windows自己是带个网络防火墙的,好像真正用起来、用出到要求少。
现在的系统,从系统本身到些软件(不管是主动安装的,还是不请自来的),往往都不大老实,手脚甚是不干净,常常背地里,甚至是大摇大摆地不知道在忙些啥,只能看到网络等狂闪、硬盘灯是疯颤,折腾得热火朝天的。
这个,作为用户,心里很不是个滋味啊,自己的地盘都做不了主了,成了观客一般。
这不,刚打开个 win10 的虚拟机,还没几分钟,看网络流量统计都几百个 MB了。吓得赶紧把虚拟机的网禁用了,VBox 很脆弱就让虚拟机崩溃了。
想到 windows自己有个防火墙,考虑着是不是可以采用白名单模式,即只对那些列表里的应用放行网络,其它的一律阻断。
开始没看到怎么做,网上搜索了看看,也没啥结果,看了几个帖说的其实并不对。
后来,在防火墙设置里,有个“高级设置”,进去看看,里面的“Windows 防火墙属性”里有不同场景下防火墙对出站、入站的设定,是“阻止”还是“允许”,对“入站”默认的都是“阻止”,对出站默认的则为“允许”。这样的设定就是“入站”是只有列表里的才可以允许进,“出站”则是列表里的被阻止。
于是,把 3个场景下的“出站”也都改为了“阻止”;然后,在“入站规则”和“出站规则”里,全选了,“禁用”;再把 4个 dhcp 还 3个 dns的“启用”(奇怪了 好像没有 dns入站 项,win7 和 10 都没有);再把 ie/edge/chrome 等需要的上网程序分别新建规则项“允许”访问网络(edge网络访问实际是在 MicrosoftEdgeCP.exe 进程而非 MicrosoftEdge.exe)。
这样设置了之后,总算是老实消停安静下来了,开着丢那儿好久,几乎没有额外的流量了。
看来,这个方法还是有效的。