主机配置防火墙配置｜家庭网络防火墙实操指南

家里几台电脑、一台NAS、还有智能音箱和摄像头，全连在同一个路由器下。很多人觉得只要路由器开了防火墙，自己电脑就安全了——其实不是。主机层面的防火墙才是最后一道门，特别是你远程办公、开共享文件夹、或者跑Home Assistant这类服务的时候，没配好，等于把家门钥匙随手扔在门口。

为什么光靠路由器还不够？

路由器防火墙管的是“进出你家网络的车流”，而主机防火墙管的是“谁能在你家客厅里走动”。比如你开了Samba共享，路由器放行了445端口，但Windows自带防火墙如果没放行，外边设备照样连不上；反过来，某款国产软件偷偷连境外域名，路由器未必能识别，但主机防火墙可以按进程精准拦截。

打开「控制面板 → 系统和安全 → Windows Defender 防火墙」，点左侧「高级设置」。别怕，用不到太多选项：

入站规则里，右键新建规则 → 选择「程序」→ 浏览到你常用的服务程序（比如qbittorrent.exe），勾选「允许连接」，协议默认全选，作用域保持默认（仅内网可访问更安全）；
想临时禁用某软件联网？找到对应进程的出站规则，右键「禁用规则」就行，比卸载软件快多了。

命令行更干脆：

netsh advfirewall firewall add rule name="允许Home Assistant" dir=in action=allow program="C:\Program Files\HomeAssistant\python.exe" enable=yes

系统设置 → 隐私与安全性 → 防火墙 → 点击「防火墙选项」。默认只拦未知连接，不拦已授权应用。真正要上手得进终端：

先启用pf（系统自带的包过滤器）：

sudo sysctl -w net.inet.ip.fw.enable=1
sudo pfctl -e

再编辑 /etc/pf.conf，加一行：

block drop in quick on en0 from any to any port 22

意思是：从Wi-Fi口（en0）进来的所有SSH连接都直接丢掉——适合你不想被邻居扫到树莓派的22端口时用。

Ubuntu 默认用 ufw，一条命令就能理清：

sudo ufw enable
sudo ufw default deny incoming
sudo ufw allow from 192.168.3.0/24 to any port 80

上面这三句的意思是：开启防火墙、默认拒绝所有入站、只允许家里IP段（192.168.3.x）访问本机80端口。如果你装了Pi-hole，还可以单独放行53端口：

sudo ufw allow 53

很多软件安装时会自动往防火墙里加白名单，比如迅雷、网易云音乐、甚至某些杀毒软件。进防火墙高级设置翻一遍「入站规则」，把不认识又没在用的规则禁用掉。曾经有用户发现家里网速慢，结果查出来是某旧版下载工具悄悄开了UDP 6881–6889端口，一直在往外发垃圾流量。

防火墙不是设完就高枕无忧的东西，它得跟着你的使用习惯动。上周你还在用TeamViewer远程修爸妈电脑，这周换成rustdesk，就得删掉旧规则、加上新路径。主机配置防火墙配置，说到底就是让每台设备知道自己该信谁、该拦谁——不是越严越好，而是刚好够用。