你有没有遇到过这种情况:明明昨天还能从外网访问家里的摄像头或NAS,今天突然连不上了?重启路由器、检查IP都没问题,最后发现是防火墙悄悄“上线”了。于是你开始怀疑:防火墙会不会自动开启?
系统更新后,防火墙可能自己“醒来”
很多人用Windows电脑做服务器,比如跑个下载工具或者搭建私有云。某天系统自动打了个补丁,再一查,发现Windows Defender 防火墙已经处于开启状态,之前手动放行的规则全被拦在门外。这不是错觉,而是系统安全机制在起作用。某些大版本更新或安全补丁会重置防火墙策略,相当于默认“关上门”。
路由器也带防火墙,而且常常默认开着
家用路由器其实内置了基础防火墙功能,比如SPI(状态包检测),它会拦截未经请求的入站连接。当你在做端口映射时,本质是告诉路由器:“这个外部请求我认得,放它进来。”但如果路由器固件升级,或者恢复过出厂设置,原来的端口转发规则可能清空,防火墙规则也随之重置。
举个例子:你在家搭了个Web服务,把80端口映射到内网主机。某天断电重启后发现网页打不开,查了一圈才发现路由器的UPnP功能被关闭了,而防火墙此时不再自动学习开放端口,导致外部请求被直接丢弃。
怎么确认是不是防火墙搞的鬼?
最简单的办法是临时关闭防火墙测试。在Windows上可以这样操作:
控制面板 > 系统和安全 > Windows Defender 防火墙 > 启用或关闭防火墙注意:测试完记得恢复原设置,别为了图省事一直关着。
如果是路由器层面的问题,登录管理页面,查看“安全设置”或“防火墙选项”里是否启用了严格模式。有些品牌如华硕、TP-Link会在高级设置中隐藏这些开关,需要手动确认。
端口映射失败,别光盯着转发规则
很多人只检查端口映射表是否正确,却忽略了主机自身的防火墙。就算路由器把流量转进来了,如果目标电脑的防火墙没放行对应端口,数据包照样被丢掉。比如你想映射3389远程桌面,除了路由器要转发,Windows防火墙也得允许“远程桌面-用户模式(TCP-In)”这条规则。
可以用命令快速查看当前防火墙状态:
netsh advfirewall show allprofiles输出里会显示域、专用、公用三种配置文件的状态。如果你连的是公共Wi-Fi,很可能走的是“公用”配置,而这里防火墙通常是封锁最严的。
别指望它永远听话,定期检查才靠谱
防火墙不会无缘无故“自动开启”,但它确实会在特定条件下恢复默认行为。系统更新、设备重启、固件升级都可能是触发点。与其等到出问题再折腾,不如提前把关键服务的防火墙规则设好,并标记为“始终允许”。
尤其是做端口映射的场景,内外两层防火墙都要盯住——路由器一层,内网设备一层。少漏一个,外网就进不来。