Можно ли включить брандмауэр Mac OS

Обновлено: 28.06.2024

Нужен ли брандмауэр на вашем Mac? Здесь есть все, что вам нужно знать, в том числе о том, как включать и выключать брандмауэр вашего Mac.

Нужен ли брандмауэр на вашем Mac? Ну и да и нет.

Скорее всего, ваш компьютер находится за брандмауэром, который является частью вашего маршрутизатора, поэтому отключение брандмауэра macOS упрощает настройку соединений с другими устройствами Apple. Но если вы используете ноутбук и часто подключаетесь к ненадежным сетям, вам следует включить брандмауэр.

macOS также включает набор общих сетевых служб для удаленного доступа к вашему контенту. Если вы оставите эти службы включенными или используете сторонние приложения, это может сделать ваш Mac уязвимым для сетевой атаки. Мы покажем вам, как настроить брандмауэр и когда вам нужно его использовать.

Настройка брандмауэра вашего Mac

Невозможно недооценить важность брандмауэра как части стратегии безопасности. Мы уже подробно обсуждали, почему вам следует использовать брандмауэр.

В случае macOS программный брандмауэр состоит из двух компонентов.

Брандмауэр прикладного уровня (ALF)

Этот компонент брандмауэра разрешает или запрещает доступ приложению для установления связи по сети. Это не зависит от используемых портов. Встроенный брандмауэр macOS предлагает это, и по своей конструкции он прост и интуитивно понятен. Вы можете указать для каждого приложения, разрешать или блокировать входящие подключения.

Чтобы включить брандмауэр на Mac, откройте «Системные настройки» > «Безопасность и конфиденциальность» > «Брандмауэр». Нажмите значок замка в левом нижнем углу окна, введите пароль администратора и нажмите Разблокировать.

Если в окне еще не указано Брандмауэр: включен, нажмите кнопку Включить брандмауэр. Загорается зеленый кружок, и ваш Mac разрешает входящий трафик только для установленных соединений, подписанного программного обеспечения и включенных служб. Позже вы можете отключить брандмауэр вашего Mac с помощью соответствующей кнопки.

Фильтр пакетов (PF) Брандмауэр

Этот компонент брандмауэра встроен глубоко в ядро ​​операционной системы. PF — это фильтр пакетов OpenBSD. Его основная функция — фильтровать сетевые пакеты путем сопоставления свойств отдельных пакетов (и построенных на их основе сетевых соединений) с критериями фильтрации, определенными в наборе правил.

С помощью брандмауэра PF вы можете контролировать сетевой трафик практически на основе любого пакета или типа соединения. Это включает в себя исходный и конечный адрес, интерфейс, протоколы и порты. Основываясь на этих критериях, вы можете пропустить пакет, заблокировать его и инициировать события, которые могут обработать другие части операционной системы.

Брандмауэр PF вступил в силу в macOS, начиная с Mac OS X 10.7 Lion. Хотя ALF прост и интуитивно понятен в использовании, настройка брандмауэра PF требует глубоких знаний синтаксиса, логики и конфигурации сети. Вы должны редактировать файлы конфигурации вручную, а мониторинг фильтра пакетов полностью выполняется из командной строки.

Настройка параметров брандмауэра Apple

В macOS есть множество встроенных служб для обмена файлами, принтерами, удаленного доступа к ресурсам и многого другого. Чтобы включить службу, перейдите в «Системные настройки» > «Общий доступ» и установите флажок рядом с каждой службой, которую вы хотите использовать.

Поскольку брандмауэр работает отдельно для каждого приложения, вы увидите список этих служб по имени, а не по номеру порта. Например, вы увидите на панели Общий доступ к файлам вместо порта 548.

Чтобы настроить брандмауэр, вернитесь на панель брандмауэра и нажмите кнопку Параметры брандмауэра. Это покажет больше конфигураций брандмауэра. Используйте кнопки «Плюс» и «Минус», чтобы добавлять или удалять приложения по мере необходимости. Вы также можете проверить некоторые дополнительные параметры ниже.

Любые службы, отмеченные вами на панели общего доступа, как указано выше, автоматически появятся в списке разрешенных подключений. Но если вы отключите какие-либо службы, они больше не будут отображаться на панели параметров брандмауэра.

Когда какое-либо стороннее приложение начнет прослушивать входящие подключения, вы увидите сообщение с вопросом "Хотите ли вы, чтобы приложение "[Приложение]" принимало входящие сетевые подключения?" Щелкните Разрешить или Запретить, чтобы изменить настройки брандмауэра. Приложения, которым вы разрешаете доступ, появятся в списке.

Должен ли исходящий брандмауэр быть включен или выключен?

Встроенный брандмауэр позволяет отслеживать и блокировать входящие подключения. Однако вы также можете контролировать исходящие соединения. Как обычный пользователь может использовать данные исходящего трафика? Давайте проиллюстрируем это несколькими примерами.

  1. Большинство приложений, которые вы используете на своем Mac, имеют видимый интерфейс и постоянно обмениваются данными между вашим компьютером и серверами, расположенными в другом месте. Но многие процессы, работающие в фоновом режиме, также отправляют и получают данные.
    1. Просмотрите все процессы на вкладке "Монитор активности" > "Сеть". Как вы можете быть уверены, что все эти связи подлинные?

    Из этих примеров видно, что двусторонний брандмауэр обеспечивает защиту как от входящего, так и от исходящего трафика. Они могут помочь определить активность вредоносного ПО (если оно установлено и запущено), но безопасность их волнует меньше, чем конфиденциальность.

    Сторонние брандмауэры для Mac

    Многие сторонние приложения брандмауэра позволяют контролировать как входящие, так и исходящие подключения. Мы обсудим несколько популярных ниже.

    LuLu – это бесплатный брандмауэр с открытым исходным кодом, который блокирует исходящий трафик, если он явно не одобрен пользователем. После установки он будет предупреждать вас о новых или несанкционированных попытках создания исходящего сетевого подключения. Нажмите кнопку «Разрешить» или «Блокировать», чтобы разрешить подключение.

    В окне оповещения отображается значок процесса и статус подписи кода приложения. Встроенная интеграция с VirusTotal может помочь вам проверить, является ли приложение вредоносным или нет. Наряду с этим вы можете увидеть иерархию процесса (это поможет вам понять основной процесс-виновник), детали процесса и многое другое.

    Скачать: LuLu (бесплатно)

    Радио Тишина

    Radio Silence – это простейшее приложение брандмауэра для вашего Mac. После установки приложение автоматически запускается в фоновом режиме без значка в строке меню или других визуальных индикаторов. Перейдите на вкладку «Брандмауэр» и нажмите кнопку «Заблокировать приложение». После того как вы добавите приложение в черный список, оно больше не будет подключаться к Интернету.

    Поскольку вы добавляете эти приложения вручную, вы не увидите раздражающих всплывающих окон. Вкладка «Сетевой монитор» предоставляет вам данные в реальном времени для определенного процесса или приложения. Вы можете найти скрытые помощники, процессы в памяти, демоны, службы XPC, номера портов и IP-адреса узлов. Хотя за приложение взимается небольшая плата, вы можете попробовать его перед покупкой.

    Скачать: Radio Silence (9 долларов США, доступна бесплатная пробная версия)

    Маленький снитч

    Little Snitch – это межсетевой экран приложений для Mac. Приложение предоставляет подробные отчеты о процессах, исходящих и входящих соединениях, портах и ​​протоколах. Он также показывает полную историю трафика с интервалом в одну минуту.

    По умолчанию функция "Тихий режим" разрешает любой доступ к сети, не запрещенный явным образом правилом. Поскольку вы ничего не отрицаете, у вас будет время изучить все тонкости приложения. За кулисами приложение записывает каждое соединение. С этого момента вы можете начать создавать правила.

    Сетевой монитор показывает глобальную карту активных соединений вашей системы с IP-адресами или вероятными местоположениями по всему миру в режиме реального времени. На левой панели отображается список приложений, отправляющих и получающих данные, а на правой панели представлена ​​подробная сводка.

    Функция автоматического переключения профилей позволяет создавать профили фильтрации на основе сети. Вы можете создавать отдельные профили для дома, работы, кафе и многого другого. Есть много других функций, хотя программное обеспечение не из дешевых. Однако для энтузиастов Little Snitch — это сложный брандмауэр.

