Персональный брандмауэр

Самый распространенный способ защитить сетевые службы - это настроить брандмауэр, который будет блокировать неавторизованный доступ к сетевым службам. В большинстве сетей брандмауэр используется для ограничения входящего трафика из Интернета. В действительности большинство персональных маршрутизаторов, например базовые станции AirPort, по своей структуре также являются сетевыми брандмауэрами. Хотя брандмауэры уровня сети будут блокировать неавторизованный трафик, поступающий из Интернета, они не смогут блокировать трафик, который идет из локальной сети к вашему Mac. Не исключено также, что если Mac является портативным и подключается к новым сетям, то каждая новая сеть, к которой выполняется подключение, будет иметь другие правила брандмауэра.

Таким образом, чтобы не разрешать неавторизованным сетевым службам принимать входящие подключения на конкретном Mac, можно включить встроенный персональный брандмауэр. Личный брандмауэр будет блокировать неавторизованные подключения к Mac независимо от их источника. Брандмауэр в Lion поддерживает возможность своей конфигурации с помощью одного щелчка кнопкой мыши, и такая конфигурация обеспечивает высокий уровень защиты сетевых служб и подходит для большинства пользователей.

Стандартный брандмауэр использует правила на основе номеров портов служб. Как вы узнали ранее в этом уроке, каждой службе присвоен стандартный порт или набор портов. Однако некоторые сетевые службы, такие как iChat, используют широкий диапазон динамических портов. Если бы пришлось вручную настраивать традиционный брандмауэр, то нужно было бы создать десятки правил для каждого потенциального порта, который мог бы понадобиться пользователю.

Для решения этой проблемы брандмауэр в Lion использует адаптивную технологию, которая разрешает подключения на основе требуемых приложений и служб. Пользователю даже не нужно знать, какие конкретно порты используются. Например, можно разрешить процессу iChat принимать любое входящее подключение, не настраивая все отдельные TCP- и UDP-порты, которые им используются.

Совет. В ОС Lion все еще присутствует более традиционный брандмауэр на основе портов, ipfw. Он может настраиваться из командной строки или с помощью конфигурационных файлов.

Брандмауэр в Lion использует также другую возможность - подпись кода, которая позволяет гарантировать, что разрешенные приложения и службы не будут изменены без вашего ведома. Кроме того, подпись кода позволяет Apple и сторонним разработчикам предоставлять гарантию того, что их программное обеспечение не было изменено злоумышленниками. Такой уровень проверки доверия позволяет настраивать брандмауэр в Lion в стандартном режиме с помощью одного щелчка кнопкой мыши. В этом режиме подписанным приложениям и службам разрешается принимать входящие подключения.

Наконец, поскольку брандмауэр в Lion является полностью динамическим, он будет открывать только необходимые порты, когда приложение или служба работают. Используя в качестве примера приложение iChat, брандмауэр в Lion будет разрешать входящие подключения на требуемые порты, только если приложение iChat работает. Если приложение будет закрыто из-за того, что пользователь выходит из системы, брандмауэр закроет и соответствующие порты. Если требуемые порты открыты, только когда работают использующие их приложения или службы, обеспечивается дополнительный уровень защиты, который отсутствует в распространенных брандмауэрах.