8、Mac OS X 系统资源访问控制与防火墙配置全解析

Mac OS X 系统资源访问控制与防火墙配置全解析

1. 防火墙服务概述

防火墙最初用于防止火灾蔓延，如汽车发动机与乘客区之间的防火墙。计算机防火墙则用于阻止不当网络数据包侵入主机或网络边界。Mac OS X 有两种防火墙：IP 防火墙（ipfw）和应用程序级防火墙（ALF）。其中，ipfw 在 Mac OS X 和 Mac OS X Server 中都可用，但只有 Mac OS X Server 为该服务提供图形用户界面，以及自适应防火墙。自适应防火墙可根据网络事件添加和删除防火墙规则。当出现 10 次失败登录尝试时，自适应防火墙会将请求的 IP 地址阻止 15 分钟，这使得暴力猜解密码几乎不可能。

2. 访问防火墙设置

2.1 通过 Server Admin 进行设置

可以通过 Server Admin.app 访问主要的防火墙设置。在设置面板的“地址组”选项卡中，能对地址进行逻辑分组并创建地址范围，然后对其应用规则。操作步骤如下：
- 点击 Server Admin 窗口底部的“添加 (+)”按钮可添加新组。
- 点击铅笔按钮可编辑现有组。

“服务”选项卡定义了给定地址组的规则。默认情况下，所有流量都允许出站，仅允许 Apple 管理端口和已建立的流量进站。已建立的流量是指已有效发出并正在接收回复的流量，即使端口关闭，防火墙软件也会允许已建立的流量使用这些端口。

2.2 添加自定义服务

“服务”选项卡包含一长串预定义服务，可针对给定地址组激活这些服务。若所需服务或端口范围未预定义，可轻松添加自定义服务：
- 点击“添加 (+)”按钮会弹出对话框，可在其