    Скачать: Little Snitch (45 долларов США, доступна бесплатная пробная версия)

    Мурус

    Murus — это графический интерфейс для брандмауэра PF. Он обладает интуитивно понятным интерфейсом и позволяет настраивать приложение с помощью встроенных пресетов. Он также дает вам редактор наборов правил для создания правил и управления ими. Вы можете создавать сложные правила с расширенными параметрами, такими как блокировка портов, учет и многое другое.

    Murus Lite — это базовый брандмауэр с функциями только фильтрации входящего трафика и ведения журнала. За 10 долларов США вы получите возможности фильтрации исходящих сообщений, настраиваемые правила, блокировку портов, функции, связанные с настройкой, и многое другое.

    Скачать: Murus (доступны бесплатные премиум-версии)

    Многоуровневая защита обеспечивает наилучшую защиту

    Брандмауэр не является волшебным решением таких проблем, как вредоносное ПО и спам. Но его важность может варьироваться в разных случаях использования. Для обычного пользователя встроенного брандмауэра вместе с Little Snitch более чем достаточно. Если вы работаете в компании, в которой используются все компьютеры Mac, имеет смысл использовать другой уровень защиты брандмауэра.

    Комбинация брандмауэра ALF и PF может хорошо работать без каких-либо серьезных проблем. Однако их подход к сетевой фильтрации отличается и охватывает разные уровни сетевого стека. То же самое верно и для сторонних приложений брандмауэра. Любой сторонний ALF может работать с брандмауэром PF.

    Помните, что защита с помощью брандмауэра — это только часть стратегии безопасности. Узнайте, как избежать заражения вашего Mac вредоносными программами, и ознакомьтесь с другими советами по безопасности macOS, чтобы усилить свою защиту.

    Поскольку наша жизнь все больше становится цифровой, безопасность становится серьезной проблемой не только для различных онлайн-сервисов, которые мы используем, но и для устройств, на которых мы храним наши данные. Скорее всего, если вы читаете эту статью, у вас есть Mac. А на своем Mac вы бы хотели, чтобы большая часть работы, которую вы делаете на нем, оставалась конфиденциальной.

    Хотя OS X по умолчанию относительно безопасна, есть некоторые дополнительные шаги, которые вы можете предпринять, чтобы данные на вашем Mac были доступны только вам, даже если ваш Mac украден. Прислушайтесь к следующим советам, чтобы лучше защитить свой Mac и его данные.

    Включить брандмауэр OS X

    Брандмауэр в OS X — это сетевой фильтр, который позволяет вам контролировать, какие программы и службы могут принимать входящие подключения. В то время как классические брандмауэры делают это для каждого порта независимо от того, какое программное обеспечение использует порт, брандмауэр OS X может работать для каждого приложения или службы, что дает вам больше гибкости.

    Чтобы настроить брандмауэр, перейдите в системные настройки «Безопасность и конфиденциальность», нажмите вкладку «Брандмауэр», а затем разблокируйте панель настроек, после чего вы сможете нажать кнопку «Включить брандмауэр». Этот базовый вариант лучше всего подходит для большинства целей, но вы также можете нажать кнопку «Параметры брандмауэра», чтобы увидеть конкретные настройки для каждого приложения, а также получить доступ к некоторым дополнительным функциям, таким как скрытый режим (который скрывает ваш компьютер от попыток доступа извне) и возможность блокировки всех подключений.

    firewalladvancedoptions

    Расширенные настройки файлового экрана OS X дают вам больший контроль над тем, что поступает на ваш Mac.

    Брандмауэр рекомендуется включать, если вы подключены к общедоступной сети Wi-Fi, например в кафе, библиотеке или другой точке доступа. Для защиты домашних сетей обычно можно положиться на брандмауэр маршрутизатора, хотя включение брандмауэра OS X для дополнительной безопасности, как правило, не вызовет дополнительных проблем.

    Включить FileVault

    FileVault — это процедура полного шифрования диска в OS X, которая защищает все файлы на диске, включая системные файлы OS X, приложения, кэши и другие временные файлы; любой из которых может содержать личную или конфиденциальную информацию.

