MAC怎么禁止软件连接网络_MAC自带防火墙设置与流量控制软件【方法】

可通过五种方法阻止 macOS 应用联网：一、系统防火墙配置出站规则；二、LuLu 开源工具精细拦截；三、Little Snitch 可视化审计与拦截；四、修改 hosts 文件屏蔽域名；五、SwitchHosts 图形化管理多组 hosts 规则。

如果您希望阻止某个 macOS 应用程序访问互联网，例如 WPS 因网络不佳导致卡顿、LM Studio 需要离线运行，或出于隐私与安全考虑限制后台联网行为，则可通过系统内置防火墙或第三方流量控制工具实现精准拦截。以下是多种可行方法：

一、使用 macOS 内置防火墙配置出站规则

macOS 自带的防火墙默认仅管理传入连接，但通过“防火墙选项”可启用高级设置，为指定应用添加出站拦截规则，从而禁止其主动发起网络请求。该方法无需安装额外软件，适用于基础管控需求。

1、点击屏幕左上角苹果菜单，选择“系统设置”（macOS 13 及以上）或“系统偏好设置”（macOS 12 及以下）。

2、在左侧边栏中点击“网络”，右侧找到并点击“防火墙”选项。

3、点击右下角的“选项”按钮，在弹出窗口中点击左下角锁形图标解锁，输入管理员密码。

4、点击“+”号按钮，在应用程序列表中定位并选择目标软件（如 WPS、LM Studio），点击“添加”。

5、在已添加的应用条目右侧，将“阻止传入连接”切换为开启状态；若系统版本支持出站控制（如 macOS 15.3.2 后部分更新），同时勾选“阻止所有出站连接”选项。

6、确认无误后点击“好”保存设置，再点击“关闭”退出防火墙选项窗口。

二、部署 LuLu 开源防火墙实施精细出站拦截

LuLu 是一款免费、开源且持续维护的 macOS 防火墙工具，专为监控和阻断应用程序的出站网络连接而设计。它能实时弹出连接请求提示，并支持永久性规则设定，弥补了系统防火墙对出站流量控制能力的不足。

1、访问 GitHub 项目主页下载 LuLu：https://github.com/objective-see/LuLu/releases，安装后启动应用。

2、首次运行时，系统会提示授予内核扩展权限，点击“打开安全性与隐私”，在“允许”区域点击“允许”按钮完成授权。

3、当目标应用尝试联网时，LuLu 会在屏幕中央弹出连接请求窗口，显示进程名、目标域名及端口等信息。

4、在弹窗中选择“拒绝”，并勾选“记住此规则”，确保后续所有同类请求均被自动拦截。

5、如需批量管理，点击菜单栏 LuLu 图标，进入“规则” → “编辑规则”，手动添加新规则，指定应用路径与连接类型（TCP/UDP）、目标地址或端口范围。

三、借助 Little Snitch 实现可视化网络行为审计与拦截

Little Snitch 提供图形化网络监视器与策略引擎，不仅能拦截连接，还可按域名、IP、端口甚至具体网络功能（如自动更新、遥测上报）分级控制。其界面直观、规则灵活，适合对联网行为有深度审计需求的用户。

1、从官网下载并安装 Little Snitch：https://www.obdev.at/products/littlesnitch/index.html。

2、安装完成后重启系统，首次启动会引导完成内核扩展与辅助功能授权，按提示操作即可。

零一万物开放平台

零一万物大模型开放平台

下载

3、打开 Little Snitch 配置界面，点击左侧“网络监视器”标签，观察实时连接活动，识别目标应用的联网行为模式。

4、在监视器中右键点击某条连接记录，选择“创建规则”，在弹出窗口中设定作用域（如“仅此应用”）、连接方向（出站）、目标（如“任意主机”或指定域名）及动作（“阻止”）。

5、规则创建后自动生效，也可在“规则”标签页中查看、编辑或禁用已有规则，支持按应用、域名或协议筛选。

四、修改 hosts 文件定向屏蔽特定域名请求

该方法不直接禁止应用联网，而是通过将应用依赖的关键域名解析指向本地回环地址（127.0.0.1），使其无法建立有效远程连接。适用于已知明确外联域名（如统计、模板服务、激活服务器）的场景，操作轻量但需一定技术判断。

1、打开“终端”应用，执行命令：sudo nano /etc/hosts，输入管理员密码。

2、按下键盘向下箭头键移至文件末尾，另起一行，按格式添加屏蔽条目，例如：127.0.0.1 template.wps.cn 或 127.0.0.1 api.lmstudio.ai。

3、按Control + O保存，回车确认文件名；再按Control + X退出编辑器。

4、刷新 DNS 缓存以使更改立即生效，执行命令：sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder。

5、启动目标应用，验证其是否仍尝试连接被屏蔽的域名（可通过活动监视器或 Little Snitch 监视器确认连接失败日志）。

五、使用 SwitchHosts 管理多组 hosts 规则并一键切换

SwitchHosts 是一款图形化 hosts 编辑工具，支持分组管理、语法高亮、远程同步与快速启用/禁用规则集。相比手动编辑 /etc/hosts，它降低了误操作风险，并便于为不同应用配置专属联网限制策略。

1、前往 GitHub 发布页下载最新版：https://github.com/oldj/SwitchHosts/releases，安装后启动。

2、点击界面左上角“+”号，选择“新建分组”，命名为“App-Network-Block”。

3、在该分组下再次点击“+”号，选择“新建 hosts”，粘贴所需屏蔽的域名映射行（如 127.0.0.1 telemetry.wps.com）。

4、填写名称（如“WPS-Telemetry-Block”），点击“保存”，随后点击该 hosts 条目右侧的开关按钮启用规则。

5、系统会提示输入管理员密码以写入 /etc/hosts，输入后规则即时生效，无需重启应用或系统。