已授權 app 的傳入要求。非預期要求,例如 ICMP(ping)則會遭到忽略。

防火牆限制

應用程式防火牆是設計來搭配應用程式最常用的 Internet 通訊協定 - TCP 和 UDP。防火牆設定不會影響 AppleTalk 連線。只要在「進階設定」中啟用「潛行模式」,防火牆即可設為阻擋傳入 ICMP ping。您依然可以從命令列(在終端機中)存取較早期的 ipfw 技術,應用程式防火牆不會否決使用 ipfw 所設定的任何規則。如果 ipfw 阻斷傳入封包,則應用程式防火牆不會進行處理。

發佈日期: