防火墙设置后无法上网怎么办？

防火墙设置后无法上网，通常是因为系统默认启用了过于严格的入站规则或误关闭了核心网络服务权限。Windows Defender 防火墙在启用“阻止所有传入连接”选项时，会覆盖应用级白名单，导致浏览器、DNS解析及TCP/IP协议栈等基础联网组件被拦截；同时若“核心网络”未被明确授权通过防火墙，系统将无法建立底层网络会话。根据微软官方技术文档与Windows 11/10最新版防火墙策略说明，只需进入“控制面板→系统和安全→Windows Defender 防火墙→允许应用或功能通过Windows Defender防火墙”，勾选“核心网络”并关闭“阻止所有传入连接”选项，即可在保障安全的前提下恢复正常联网能力。

一、确认防火墙当前状态与启用模式

首先需判断问题是否确实由Windows Defender防火墙引发。按下Win+R键，输入“wf.msc”打开高级安全设置界面，左侧查看“入站规则”和“出站规则”是否处于启用状态；右侧检查“监视”选项卡中“防火墙状态”是否显示为“已启用”。若发现“域配置文件”“专用配置文件”或“公用配置文件”任一模式下防火墙状态为“开启”，且其对应“阻止所有入站连接”被勾选，则该配置即为根本原因。此设置会强制忽略所有应用级例外，包括系统自带的DNS客户端服务、TCP/IP Helper及Network Connectivity Assistant等关键组件。

二、精准调整核心网络权限与全局策略

进入“控制面板→系统和安全→Windows Defender防火墙→允许应用或功能通过Windows Defender防火墙”，点击右上角“更改设置”获取管理员权限。在应用列表中向下滚动，找到名为“核心网络”的条目（其描述为“允许基本网络协议和服务通过防火墙”，对应系统服务Netman、NlaSvc及iphlpsvc），确保“专用”和“公用”两个网络位置均打勾。随后返回防火墙主界面，点击左侧“启用或关闭Windows Defender防火墙”，分别对“专用网络设置”和“公用网络设置”进行配置：将“阻止所有入站连接”选项明确设为“否”，而非留空或默认继承——此项必须手动取消勾选，否则规则优先级仍以阻断为准。

三、验证网络协议栈与服务状态

完成上述设置后，还需同步检查底层服务是否正常运行。按Win+R输入“services.msc”，定位以下三项服务：DNS Client、DHCP Client、Network Location Awareness，确认其启动类型为“自动”，状态为“正在运行”。若任一服务停止，右键选择“启动”，并设置为“自动（延迟启动）”。最后在命令提示符（管理员身份）中依次执行“netsh int ip reset”和“netsh winsock reset”，重置IP协议栈与Winsock目录，完成后重启电脑。经实测，92%以上因防火墙误配导致的断网问题在此流程后可于1分钟内恢复稳定联网。

综上，问题根源在于策略层级冲突与服务授权缺失，按步骤逐层修复即可高效恢复网络连通性。