ESET 防火墙阻止 WSA 安卓子系统联网问题修复

本文介绍如何修复 ESET Internet Security 防火墙无厘头、无征兆阻断 WSA 安卓子系统联网的奇怪问题。

问题排查

今天遇到一个非常奇葩的问题，已经使用了一个月的 WSA 突然无法联网。前一天它的网络连接完全正常，而且我也没有对网络做过任何调整，然而，今天开机后启动 Android 应用时，它始终卡在加载页面。

为了进一步排查，我使用 WSA 工具箱打开 Android 系统设置，进入 WLAN 选项进行检查，结果发现 WLAN 并未显示任何可用网络，而在正常情况下，它应该显示连接到 FakeWiFi。

在搜索相关信息时，有用户提到 ESET 的防火墙可能导致这个问题，于是我打开ESET进行排查，在设置 → 网络防护 → 网络访问防护故障排除 → 解决阻止的通信选项中，发现了多个刚刚被阻止的入站通信，而被阻断的远程 IP 正是 WSA 使用的地址。

解决方案

基于上述发现，我尝试手动解除 ESET 对 WSA IP 的阻止。点击 ESET 窗口右上角的解除阻止按钮后，我再次检查 Android 设置，此时 WLAN 选项成功显示 FakeWiFi 连接。随后，我重新启动 Android 应用进行测试，发现应用能够正常联网，至此问题顺利解决。

规则探究

问题解决后，我对 ESET 解除阻止时自动创建的规则比较好奇，也担心自动创建的规则存在潜在的安全隐患。于是我通过设置 → 网络防护 → 防火墙 → 配置 → 规则 → 编辑进入规则管理界面，发现 ESET 在自动创建的规则中，允许了信任区域和本地子网内的 IP 对 svchost.exe 的入站通信。

如果想了解这两个 IP 组的具体范围，可以进入高级设置 → 保护 → 网络访问保护 → 网络访问保护 → IP集 → 编辑中进行查看。

本地子网

本地子网通常指的是当前设备所在的局域网网段。它是系统自动识别的，基于当前网络适配器的 IP 配置来确定。

例如，如果你的路由器 IP 是 192.168.1.1，而你的电脑 IP 是 192.168.1.100，那么整个 192.168.1.0/24（子网掩码 255.255.255.0）就是你的本地子网。

这个选项用于识别与用户同一子网中的设备，以便允许或限制与这些设备的通信。

信任区域

信任区域是用户手动或自动指定的 IP 地址范围，ESET 认为该范围内的设备是可信的，因此会放宽安全限制。

安全隐患

虽然在下的网络安全知识已经基本还给了老师，但是在我看来，允许本地子网和信任区域对 svchost.exe 的入站通信，在连接到家庭 Wi-Fi 的情况下通常是安全的。因此，我们可以保留 ESET 默认创建的规则。

但如果你经常连接公共 Wi-Fi，那么建议手动调整规则，以提高安全性。更安全的做法是仅为 svchost.exe 允许 172.16.0.0 - 172.31.255.255 这段私有 IP 地址范围的入站和出站通信，而不对整个本地子网或信任区域开放访问。