防火墙怎么设置白名单后还是被拦？

防火墙设置白名单后仍被拦截，根本原因在于白名单仅解决“身份识别”问题，却未覆盖通信全链路的策略匹配要求。Windows Defender 防火墙需同时满足应用层（.exe路径）、网络层（TCP/UDP端口）、协议层（入站/出站方向）及配置文件（专用/公用/域）四重条件才放行；云防火墙或网闸更涉及安全组、NAT转换、会话超时、深度包检测（DPI）等叠加机制。例如远程桌面依赖3389端口入站规则，若仅添加程序白名单而未启用对应端口规则，或未勾选“公用网络”，连接依然中断；Open-AutoGLM服务若开放8080端口但未同步配置出站规则允许其调用外部API，亦会触发阻断。真实场景中，规则冲突、配置顺序、IP格式精度（如/32与/24差异）、甚至防火墙日志级别未开启，都可能让白名单形同虚设。

一、检查规则是否真正启用且无冲突

打开“高级安全 Windows Defender 防火墙”（wf.msc），分别展开“入站规则”和“出站规则”节点，按名称或程序路径搜索目标应用。重点查看规则右侧“启用”列是否为“是”，若显示“否”，右键启用；同时筛查是否存在同名但操作为“阻止连接”的规则——这类冲突规则会优先生效，必须右键禁用或删除。双击规则进入属性页，在“程序和服务”选项卡中核对.exe路径是否与当前运行进程完全一致，尤其注意32位/64位系统下System32与SysWOW64路径差异，避免指向错误副本。

二、确认网络配置文件匹配实际环境

Windows防火墙按“域”“专用”“公用”三类网络类型独立控制规则生效范围。用户常误将办公笔记本设为“公用网络”，却只勾选了“专用”列的白名单，导致放行失效。需进入“设置→网络和Internet→状态”，查看当前网络配置文件类型；再返回防火墙白名单界面，确保目标程序在对应网络类型的复选框中已被勾选。云防火墙同理，需确认白名单规则已绑定至实际使用的VPC或安全组，而非测试环境。

三、验证端口与协议双向覆盖

仅放行程序不等于放行其全部通信行为。例如远程桌面需TCP 3389入站，但若启用了NLA（网络级别身份验证），还需允许UDP 3389用于初始协商；Open-AutoGLM服务除8080入站外，若调用Hugging Face模型API，则必须额外创建出站规则，放行目标域名对应IP段的HTTPS（TCP 443）连接。建议使用PowerShell命令“Test-NetConnection -Port 443 -ComputerName huggingface.co”实测端口连通性，排除中间设备拦截。

四、启用日志并定位拦截源头

在wf.msc中，右键“Windows Defender 防火墙→属性”，将“入站连接”和“出站连接”的日志记录设为“是”，指定日志路径后重启防火墙服务。随后复现问题，用记事本打开日志文件，查找包含“DROP”关键字及目标程序PID或端口号的条目，可精准判断是哪条规则、哪个网络类型或哪个方向触发了阻断，避免盲目调整。

白名单不是万能钥匙，而是策略体系中的一个环节；唯有逐层校验、双向配置、日志佐证，才能让放行真正落地。