macOS поставляется со встроенным брандмауэром, но по умолчанию он не включен. в то время как. включен Брандмауэр Windows По умолчанию, поскольку компьютерный червь Что это значит, как Blaster, заражающий все уязвимые системы Windows XP?
Вам нужен брандмауэр на вашем Mac? Ну и да, и нет.
Возможно, ваш компьютер находится за брандмауэром, который является частью Маршрутизатор ваш брандмауэр macOS, поэтому отключение брандмауэра macOS упрощает настройку подключений к другим устройствам Apple. Но если вы используете ноутбук и часто заходите в ненадежные сети, вам следует включить брандмауэр.
macOS также включает в себя множество общих сетевых служб для удаленного доступа к вашему контенту. Если вы оставите эти службы включенными или используете сторонние приложения, это может сделать ваш Mac уязвимым для сетевой атаки. Мы покажем вам, как настроить Брандмауэр ваш и когда вам нужно его использовать.
Настройка брандмауэра в macOS
Нельзя недооценивать важность межсетевого экрана как части стратегии безопасности. Мы уже подробно обсуждали, почему вам стоит Используйте брандмауэр.
В случае macOS системный брандмауэр состоит из двух компонентов.
Брандмауэр прикладного уровня (ALF)
Этот компонент брандмауэра разрешает или запрещает приложению доступ к сетевому соединению. Это не зависит от используемых портов. Встроенный брандмауэр macOS предлагает эту возможность, простой и красивый по дизайну. Вы можете указать для каждого приложения, хотите ли вы разрешить или заблокировать входящие соединения.
Чтобы включить брандмауэр на Mac, откройте Системные настройки -> Безопасность и конфиденциальность -> Брандмауэр. Щелкните значок замка в левом нижнем углу окна, введите пароль администратора и щелкните Разблокировать.
Нажмите "Включите брандмауэр"Или же "Начните" Чтобы включить брандмауэр ... должен загореться зеленый кружок, поэтому ваш Mac будет разрешать входящий трафик только для установленных подключений, лицензионных приложений и включенных служб. Позже вы можете отключить брандмауэр вашего Mac с помощью соответствующей кнопки.
Межсетевой экран с пакетным фильтром (PF)
Этот компонент межсетевого экрана встроен глубоко в ядро операционной системы. PF - это Пакетный фильтр OpenBSD. Его основная функция - фильтровать сетевые пакеты путем сопоставления свойств отдельных пакетов (и сетевых соединений, из которых они созданы) с критериями фильтрации, определенными в наборе правил.
С помощью PF Firewall вы можете контролировать сетевой трафик на основе любого типа пакета или соединения. Это включает в себя адрес источника и назначения, интерфейс, протоколы и порты. В зависимости от этих критериев вы можете разрешить или заблокировать пакет для прохождения и запуска событий, которые могут обрабатывать другие части операционной системы.
Брандмауэр PF вступил в силу в macOS, начиная с Mac OS X 10.7 Lion. Хотя ALF прост в использовании и интуитивно понятен, настройка брандмауэра PF требует глубоких знаний синтаксиса, логики и конфигурации сети шлюза. Вам необходимо вручную отредактировать установочные файлы, так как весь фильтр пакетов контролируется из командной строки.
Настройте параметры брандмауэра Apple
macOS включает множество встроенных служб для обмена файлами и принтерами, доступа к удаленным ресурсам и многого другого. Чтобы включить службу, перейдите в Системные настройки -> Совместное использование , а затем установите флажок рядом с каждой службой, которую хотите использовать.
Поскольку брандмауэр работает для отдельных приложений, вы увидите эти службы в списке по имени, а не по номеру порта. Например, вы увидите «Делиться файламив плате вместо порта 548.
Чтобы настроить брандмауэр, вернитесь на панель Брандмауэра и нажмите кнопку. Параметры брандмауэра. Это покажет больше конфигураций брандмауэра. использовать две кнопки знак плюс (+) و знак минус (-) Для добавления или удаления приложений по мере необходимости. Вы также можете проверить некоторые из дополнительных опций ниже.
Любые службы, которые вы зарегистрировали на панели общего доступа, как указано выше, автоматически появятся в списке разрешенных подключений. Но если вы отключите какие-либо службы, они больше не будут отображаться на панели параметров брандмауэра.
Когда какое-либо стороннее приложение начинает прослушивать входящие соединения, вы увидите сообщение с вопросом Вы хотите принять заявку «[Название приложения]» входящие сетевые подключения? Нажмите Разрешать или же отказ Чтобы изменить настройки брандмауэра. Приложения, к которым вы разрешаете доступ, появятся в списке разрешенных.
Должен ли брандмауэр быть включен или выключен для исходящих соединений?
Встроенный брандмауэр дает вам возможность отслеживать и блокировать входящие соединения. Однако вы также можете отслеживать исходящие соединения. Как среднестатистический пользователь может извлечь выгоду из данных исходящего трафика? Проиллюстрируем несколько примеров.
- Большинство приложений, которые вы используете на своем Mac, имеют визуальный интерфейс и постоянно обмениваются данными между вашим устройством и серверами, расположенными в другом месте. Но многие процессы, работающие в фоновом режиме, также могут отправлять и получать данные.
- Взгляните на все процессы на вкладке Активность -> Сеть. Как вы можете быть уверены, что все эти коммуникации реальны и безопасны?
