Mac防火墙管理与网络共享全攻略

### Mac防火墙管理与网络共享全攻略 #### 1. 防火墙配置基础 在Mac上配置防火墙时，首要任务是明确哪些服务需要启用，哪些需要禁用。仅运行那些接收其他计算机必要通信所必需的服务，若非绝对必要，切勿启用某个服务。因为每个运行的服务都可能成为攻击者、机器人、漏洞或其他恶意软件入侵系统的潜在入口。 ##### 开启应用层防火墙 Mac OS X的防火墙默认是关闭的。要开启它，可按以下步骤操作： 1. 打开“系统偏好设置”中的“安全性与隐私”。 2. 点击“防火墙”选项卡。 3. 确保屏幕底部的锁图标处于解锁状态，以便进行更改。 4. 点击“启动”按钮来启用防火墙。 #### 2. 服务与应用配置 要让第三方服务或应用能够接受或发起通信请求，需基于应用而非端口来添加它们，这样应用就能在防火墙上打开所需端口。 启用防火墙后，默认情况下仅允许特定的Apple服务（如个人文件共享或Web服务）接受传入连接。若要配置这些服务，不能在“防火墙”系统偏好设置中禁用它们，而需在“共享”系统偏好设置面板中进行配置（除非使用命令行工具ipfw）。 若要启用其他服务，可按以下步骤操作： 1. 点击“+”号。 2. 浏览并选择应用程序，例如DeployStudio。 3. 点击“添加”按钮将其添加到列表中。 添加应用后，可通过点击“允许传入连接”来允许连接，同时也有“阻止传入连接”选项，该选项可抑制临时添加连接的请求。 另外，也可以临时添加应用。例如，打开Cyberduck（假设它不在列表中），会弹出一个对话框询问是否允许该应用访问，点击“允许”或“拒绝”即可。 #### 3. 高级功能设置 防火墙还有一些高级功能，包括阻止所有传入连接、自动允许签名软件创建连接以及启用隐身模式。可从“安全性与隐私”系统偏好设置面板中，点击“防火墙”选项卡，然后点击“高级…”来访问这些选项。 ##### 3.1 阻止传入连接 “阻止所有传入连接”选项会禁用计算机上所有非必要的传入连接，但DHCP、Bonjour注册等必要服务仍会保持启用，以避免系统不稳定。所有共享服务和已允许的第三方应用将被禁用。要禁用传入连接，只需在“防火墙”系统偏好设置面板的高级选项中勾选“阻止所有传入连接”框。启用此功能后，将无法配置防火墙的其他功能。 ##### 3.2 允许签名软件接收传入连接 允许所有签名应用接收传入连接是一个较为危险的选项。虽然它依赖应用签名来验证应用的完整性，但会允许所有签名应用进行通信。要确定应用是否有签名，可按以下步骤操作： 1. 浏览到相关应用。 2. 使用Ctrl点击（如果是多按钮鼠标，可右键点击）应用，然后选择“显示包内容”。 3. 打开“CodeSignature”文件夹，检查是否有“CodeResources”文件，若有则表示应用有签名。 也可使用Apple提供的“codesign”应用来检查应用签名，例如使用以下命令获取Safari应用的详细签名信息： ```bash codesign -vvv Safari.app ``` 输出结果将显示Safari应用是否通过测试： ```plaintext /Applications/Safari.app: valid on disk /Applications/Safari.app: satisfies its Designated Requirement ``` ##### 3.3 启用隐身模式 当计算机收到请求时，通常会发送响应（允许连接或拒绝），但这可能会暴露系统的重要信息，如操作系统版本、安装的补丁以及硬件类型等，黑客可利用这些信息进行攻击。隐身模式可解决这个问题。 启用“隐身模式”后，系统不会对未明确允许的流量进行响应，这使得其他计算机更难识别和定位该系统，从而提高系统安全性。需要注意的是，启用“阻止所有传入连接”的计算机将自动运行在隐身模式下。不过，隐身模式并不能完全防止系统被定位，仍可获取系统时间信息或ARP请求。可使用自定义ipfw规则来缓解这一问题。 #### 4. 防火墙测试 配置好防火墙并关闭端口后，需要测试安全更改的影响，验证被拒绝的服务是否不再可访问。端口扫描是测试配置的最佳方法，它可检查服务是否对其他系统可用。 Apple在“网络工具”中提供了端口扫描器，其路径为`/System/Library/CoreServices/Applications`。不过，“网络工具”运行速度可能较慢，可使用隐藏的命令行扫描工具“stroke”进行更快速的端口扫描。该工具位于`/System/Library/CoreSer