    Чтобы включить FileVault, перейдите на вкладку FileVault системной настройки "Безопасность и конфиденциальность", разблокируйте настройку и нажмите Включить FileVault. Когда вы сделаете это, вам будет предложено выбрать учетные записи пользователей, которым разрешено разблокировать диск (вы можете добавить другие учетные записи позже, если хотите). Нажмите Продолжить, и ваш Mac начнет шифрование вашего диска. Это может занять некоторое время, особенно с большими механическими дисками, где и шифрование, и оптимизация могут занять несколько часов. Пошаговое руководство по настройке FileVault см. в этой статье.

    Полное шифрование диска в первую очередь полезно для защиты украденного Mac. Когда ваш диск разблокирован, файлы на нем могут быть прочитаны. Однако до того, как он будет разблокирован (т. е. ваш Mac выключен), все данные на диске будут зашифрованы. Это предотвращает восстановление данных неавторизованными третьими лицами, которые могут попытаться получить к ним доступ, используя режим целевого диска на вашем Mac или отключив жесткий диск вашего Mac и подключив его к другому компьютеру.

    Управление паролями

    Если вы регулярно используете множество онлайн-сервисов, у вас будут (или должны) быть разные учетные данные для каждого из них. Их может быть трудно запомнить. Часто люди хранят свои учетные данные в текстовом файле, файле Word или Pages для быстрого доступа, но это очень небезопасный способ хранения паролей. В OS X у вас есть встроенная альтернатива для управления паролями, которая называется связка ключей.

    В отличие от других параметров безопасности, связка ключей по умолчанию включена для хранения ваших различных паролей для онлайн-сервисов, учетных записей электронной почты, служб общего доступа и многих других процедур аутентификации. Всякий раз, когда вы видите флажок для сохранения пароля или раскрывающееся меню при использовании Safari, это означает, что OS X просит вас сохранить эти пароли в зашифрованном файле, называемом цепочкой ключей для входа.

    Этой связкой ключей можно управлять с помощью утилиты доступа к связке ключей (/Applications/Utilities). В большинстве случаев, если вы не устраняете неполадки на своем Mac, в использовании этой утилиты нет необходимости. Вместо этого просто используйте опцию сохранения ваших паролей, и OS X автоматически введет их там, где это необходимо.

    Существуют сторонние инструменты для работы с паролями, такие как 1Password, которые обеспечивают расширенное управление паролями. Если доступ к связке ключей и способность Safari сохранять пароли не предоставляют вам необходимых функций, попробуйте 1Password или аналогичную утилиту.

    Блокировка и поиск

    Последняя пара вариантов защиты вашего Mac включает в себя защиту вашего компьютера, когда вам приходится оставлять его без присмотра, и предоставление удаленного доступа к нему — не только для взаимодействия с ним издалека, но также для отслеживания и блокировки, если это необходимо. .

    Вы настраиваете первый из этих параметров на вкладке «Общие» системных настроек «Безопасность и конфиденциальность».Просто включите параметр «Требовать пароль» и выберите Немедленно или 5 секунд во всплывающем меню, и вам потребуется ввести пароль для использования вашего Mac после того, как он перейдет в режим сон или заставка запущена. Чем короче временной интервал, который вы используете в этой функции, тем лучше, особенно для ноутбуков. Просто закройте крышку, чтобы заблокировать систему.

    screensaverpasswordtimer

    Есть несколько случаев, когда не рекомендуется блокировать Mac, когда он находится в спящем режиме.

    Для удаленного доступа и отслеживания вашего Mac откройте системные настройки iCloud и включите службы iCloud «Доступ к моему Mac» и «Найти мой Mac». Отметив первый вариант, вы можете получить доступ к службам обмена, которые вы включили на своем Mac. Например, если общий доступ к экрану включен, ваш удаленный Mac появится на боковой панели Finder, где вы можете щелкнуть его и поделиться своим экраном, чтобы просматривать и взаимодействовать с рабочим столом вашего удаленного Mac.

