macOS 防火墙的真正作用
内置的 macOS 防火墙是一层应用层防火墙,用于过滤入站网络连接。启用后,它可以: 阻止所有入站连接,除非是基本互联网服务所必需的(如 DHCP、Bonjour、IPSec)。允许特定共享应用的入站连接。启用隐身模式,防止你的 Mac 响应 Ping 请求和端口扫描。 这可以防御外部威胁:同一网络中的攻击者、自动端口扫描器和恶意连接尝试。它在这方面表现良好。
关键漏洞:没有出站保护
macOS 防火墙不做的事:它不监控、不过滤,也不阻止任何出站连接。 这意味着你的 Mac 上的任何应用都可以自由: - 与全球任何服务器连接 - 发送任意数量的数据 - 联系追踪器、分析服务和广告网络 - 传输遥测、使用数据和设备信息 - 给开发者的服务器打电话 防火墙不会阻止,也不会警告你,更不会记录。苹果设计 macOS 防火墙是为了网络安全(防止攻击),而非隐私保护(控制数据泄露)。
为什么苹果不阻止出站流量
苹果可以在 macOS 上加入出站防火墙控制,但出于合理的考虑没有这么做。严格的出站防火墙会在应用首次启动时造成困扰 — 想象每个新应用都要你允许连接10-20个域名。它也会与苹果自己的服务冲突,这些服务会定期联系 iCloud、App Store、Siri 和分析服务器。 苹果的策略是通过 App Store 审核和隐私标签来管理隐私。但正如我们所见,开发者自己申报的隐私标签常常不准确。
如何添加出站保护
要正确保护你的 Mac,你需要同时启用入站和出站的防火墙保护: 保持 macOS 防火墙启用,用于入站保护。它免费、内置且能满足基本需求。 添加第三方的每应用防火墙,用于出站控制。像 NetMute 这样的工具可以监控每个出站连接,识别发起连接的应用,并允许你按应用阻止或允许。NetMute 还提供追踪器检测和隐私评分。 这种双层保护可以覆盖两个方向。
2026 年的最佳设置方案
以下是每个 Mac 用户推荐的网络安全设置: 1. 启用 macOS 防火墙(系统偏好设置 → 网络 → 防火墙 → 开启)。启用隐身模式以增强保护。 2. 安装像 NetMute 这样的每应用防火墙,用于出站控制和隐私监控。 3. 在不可信的网络中使用 VPN 进行加密。 4. 设置网络配置文件 — 为家庭、工作和公共 Wi-Fi 提供不同的安全级别。 这个组合提供:入站保护(苹果)、出站控制(NetMute)和加密(VPN)。