macOS防火墙是「安全性与隐私」框架下的核心执行组件,需管理员解锁后启用,支持签名软件自动放行、隐身模式及应用级精准阻断,并可通过图形界面或终端命令管理规则。
macos 的安全性选项与防火墙策略不是两个独立模块,而是深度协同的一体化防护体系。防火墙本身属于「安全性与隐私」框架下的核心执行组件,其规则受系统签名验证、gatekeeper 机制和权限模型共同约束,所有设置都需在管理员权限下解锁生效。
找到并启用防火墙的正确入口
路径取决于你的 macOS 版本:
- macOS Ventura(13.x)及更新系统(如 Sonoma、Sequoia):苹果菜单 →「系统设置」→ 左侧边栏「隐私与安全性」→ 向下滚动找到「防火墙」→ 点击进入
- macOS Monterey(12.x)及更早版本:苹果菜单 →「系统偏好设置」→「安全性与隐私」→ 顶部切换至「防火墙」标签页
- 部分新系统中「防火墙」也可能出现在「系统设置」→「网络」→「防火墙」,属等效路径,功能完全一致
无论哪种路径,首次修改前都必须点击界面中的锁形图标,输入当前管理员密码解锁——这是强制安全步骤,无法跳过。
理解默认策略与关键开关含义
开启防火墙后,系统并非“一刀切”拦截所有连接,而是按可信等级分层处理:
- 「自动允许已签名的软件接收传入连接」默认开启:Apple 公证或开发者 ID 签名的应用(如 Chrome、Zoom、VS Code)会自动放行,无需手动添加
- 「自动允许内建软件接收传入连接」也默认开启:系统服务(如 AirDrop、文件共享、远程登录)可正常响应合法请求
- 「阻止所有传入连接」慎选:勾选后将禁用全部非基础服务,可能中断协作工具、开发服务器、NAS 访问等,仅适合临时高风险场景(如连接公共 Wi-Fi)
- 「启用隐身模式」推荐开启:Mac 不再响应 ping 或端口扫描,对外“不可见”,但不影响你主动上网、收邮件等出站行为
为特定应用单独设限
当某个软件(比如微信、迅雷、测试用的本地 Web 服务)你不希望它被外部访问时,可精准控制:
- 在「防火墙选项」中点「+」号 → 定位到 /Applications/WeChat.app(必须选 .app 包本体,不能选别名或快捷方式)→ 添加后,在列表中将其右侧状态从「允许」改为「阻止」
- 终端命令方式(适合批量或脚本):
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /Applications/WeChat.app --block
执行后立即生效,可用 --listapps 查看当前规则列表
验证与日常维护要点
防火墙开启后,状态栏不会自动显示图标,需主动确认:
- 图形界面:返回防火墙主页面,确认显示「防火墙已开启」
- 终端验证:sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate,返回 Firewall is enabled. 即为运行中
- 每季度检查一次「防火墙选项」里的应用列表,移除已卸载或不再使用的旧软件条目,避免残留规则干扰
- 安装新开发工具(如 ngrok、Docker Desktop)、远程协作类 App 后,建议回此界面确认是否已自动列入许可名单;若未出现,手动添加并设为「允许」