    В целом, хотя Apple мало что может сделать для предотвращения кражи вашего компьютера, OS X делает все возможное для защиты хранящихся на ней данных, а также дает вам возможность точно определить его местонахождение. Включив эти параметры, вы можете быть уверены, что данные вашего Mac находятся в максимальной безопасности, практически без неудобств для вас.

    Брандмауэр может Mac от нежелательных контактов, инициированных другими пользователями компьютеров, подключенных к интернету или сетям. Однако Ваш Mac по-прежнему может разрешить доступ через брандмауэр для некоторых служб и приложений. Например:

    Если вы обнаружили доступ к общему доступу, например, к общему доступу к файлам, macOS открывает порт, через который эта служба будет обмениваться данными.

    Приложение, служба или другая система может запросить и получить разрешение на доступ через брандмауэр или может быть ему подписано надежным сертификатом, поэтому будет дано разрешение на доступ.

    Для проверки можно выбрать приложения и службы и назначить их, если они доступны через брандмауэр.

    Включение брандмауэра

    На Mac выберите пункт меню Apple



    Если слева снизу отображается запертый замок, нажмите его, чтобы разблокировать панель настроек.

    Настройка брандмауэра для службы и приложений

    На Mac выберите пункт меню Apple



    Если слева снизу отображается запертый замок, нажмите его, чтобы разблокировать панель настроек.

    Блокировка доступа через брандмауэр может оказать вредное воздействие на работу приложений или другого программного обеспечения, вызывающего от такого доступа.

    Важно! Некоторые приложения, которые не отображаются в списке, доступны через брандмауэр. Они включают в себя набор системных приложений, которые автоматически открывают другие приложения. Чтобы заблокировать доступ к таким программам, добавьте их в список.


    Крис Хоффман

    < бр />

    Крис Хоффман
    Главный редактор

    Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times и Reader's Digest, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в новостных агентствах, таких как Би-би-си. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.


    Mac OS X поставляется со встроенным брандмауэром, но по умолчанию он не включен.Брандмауэр Windows был включен по умолчанию с тех пор, как такие черви, как Blaster, заразили все эти уязвимые системы Windows XP, так что же дает?

    Mac для включения брандмауэра, который можно включить в разделе «Безопасность и конфиденциальность» в настройках системы. Как и брандмауэры в других операционных системах, он позволяет блокировать определенные входящие соединения.

    Что на самом деле делает брандмауэр

    Чтобы понять, почему брандмауэр не включен по умолчанию и следует ли его сначала включить, необходимо понять, что на самом деле делает брандмауэр. Это больше, чем просто переключатель для повышения безопасности, как это иногда понимают пользователи Windows.

    Подобные брандмауэры выполняют одну функцию: блокируют входящие подключения. Некоторые брандмауэры также позволяют блокировать исходящие соединения, но встроенные брандмауэры на Mac и Windows не работают таким образом. Если вам нужен брандмауэр, который позволит вам выбирать, какие программы будут подключаться к Интернету, а какие нет, поищите в другом месте.

    Входящее соединение является проблемой только в том случае, если есть приложения, прослушивающие эти входящие соединения. Вот почему много лет назад в Windows был так необходим брандмауэр — потому что в Windows XP было так много служб, прослушивающих сетевые подключения, и эти службы использовались червями.


    Почему он не включен по умолчанию на Mac

    Стандартная система Mac OS X по умолчанию не имеет таких потенциально уязвимых служб, поэтому ей не нужен дополнительный брандмауэр для защиты таких уязвимых служб от атак.

    На самом деле это та же самая причина, по которой Ubuntu Linux не поставляется с включенным брандмауэром по умолчанию — еще одна вещь, которая вызывала споры в то время. Ubuntu выбрал подход, заключающийся в том, что потенциально уязвимые службы просто не прослушиваются по умолчанию, поэтому система Ubuntu безопасна без брандмауэра. Mac OS X работает таким же образом.

    Недостатки брандмауэров

    Если вы использовали ПК с Windows, на котором по умолчанию включен брандмауэр Windows, вы знаете, что это может вызвать проблемы. Если вы запускаете полноэкранное приложение — например, игру — диалоговое окно брандмауэра будет регулярно появляться за этим окном и, например, требует Alt + Tab, прежде чем игра заработает. Дополнительные диалоги доставляют дополнительные хлопоты.

