mac防火墻需要打開嗎?Mac 防火墻軟件哪家強(qiáng)?

就技術(shù)層面來說，Mac OS X 系統(tǒng)作為類UNIX系統(tǒng)，它的安全性是很高的。但要做到萬無一失，就需要用Mac防火墻來輔助系統(tǒng)保障安全。Mac系統(tǒng)自帶防火墻，我們也可以選擇一些功能強(qiáng)大的Mac防火墻軟件安裝起來，從而保護(hù)系統(tǒng)免受非法用戶的侵入。今天我們就來從功能層面聊聊 Mac 上都有哪些好用的MAC防火墻軟件。

防火墻是啥?

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

Mac OS X Firewall

Mac 上的防火墻 其實(shí)是很厲害的，他所采用的是雙防火墻架構(gòu)：ALF+PF，由應(yīng)用層防火墻與 UNIX 家族最常用的基于網(wǎng)絡(luò)封包為基礎(chǔ)的 PF防火墻 (Packet Filter Firewall)共同組成，我們?cè)谙到y(tǒng)設(shè)置里看到的「Firewall」指的就是ALF防火墻，而蘋果則沒有為PF防火墻配置圖形管理工具，只有對(duì)命令行精通的人員才能在Mac上使用它。

Mac OS X 應(yīng)用防火墻(ALF)可阻止所有傳入連接，允許指定應(yīng)用軟件接受傳入連接或是自動(dòng)允許已簽名的軟件接收傳入連接，還有就是可開啟秘密行動(dòng)模式，這樣就會(huì)阻止 Mac 接收響應(yīng)探測請(qǐng)求，過濾掉惡意軟件，病毒的攻擊，但你的 Mac 也仍會(huì)回答經(jīng)授權(quán)的應(yīng)用程序的傳入連接。

基本上 Mac 自帶防火墻的功能也就這些了，如果你想接觸他身上的 PF Firewall 封印，則需要使用下面這款圖形化配置工具-IceFloor。

1.IceFloor

IceFloor 是 Mac 平臺(tái)第一款開源的圖形化PF Firewall配置工具，也是目前最為知名的一款，她能夠幫助用戶添加各種規(guī)則，比如傳入連接(Inbound)、傳出連接(Outbound)、屏蔽IP地址，限制上傳/下載帶寬等等參數(shù)，需要用戶對(duì)網(wǎng)絡(luò)安全知識(shí)有一定要求，如果你不了解最好不要去添加。

我們初次安裝時(shí)可選擇安裝Menulet，即上圖中的快捷操作菜單，你在這里可以開關(guān) PF Firewall，開啟單條規(guī)則或重新加載，重置所有PF規(guī)則，設(shè)計(jì)好規(guī)則后一般不需要在這里操作了，點(diǎn)擊菜單倒數(shù)第二項(xiàng)「Launch IceFloor」進(jìn)入主窗口設(shè)置個(gè)性化配置：

在主窗口的最后一個(gè)選項(xiàng)「Help」里選擇「Configuration Wizard」對(duì)防火墻進(jìn)行初次配置，Inbound 傳入連接除 System 是必選之外像 Airplay，Mail Server，F(xiàn)ile Transfer，iTunes Sharing，Remote Login，VNC 這些連接你都可以留空，讓防火墻對(duì)可以程序進(jìn)行重點(diǎn)監(jiān)控。

Outbound傳出連接默認(rèn)是都允許的，如果自定義的話請(qǐng)謹(jǐn)慎，可以采取排除法來限定下圖中一些網(wǎng)絡(luò)外出連接：

最后一步就是選擇是否進(jìn)行惡意程序的威脅記錄，可以讓防火墻為你記錄已知的危險(xiǎn)IP和域名，以防木馬、惡意程序的攻擊，總的來說，IceFloor的定位是給那些比較依賴網(wǎng)絡(luò)安全的企業(yè)網(wǎng)絡(luò)/網(wǎng)站管理員使用的，作為普通用戶，筆者并不推薦，因?yàn)橛衷S多網(wǎng)絡(luò)規(guī)則是需要專業(yè)經(jīng)驗(yàn)的，所以小白們最好使用 Little Snitch 這類基礎(chǔ)工具。

2.WaterRoof

這款軟件 IceFloor 出自同一開發(fā)團(tuán)隊(duì)之手，但自 OS X 10.8 后就不再繼續(xù)更新了，作為 IPFW (FreeBSD 內(nèi)建的防火墻指令) 的圖形配置工具，可以負(fù)責(zé)服務(wù)器上所有進(jìn)出的網(wǎng)絡(luò)連接。Waterroof 的使用同樣需要專業(yè)技術(shù)，小白勿碰。