- Приложения постоянно заняты деятельностью: ваше почтовое приложение загружает новые сообщения, приложения периодически проверяют наличие обновлений, а Dropbox синхронизирует недавно измененные файлы с облаком. Эти действия допустимы, но если вы загрузите вредоносное приложение, которое регистрирует нажатия клавиш на клавиатуре Тайно отправлять конфиденциальные данные на внешний сервер, вот и проблема.
- Премиум-приложения регулярно проверяют данные вашей лицензии, но некоторые разработчики могут собирать конфиденциальную личную информацию без вашего согласия. Эти приложения также могут отслеживать или транслировать по вашей сети, копировать детали конфигурации вашего Mac и отслеживать использование того или иного приложения.
Из этих примеров ясно, что двусторонний межсетевой экран обеспечит лучшую защиту как от входящего, так и от исходящего трафика. Может помочь определить активность Вредоносное ПО (если он установлен и запущен), но он меньше заботится о безопасности, чем о конфиденциальности.
Сторонние брандмауэры для Mac
Многие сторонние брандмауэры обеспечивают контроль как над входящими, так и над исходящими соединениями. Ниже мы обсудим некоторые из популярных вариантов.
LuLu
LuLu - это бесплатный брандмауэр с открытым исходным кодом, цель которого - блокировать исходящий трафик, если это явно не одобрено пользователем. После установки приложение будет предупреждать вас о новых или несанкционированных попытках установить исходящие соединения по сети. нажмите кнопку Разрешать или же запрет Работа с контактом.
В окне предупреждения отображается значок процесса и статус подписи кода приложения. Встроенная опция VirusTotal может помочь вам проверить, является ли приложение вредоносным. Кроме того, вы можете увидеть иерархию процессов (это поможет вам понять основной процесс нарушителя), детали процесса и многое другое.
Скачать: LuLu (Бесплатно)
Радиомолчание
Radio Silence - это простейший брандмауэр для вашего Mac. После установки приложение запускается автоматически в фоновом режиме без каких-либо значков в строке меню или каких-либо других визуальных индикаторов. Перейти на вкладку Межсетевой экран и нажмите кнопку. Заблокировать приложение. После того, как приложение будет добавлено в черный список, оно больше не сможет подключаться к Интернету.
Поскольку вы добавляете эти приложения вручную, вы не увидите раздражающих всплывающих окон. Вкладка предоставляет вам Сетевой монитор Данные в реальном времени для конкретного процесса или приложения. Вы можете найти скрытые инструменты, процессы в памяти, программный демон, службы XPC, номера портов и IP-адреса хостов. Хотя приложение поставляется за небольшую плату, вы можете попробовать его перед покупкой.
Скачать: Радиомолчание (9 долларов США, доступна бесплатная пробная версия)
Little Snitch
Little Snitch - это брандмауэр на основе хоста для Mac. Приложение предоставляет подробные отчеты о процессах, исходящих и входящих соединениях, портах и протоколах. Он также показывает полную историю трафика с интервалом в XNUMX минуту.
По умолчанию функция полного сна разрешает сетевой доступ к приложениям, которые прямо не запрещены никакими правилами. Поскольку вы ничего не отказали, у вас будет время изучить все тонкости заявки. Незаметно приложение записывает каждое подключение. Оттуда вы можете начать создавать собственные правила.
Появляется Сетевой монитор Полная карта активных подключений вашей системы к потенциальным IP-сайтам или веб-сайтам по всему миру в режиме реального времени. Левая панель показывает список приложений, которые отправляют и получают данные, а правая панель дает вам подробную сводку.
Позвольте вам показать Профиль автоматического переключения Создавайте профили фильтров на основе сети. Вы можете создавать отдельные профили для дома, работы, кафе и т. Д. Есть много других функций, хотя приложение стоит недешево. Что касается энтузиастов, Little Snitch - надежный брандмауэр.
Скачать: Little Snitch (45 долларов США, доступна бесплатная пробная версия)
Мурус
Murus - это графический интерфейс для межсетевого экрана PF. Он имеет простой в использовании интерфейс и позволяет настраивать приложение с помощью встроенных предустановок. Он также предоставляет вам редактор набора правил для создания правил и управления ими. Вы можете создавать сложные правила с расширенными параметрами, такими как методы порта, записи журнала, операции и многое другое.
Murus Lite - это базовый брандмауэр с возможностями фильтрации и ведения журнала только для входящих подключений. За 10 долларов вы получите возможности фильтрации исходящего трафика, настраиваемые правила, методы доставки через порт, функции, связанные с настройкой, и многое другое.
Скачать: Мурус (Доступны бесплатные версии)
Уровень защиты обеспечивает лучшую безопасность
Брандмауэр не является панацеей от таких проблем, как вредоносное ПО иСпам. Однако его важность может варьироваться в зависимости от различных сценариев использования. Для обычного пользователя встроенного межсетевого экрана вместе с Little Snitch более чем достаточно. Если вы работаете в компании, которая использует несколько устройств MacOS, имеет смысл использовать другой уровень защиты для брандмауэра.
Комбинация брандмауэра ALF и PF может работать без каких-либо серьезных проблем. Однако методология сетевой фильтрации отличается и охватывает отдельные уровни сетевых пакетов. То же верно и для сторонних брандмауэров. Оба сторонних ALF могут работать со встроенным межсетевым экраном PF.
Помните, что брандмауэр - это только часть стратегии безопасности. узнай меня Как избежать заражения вашего Mac вредоносным ПО , проверить Другие советы по безопасности macOS чтобы повысить вашу защиту.
