刚重装完 Windows 或 Linux 系统,连上网络没几分钟,就发现后台进程偷偷连外网、远程端口被扫、甚至弹出‘某程序请求访问网络’的提示——这往往不是中病毒,而是防火墙还‘裸奔’着呢。
Windows 新装系统:默认规则够用吗?
Win10/Win11 默认开启防火墙,但只拦入站连接,对出站基本放行。比如你装了个带自动更新的软件,它就能悄悄连服务器下载补丁,你自己却不知道。想管住它,得手动加出站规则。
打开 PowerShell(管理员身份),快速禁用所有非必要出站连接:
netsh advfirewall firewall add rule name="阻止未知出站" dir=out action=block program="%SystemRoot%\System32\svchost.exe" enable=yes再给常用软件开白名单,比如 Chrome 浏览器:
netsh advfirewall firewall add rule name="允许Chrome出站" dir=out action=allow program="C:\Program Files\Google\Chrome\Application\chrome.exe" enable=yesLinux(以 Ubuntu 为例):ufw 是新手友好选择
新装 Ubuntu,默认没开防火墙。先启用 ufw,并设为默认拒绝所有入站:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable如果你开了 SSH 远程登录,必须立刻放行 22 端口,否则下次可能连不上:
sudo ufw allow 22/tcp本地开发常跑 Web 服务?顺手放开 80 和 443:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp别忽略这些‘隐形入口’
很多用户只记得开 HTTP/HTTPS 端口,却忘了打印机共享(445)、远程桌面(3389)、SMB(139/445)这些老面孔。家里路由器没关 UPnP,新装系统的 NAS 或下载工具一旦自动注册端口,就等于把内网门把手交给了外网。建议:除非真需要,否则新装系统后第一时间在防火墙里封掉 135-139、445、3389、21、23 这些高危端口。
另外,检查下系统自带的‘文件和打印机共享’是否开着——Windows 设置里搜‘高级共享设置’,家庭网络组里把它关掉,比单靠防火墙更省心。