3.Little Snitch

Little Snitch 想必許多人都有聽說，著名的Mac防火墻軟件之一，她也是Launchbar的同門兄弟，obdev 的兩大當(dāng)家花旦之一，今天我們來詳細(xì)介紹一下這款防火墻軟件都有哪些特色功能。

像這種軟件，她只是把 OS X 自帶的 PF Firewall 命令配置提煉成了普通用戶能夠理解的交互方式，比 IceFloor 易上手，比如當(dāng)一個(gè)程序想要獲得傳出連接權(quán)限時(shí)，LS 都會(huì)提示用戶：

如果你不常用這款程序，可以選擇「Once」，并規(guī)定傳出的端口和域名，如果需要經(jīng)常這款程序，那就直接選擇「Forever」，點(diǎn)「Allow」，LS就不會(huì)再次彈出審核窗口。

每一個(gè)程序不管他是好的壞的都逃不出LS的法眼，所有incoming和outgoing的鏈接都要通過審核，當(dāng)你對(duì)每一次應(yīng)用申請(qǐng)鏈接進(jìn)行批準(zhǔn)或否定后，都在會(huì)LS后臺(tái)自動(dòng)生成一條Rules，這些Rules會(huì)形成一個(gè)完整的Profile作用在你當(dāng)前所在的局域網(wǎng)上，當(dāng)你每次連接這個(gè)網(wǎng)絡(luò)時(shí)會(huì)通過Profile自動(dòng)切換，直接應(yīng)用規(guī)則，而不會(huì)再次讓你去為每條鏈接做判斷。

LS后臺(tái)也可以手動(dòng)添加Rule，你可以設(shè)定傳入還是傳出，規(guī)則執(zhí)行所屬者(管理員或其他)，網(wǎng)絡(luò)服務(wù)器地址(IP、域名，主機(jī)名)，端口，協(xié)議等信息。

LS還有一個(gè)非常強(qiáng)大的 Network Monitoring 插件，當(dāng)鼠標(biāo) Hover 在 Menubar 圖標(biāo)上，插件窗口就會(huì)自動(dòng)顯示，在這個(gè)網(wǎng)絡(luò)監(jiān)控窗口內(nèi)你可以干以下工作：

查看從2分鐘到24小時(shí)內(nèi)的網(wǎng)絡(luò)流量歷史(共5個(gè)時(shí)間段)，可按程序進(jìn)程， 最近活動(dòng)時(shí)間，主機(jī)名，網(wǎng)絡(luò)流量排序

顯示進(jìn)程的累積流量，峰值流量和平均帶寬數(shù)據(jù)

可在一分鐘到一小時(shí)內(nèi)快速縮放流量變化

以 PCAP 格式捕捉并記錄網(wǎng)絡(luò)流量

為最近的分析結(jié)果保存快照

Little Snitch 還有許多實(shí)用的安全防護(hù)功能，由于篇幅限制，我們?cè)谶@就不一一介紹了，后面我們會(huì)給LS做一期專門的介紹，敬請(qǐng)期待!

4.Hands Off!

Hands Off! 這款軟件與 Little Snitch屬于徹頭徹尾的競爭關(guān)系，功能相似，唯一一點(diǎn)比LS有絕對(duì)優(yōu)勢的是她可以開關(guān)應(yīng)用程序?qū)ξ募膶憴?quán)限，此外就是細(xì)節(jié)上的不同之處了，比如她比LS多了一個(gè)「Until Reboot」的選項(xiàng)，意思就是在Mac重啟之前這個(gè)規(guī)則設(shè)置是有效的，重啟后則需要重新設(shè)置：

初次使用HO時(shí)，系統(tǒng)會(huì)讓你選擇默認(rèn)的「Preset」，這相當(dāng)于LS的Profile，HO默認(rèn)有3種 Preset 可選：Easy – Intermediate – Advanced;如果你不想管太多，就選「Easy」，如果想為每一個(gè)程序單獨(dú)設(shè)置Preset，可以選「Intermediate」，如果要監(jiān)控應(yīng)用程序的網(wǎng)絡(luò)連接和文件寫入，以及系統(tǒng)進(jìn)程的網(wǎng)絡(luò)連接，則你需要選擇最嚴(yán)厲的Preset 「Advanced」

假如我們選擇「Advanced」，則每個(gè)應(yīng)用程序啟動(dòng)后你都需要為其規(guī)定「Network Usage」和「File Writing」權(quán)限：

我猜有許多朋友在選購時(shí)，會(huì)在 Hands Off! 與 Little Snitch 之間猶豫，前者比后者售價(jià)貴，Network Monitor 用起來不如后者爽，但整體性能不錯(cuò)，我在 Yosemite 上試用這兩款軟件時(shí)明顯覺得 HO 更好一些，不會(huì)拖慢系統(tǒng)速度，而LS就要差一些了，有的朋友甚至?xí)龅轿鍑那闆r，基本上這兩款軟件都有入手價(jià)值，但從外貌角度看，我更喜歡 Little Snitch，至于安全技術(shù)這方面你就不要奢求太多了，畢竟這兩款軟件不是為專業(yè)用戶打造的。