    Хуже того, любое локальное приложение, запущенное на вашем компьютере, может пробить брешь в брандмауэре. Это сделано для того, чтобы помочь тем приложениям, которым требуются входящие подключения, работать без дополнительной настройки. Однако это означает, что брандмауэр на самом деле не является хорошей защитой от любого вредоносного программного обеспечения, которое захочет открыть порт и прослушивать ваш компьютер. Если ваш компьютер заражен, его программный брандмауэр не поможет.


    Когда вам может понадобиться его включить

    Значит ли это, что вы никогда не захотите использовать брандмауэр? Нет! Брандмауэр все еще может помочь, если вы используете потенциально уязвимое программное обеспечение, к которому вы не хотите получать доступ через Интернет. Например, допустим, вы установили веб-сервер Apache или другое серверное программное обеспечение и балуетесь с ним. Вы можете получить к нему доступ полностью на своем компьютере через localhost. Чтобы никто другой не мог связаться с этим серверным программным обеспечением, вы можете просто включить брандмауэр. Если вы не включите исключение для этой конкретной части серверного программного обеспечения, все входящие подключения к нему из-за пределов вашего компьютера будут заблокированы.

    Это действительно единственная ситуация, когда вы можете получить выгоду от включения брандмауэра вашего Mac, по крайней мере, для настольных ПК. Если вы используете Mac OS X в качестве серверной системы, которая напрямую подключена к Интернету, вы, очевидно, захотите максимально заблокировать ее с помощью брандмауэра.

    Но вы можете включить его, если очень хотите

    Итак, если вы обычный пользователь Mac, вам не нужно включать брандмауэр. Но, если вы сомневаетесь в этом совете или просто чувствуете себя лучше, когда он включен, вы также можете включить его. Типичные пользователи Mac, вероятно, не заметят многих (или каких-либо) проблем после включения брандмауэра. Все должно продолжать нормально работать.

    Настройкой по умолчанию является «Автоматически разрешать подписанному программному обеспечению получать входящие подключения», что означает, что все приложения Apple на вашем Mac, приложения из Mac App Store и подписанные приложения, разрешенные через защиту GateKeeper вашего Mac, могут получать подключения. без вашего участия. (Другими словами, приложение от «Назначенного разработчика» имеет действительную подпись.)

    Вы не будете много блокировать, если включите брандмауэр с настройками по умолчанию.


    Как включить и настроить встроенный брандмауэр вашего Mac

    Если вы хотите включить и настроить брандмауэр вашего Mac, не стесняйтесь. Щелкните меню Apple, выберите «Системные настройки» и щелкните значок «Безопасность и конфиденциальность». Перейдите на вкладку Брандмауэр, щелкните значок замка и введите свой пароль. Нажмите «Включить брандмауэр», чтобы включить брандмауэр, а затем нажмите «Параметры брандмауэра», чтобы настроить параметры брандмауэра.

    Здесь вы можете настроить параметры и добавить приложения в список. Для приложения, которое вы добавляете в список, входящие соединения могут быть разрешены или заблокированы — на ваш выбор.


    Подводя итог, можно сказать, что брандмауэр на самом деле не нужен на типичном рабочем столе Mac, как и на обычном рабочем столе Ubuntu Linux. Это потенциально может привести к дополнительным проблемам с настройкой определенных сетевых служб. Но если вам удобнее, вы можете включить ее!

    • › Что такое «coreaudiod» и почему он работает на моем Mac?
    • › Как разрешить приложениям обмениваться данными через брандмауэр вашего Mac
    • › Просматривайте весь сетевой трафик вашего Mac в режиме реального времени с помощью Private Eye
    • › Интернет-соединение не работает? 10 советов по устранению неполадок
    • › Что такое configd и почему он работает на моем Mac?
    • › Что такое mDNSResponder и почему он работает на моем Mac?
    • › Изучите настройки конфиденциальности и безопасности в OS X, чтобы защитить свои данные.
    • › 5 вещей, которые вы, вероятно, не знали о GIF-файлах

    Читайте также: