你的Mac电脑需要防火墙吗?嗯,是和否。
你的电脑可能位于路由器的防火墙后面,因此关闭macOS的防火墙可以更容易地与其他苹果设备建立连接。但是如果你经常使用笔记本电脑并跳到不受信任的网络上,你应该启用防火墙。
macOS还包括各种共享网络服务,用于远程访问您的内容。如果您启用这些服务或使用第三方应用程序,可能会使您的Mac易受网络攻击。我们将向您展示如何配置防火墙以及何时需要使用防火墙。
作为安全策略的一部分,防火墙的重要性不容低估。我们已经详细讨论了为什么应该使用防火墙。
就macOS而言,软件防火墙有两个组件。
防火墙的此组件将允许或拒绝应用程序通过网络建立通信的访问。它不是基于所使用的端口。内置的macOS防火墙提供了这一功能,而且设计简单直观。您可以为每个应用指定是允许还是阻止传入连接。
要打开Mac电脑上的防火墙,请打开系统首选项>;保安及;隐私权>;防火墙。单击窗口左下角的锁定图标,输入管理员密码,然后单击解锁。
如果窗口尚未显示防火墙:打开,请单击打开防火墙按钮。绿色圆圈亮起,您的Mac将只允许已建立连接、已签名软件和已启用服务的传入流量。您可以稍后使用相应的按钮关闭Mac的防火墙。
防火墙的这个组件深深地嵌入到操作系统内核中。PF是OpenBSD包过滤器。它的主要功能是根据规则集中定义的过滤条件,通过匹配单个数据包(以及由它们构建的网络连接)的属性来过滤网络数据包。
使用PF防火墙,您可以基于几乎任何数据包或连接类型来控制网络流量。这包括源地址和目标地址、接口、协议和端口。根据这些标准,您可以让数据包通过、阻止它,并触发操作系统其他部分可以处理的事件。
从MacOSX10.7Lion开始,PF防火墙在macOS上生效。虽然ALF易于使用且直观,但设置PF防火墙需要对语法、逻辑和网络配置有透彻的了解。您必须手动编辑配置文件,并且包过滤器监控完全通过命令行完成。
macOS包括许多内置服务,用于共享文件、打印机、远程访问资源等。要启用服务,请导航至系统首选项>;共享并勾选您要使用的每个服务旁边的框。
由于防火墙是基于每个应用程序工作的,因此您将看到这些服务按名称而不是端口号列出。例如,您将在窗格上看到文件共享,而不是端口548。
要自定义防火墙,请返回防火墙面板并单击防火墙选项按钮。这将揭示更多的防火墙配置。根据需要使用加号和减号按钮添加或删除应用程序。您也可以选择检查下面的一些附加选项。
您在共享面板中选中的任何服务(如上所述)都将自动显示在允许的连接列表中。但是,如果禁用任何服务,它们将不再显示在防火墙选项窗格中。
当任何第三方应用程序开始侦听传入的连接时,您将看到一条消息,询问“您希望应用程序“[app]”接受传入的网络连接吗?单击“允许”或“拒绝”修改防火墙设置。您允许访问的应用将显示在列表中。
内置防火墙使您能够监视和阻止传入连接。但是,您也可以监视传出连接。普通用户如何利用传出流量数据?让我们用一些例子来说明。
从这些示例中可以清楚地看出,双向防火墙提供了对入站和出站流量的保护。它们可以帮助识别恶意软件的活动(如果已安装并正在运行),但它们更关心的是隐私,而不是安全性。
许多第三方防火墙应用程序提供对传入和传出连接的控制。下面我们讨论几个流行的。
LuLu是一个免费的开源防火墙,其目的是阻止传出流量,除非用户明确批准。一旦安装,它将提醒您有新的或未经授权的尝试创建传出网络连接。单击“允许”或“阻止”按钮处理连接。
警报窗口显示应用程序的流程图标和代码签名状态。内置的VirusTotal集成可以帮助您检查应用程序是否恶意。除此之外,您还可以看到流程的层次结构(这有助于您了解主要的罪魁祸首流程)、流程细节等。
下载:露露(免费)
Radio Silence是Mac最简单的防火墙应用程序。安装后,该应用程序将自动在后台运行,无需任何菜单栏图标或其他视觉指示器。导航到防火墙选项卡并单击阻止应用程序按钮。一旦你将应用程序添加到黑名单中,它将不再通过互联网连接。
由于您正在手动添加这些应用程序,因此不会看到任何恼人的弹出窗口。网络监视器选项卡为您提供特定进程或应用程序的实时数据。您可以找到隐藏的帮助程序、内存中的进程、守护进程、XPC服务、端口号和主机IP地址。虽然这款应用收费很低,但你可以在购买前试用。
下载:收音机静音(9美元,****)
Little Snitch是一种基于主机的Mac应用程序防火墙。该应用程序提供有关进程、传出和传入连接、端口和协议的详细报告。它还显示了一分钟间隔时间范围内的完整交通历史记录。
默认情况下,静默模式功能允许规则未明确禁止的所有网络访问。既然你不否认任何事情,你就有时间了解应用程序的来龙去脉。在幕后,该应用程序记录每个连接。从那以后,您可以开始创建规则。
网络监视器实时显示从您的系统到世界各地IP派生或可能位置的活动连接的全局地图。左侧面板显示发送和接收数据的应用程序列表,右侧面板提供详细摘要。
自动配置文件切换功能允许您基于网络创建过滤配置文件。您可以为家庭、工作、咖啡馆等创建单独的配置文件。虽然这款软件并不便宜,但它还有更多的功能。然而,对于狂热者来说,“小告密者”是一道难以逾越的防火墙。
下载:小飞贼(45美元,****)
Murus是PF防火墙的图形前端。它提供了一个直观的界面,让您可以使用内置预设配置应用程序。它还为您提供了一个规则集编辑器来创建和管理规则。您可以使用诸如端口敲击、记帐等高级选项创建复杂的规则。
Murus Lite是一个基本的防火墙,只有入站过滤和日志功能。只需10美元,您就可以获得传出过滤功能、自定义规则、端口敲击、自定义相关功能,以及更多功能。
下载:Murus(免费,高级版本)
防火墙并不是解决恶意软件和垃圾邮件等问题的神奇方法。但是它的重要性在不同的用例中可能会有所不同。对于一个标准用户来说,内置防火墙和小飞贼就足够了。如果您为使用所有Mac的企业工作,那么使用不同的防火墙保护层是有意义的。
ALF和PF防火墙的组合可以在没有任何重大问题的情况下很好地工作。然而,他们的网络过滤方法不同,覆盖了网络堆栈的不同层。第三方防火墙应用程序也是如此。每个第三方ALF都可以使用PF防火墙。
请记住,防火墙保护只是安全策略的一部分。了解如何避免用恶意软件感染Mac,并查看其他macOS安全提示以增强保护。
Join our newsletter for tech tips, reviews, free ebooks, and exclusive deals!
Click here to subscribe
...仅仅因为Linux有安全漏洞并不意味着你需要防病毒软件或防火墙软件。尽管您可能会决定安装一个,但这并没有什么错,这里有一些原因说明它可能没有您想象的那么有用。 ...
...数据丢失相当突然。这同样适用于将Pi用作路由器或硬件防火墙。允许物理访问以这种方式使用的设备可能会使您面临许多攻击。它所需要的只是将SD卡替换为运行类似项目的SD卡,但要按照黑客的规范进行配置。 ...
...在Facebook上滚动,你就没有工作。许多工作场所通过设置防火墙、实施严格的社交媒体政策和密切监控员工的互联网使用来应对这一明显的生产力问题。 ...
...程序即可阻止应用程序的联机活动。内置的Windows Defender防火墙足以让您限制某些应用程序使用internet连接。 ...
...试。 禁用“阻止所有传入连接” 如果您使用macOS附带的防火墙,它可能也会阻止传入连接。为防止空投传输失败,应禁用此设置。你不必停止使用防火墙。 前往系统首选项>安全和隐私,然后单击“防火墙”选项卡。如果防...
您正在设置Mac防火墙,或者只是使用活动监视器检查正在运行的内容,这时您注意到正在运行一些神秘的东西:mDNSResponder。这个过程是什么,你应该担心吗?否:这是macOS的核心部分。 相关:什么是configd,为什么它在我的Mac上...
...与网络有关。例如,有一个用于IP配置,另一个用于macOS防火墙和PPP。但这并不都与网络有关:这些捆绑包还监视打印机和用户偏好等内容。 基本上,当您的系统发生变化时,通常首先通知的是configd,然后向其他程序发送通知的...
...udiod应该使用网络吗? 如果您使用像“小飞贼”这样的Mac防火墙,您可能会偶尔注意到coreaudiod试图访问本地网络上的设备。怎么回事? 好吧,coreaudiod为AirPlay的音频部分供电,它可以让你将你的显示和音频镜像到AppleTV和其他一...