前两天同事老李急匆匆跑来找我,说公司内网突然能访问外部高危端口了,明明之前设置了严格的防火墙策略。查了一圈发现,防火墙规则“看起来”还在,但实际上已经不生效了。这种情况并不少见,尤其是系统更新、配置变更或策略冲突后容易出现。
先确认是不是真的失效
别一上来就怀疑防火墙崩溃。先用几条简单命令验证实际效果。比如在 Windows 上用 Test-NetConnection 检查某个被禁止的端口是否通:
Test-NetConnection 192.168.1.100 -Port 3389如果返回“TcpTestSucceeded : True”,而你明明在防火墙里禁了 3389(远程桌面),那说明策略确实没起作用。
检查策略优先级和冲突
防火墙策略是按优先级从高到低执行的。有时候新添加的允许规则会覆盖掉旧的拒绝规则。比如你在测试时加了一条“允许所有来自测试机的流量”,后来忘了删,它可能就绕过了后续的拦截规则。
在 Windows 防火墙高级安全里,打开“出站规则”或“入站规则”,按“操作”和“配置文件”排序,看看有没有宽泛的“允许”规则出现在更具体的“阻止”规则之前。
组策略被覆盖?常见于域环境
很多企业通过域控推送防火墙策略。如果你本地改了规则,但域策略每隔 90 分钟刷新一次,你的设置就会被强制还原。更麻烦的是,有时候管理员更新了 GPO,但没测试完整,导致某些规则被清空。
运行 gpresult /H report.html 生成组策略应用报告,查看“Windows 防火墙”相关配置是否来自预期的 GPO。如果发现策略来源不对,就得联系域管理员确认最近有没有推送变更。
第三方软件“劫持”了规则
有些杀毒软件、远程工具(比如向日葵、TeamViewer)安装时会自动添加防火墙例外。它们甚至可能用自己的过滤引擎替换了系统默认的筛选器,导致 Windows 防火墙界面显示正常,实则不起作用。
打开任务管理器,看有没有类似 sfwfilter.sys 或第三方网络驱动在运行。临时关闭这类软件,再测试策略是否恢复生效。
重启防火墙服务试试
有时候服务状态异常,规则加载不完整。以管理员身份运行命令提示符:
net stop mpssvc
net start mpssvc这会重启 Windows Defender 防火墙服务。重启后重新加载所有策略,很多临时性失效问题就解决了。
检查系统更新或补丁影响
去年微软一个累积更新导致部分用户的自定义防火墙规则丢失。如果你发现策略失效恰好发生在系统重启后,查一下更新记录。打开“设置 → 更新与安全 → 查看更新历史”,看看有没有近期安装的关键更新。
如果有,去微软官方支持页面搜对应 KB 编号,看是否有已知防火墙兼容问题。必要时可暂时卸载更新测试。
导出当前策略做对比
用命令导出现有防火墙配置:
netsh advfirewall export "C:\fw_backup.wfw"把当前导出的文件和出问题前的备份对比,能看出哪些规则不见了,或者参数被修改了。这是最直接的排查方式。
防火墙策略失效听着吓人,其实多数情况是配置层级出了问题。静下心一步步查优先级、组策略、第三方干扰和服务状态,往往几分钟就能找到症结。