5.TCPBlock

如果說 Little Snitch 這類的安全軟件是巨無霸級(jí)的，那 TCPBlock 就是小而美的代表，這款軟件使用起來非常簡單，采取黑白名單兩種方式來過濾應(yīng)用程序的傳入/傳出連接請(qǐng)求，利用 OS X 系統(tǒng)自帶通知中心推送過濾消息，支持 Hash 檢查，在選取過濾目標(biāo)程序時(shí)同樣可以自定義網(wǎng)絡(luò)地址，端口等數(shù)據(jù)，最重要的一點(diǎn)，她是免費(fèi)的。

注意：TCPBlock 已不支持 Yosemite，因?yàn)樾孪到y(tǒng)采用了新的系統(tǒng)加密方式，但你可以使用 Trim Enabler 3.3 這樣的軟件關(guān)閉掉系統(tǒng)的 Kext Signing 安全配置 。

6.PortsMonitor

PortsMonitor 是一款專門用看查看實(shí)時(shí)程序外聯(lián)網(wǎng)絡(luò)情況的軟件，她可以掃描出 Mac 下所有程序進(jìn)程的網(wǎng)絡(luò)類型，端口號(hào)，IP地址，提供了按照信息項(xiàng)過濾監(jiān)控進(jìn)程的功能，可根據(jù) IPv4，IPv6，TCP，UDP分別查看連接，可隱藏?zé)o遠(yuǎn)程連接的所有程序

監(jiān)控功能可對(duì)進(jìn)行四種狀態(tài)標(biāo)識(shí)，分別是：

無色背景：代表程序連接網(wǎng)絡(luò)穩(wěn)定

綠色：新連接建立

黃色：狀態(tài)變化

紅色：連接斷開

P.M.還提供了搜索表達(dá)式編寫功能，用戶可以自行根據(jù)需求建立各種搜索過濾條件，并保存為「Filter Profile」，方便到任何網(wǎng)絡(luò)能隨時(shí)調(diào)用，表達(dá)式語法規(guī)則如下：

字符匹配： =, contains

數(shù)字匹配： =, <, >, <=, >=

Collection 運(yùn)算符: filed in {value1, value2}

邏輯運(yùn)算符: and, or

可以作用的參數(shù)值包括：

processName, processId, protocol, localPort, localPortName, localAddress, remotePort, remotePortName, remoteAddress, remoteHostname, state, processPath,

數(shù)字： localPortNumber, remotePortNumber

我們舉個(gè)栗子，比如：

過濾出連接到http服務(wù)器，狀態(tài)為CLOSE_WAIT的程序： remotePortNumber = 80 and state = ‘CLOSE_WAIT’

列出所有SNS程序： processName in {‘Adium’, ‘Twitter’}

列出所有本地連接： remoteAddress contains ’192.168.1.’

你可以對(duì)可疑程序右鍵，跳到Finder定位應(yīng)用程序所在目錄，或是查看程序訪問的IP物理位置，甚至能直接進(jìn)入Google搜索相關(guān)信息。

PortsMonitor 這款軟件是某低調(diào)國內(nèi)團(tuán)隊(duì)開發(fā)的，定價(jià) 8 $。

7.Radio Silence

Radio Silence 是專門給那些對(duì)網(wǎng)絡(luò)安全完全不感興趣的普通用戶設(shè)計(jì)的「一刀切」工具，如果你覺得哪些程序可以或者頻繁推送消息，或是耗費(fèi)你的系統(tǒng)硬件性能，那么干脆直接拖入 R.S. 切掉好了。

8.Private Eye

Private Eye 是專門為 Radio Silence 設(shè)計(jì)的一款伴侶型工具，就是假如你想一探究竟，看看那些可以程序到底在和哪些遠(yuǎn)程地址勾搭，P.E.是最簡單的入門工具了。

結(jié)語

今天介紹的幾款防火墻水平高低都有，其實(shí)這也是業(yè)界的冰山一腳，還有許多牛X的軟件沒有介紹到，如果你對(duì)網(wǎng)絡(luò)安全技術(shù)比較熟悉，我們當(dāng)然推薦你使用 IceFloor 這類軟件，可以最大限度發(fā)揮 OS X 雙架構(gòu)防火墻的優(yōu)勢，如果你不是很了解，也可以選擇 Little Snitch，Hands Off! 這類主流軟件，其實(shí)本篇文章還是給像我一樣的小白用戶看的，如果你的 Mac 需要防火墻軟件保護(hù)，那么這篇介紹或許能夠幫到你

關(guān)鍵詞： 防火墻 防火墻軟件 mac防火墻