防火墙是阻挡 NAS 访问的高频诱因 —— 无论是电脑端、NAS 端还是路由器的防火墙，都可能因默认规则拦截 SMB/NFS 等共享协议的通信。配置的核心逻辑是明确需放行的协议端口、按设备类型创建精准允许规则并验证规则有效性，同时兼顾安全性与兼容性。

  首先需了解 NAS 与电脑文件共享依赖的核心协议及对应端口，这是所有防火墙配置的基础：SMB 协议是 Windows/macOS 访问 NAS 的主流选择，依赖 TCP 445 和 139 端口，90% 的家用与办公场景都需用到；NFS 协议多用于 Linux 或企业级跨平台共享，需同时放行 TCP/UDP 2049 端口和 111 端口（RPC 服务依赖）；FTP 协议为传统文件传输方式，现在较少使用，除 TCP 21 端口外，被动模式还需额外放行动态端口范围；Web 管理端口则用于访问 NAS 管理界面（如群晖 DSM），默认常用 TCP 80 和 443 端口，部分 NAS 初始 HTTP 端口为 5000。可通过Test-NetConnection NAS的IP -Port 445（Windows PowerShell）或telnet NAS的IP 445（macOS 终端）测试端口是否通畅，显示 “成功” 则说明端口未被拦截。

  电脑端防火墙直接控制本地设备与 NAS 的通信，需针对 SMB 等核心协议创建允许规则，以下分 Windows 和 macOS 系统说明。Windows 系统（10/11 通用）中，Windows Defender 防火墙是*常见的拦截源，可通过图形界面或 PowerShell 命令配置，优先**图形界面操作。快速放行的方法是直接启用系统内置的 “文件和打印机共享” 规则，无需手动输入端口：按Win+S搜索 “允许应用通过 Windows 防火墙” 并进入设置界面，找到 “文件和打印机共享” 选项，勾选其下的 “专用” 和 “公用”（家用场景选 “专用” 即可，办公场景按需勾选），点击 “确定”；若仍无法访问，按Win+R输入wf.msc打开 “**安全防火墙”，在 “入站规则” 中确认 “文件和打印机共享（SMB-In）” 状态为 “已启用”。当默认规则无效（如系统更新后规则丢失），则需手动针对 445 端口创建自定义规则：打开 “**安全 Windows Defender 防火墙”（通过wf.msc命令），点击左侧 “入站规则” 后选择 “新建规则”，规则类型选 “端口”，下一步后协议选 “TCP”，端口栏输入 “445,139”（多个端口用逗号分隔），继续下一步后操作选 “允许连接”，适用网络选 “专用”（避免公网暴露风险），*后命名为 “允许 NAS SMB 访问” 并点击 “完成”；若想进一步提升安全性，可右键新建的规则进入 “属性”，在 “Scope” 选项卡的 “远程 IP 地址” 中选择 “下列 IP 地址” 并输入 NAS 的 IP，仅允许该设备通信。对于 360、火绒等第三方防火墙，其 “网络防护” 功能常拦截 SMB 流量，配置逻辑与系统防火墙类似：打开软件的 “防火墙” 或 “网络安全” 模块，进入 “端口放行” 设置，添加规则时协议选 “TCP”、端口填 “445”、备注 “NAS 访问”，并将 NAS 的 IP 加入 “信任列表”；也可先临时关闭软件的 “网络防护” 功能，若能访问 NAS 则确认为软件拦截，再按上述步骤配置规则。

  macOS 系统的防火墙配置更简洁，重点是放行 “文件共享” 服务和 445 端口：打开 “系统设置” 后进入 “网络”，找到 “防火墙” 选项并点击 “选项” 进入详细设置，确保防火墙状态为 “打开”，点击 “添加应用” 选择 “访达”（Finder，负责 SMB 连接），设置为 “允许传入连接”；若需手动放行端口，可通过终端执行sudo /usr/libexec/ApplicationFirewall/socketfilterfw --add /System/Library/CoreServices/Finder.app，强制允许访达的网络通信；配置完成后按Command+K输入smb://NAS的IP，若能正常弹出登录窗口则说明配置生效。

  NAS 端防火墙（如群晖 Firewall、威联通 QuFirewall）用于限制外部设备访问自身，需确保电脑 IP 和 445 端口未被拦截，以下分主流品牌说明。群晖 NAS（DSM 系统）的防火墙按 “配置文件” 管理规则，可创建针对局域网的专用规则：登录 DSM 管理界面，进入 “控制面板→安全→防火墙”，勾选 “启用防火墙”（若未启用则无需配置，说明拦截来自其他设备），点击 “防火墙配置文件” 后选择 “编辑规则”，选定当前网络接口（如 “LAN 1”）并点击 “创建”；规则设置时，描述填 “允许局域网访问 SMB”（便于后续识别），端口选 “自定义” 并输入 “445”（SMB 端口）、协议选 “TCP”，来源 IP 选 “特定 IP” 并输入电脑的 IP 或局域网网段（如 192.168.1.0/24，允许整个网段访问），操作选 “允许”；*后将新建规则拖到列表顶部（群晖防火墙按从上到下顺序匹配规则，优先执行允许规则），点击 “应用” 即可。若需访问管理界面，需额外创建针对 80/443 端口的规则，步骤同上，端口填 “80,443”。

  威联通 NAS（QTS 系统）的防火墙规则配置与群晖类似，核心是允许电脑 IP 访问 SMB 端口：登录 QTS 界面，进入 “控制台→系统→安全→防火墙”，启用防火墙后点击 “规则管理”，新建入站规则时服务类型选 “自定义” 并输入 “SMB 访问”，TCP 端口填 “445”、UDP 端口留空，源 IP 地址选 “单个 IP” 或 “子网” 并输入电脑 IP 或局域网网段，动作选 “允许”；保存规则并启用后，重启 NAS 的 SMB 服务（路径为 “控制台→网络与文件服务→Win/Mac/NFS→SMB 服务”）。若不确定规则是否正确，可临时关闭 NAS 防火墙验证：群晖在 “防火墙” 设置中取消勾选 “启用防火墙” 并点击 “应用”，威联通在 “防火墙” 界面点击 “禁用防火墙”，若关闭后能访问 NAS，说明是防火墙规则拦截，需重新检查端口和 IP 设置。

  路由器作为局域网网关，其防火墙（如 IP 隔离、端口过滤）会拦截跨设备通信，尤其在办公或多设备网络中常见。核心配置需关闭 IP 隔离并放行关键端口：首先登录路由器管理后台（通常在浏览器输入网关 IP，如 192.168.1.1，默认账号密码在路由器底部），在 “**设置→局域网设置” 中找到 “IP 隔离” 或 “设备隔离”，确保处于 “关闭” 状态（开启后设备间无法通信）；接着进入 “防火墙→端口过滤”，添加允许规则，协议选 “TCP”，外部端口与内部端口均填 “445”，目标 IP 填 NAS 的 IP 地址，动作选 “允许”；部分老旧路由器的 “SPI 防火墙” 会误拦截 SMB 流量，可临时关闭测试（但不建议长期关闭，会影响网络安全）。特殊场景下，Mesh 路由器需在主路由中配置规则，子路由会自动同步设置，无需单独配置；企业级路由（如华为、华三）则需在 “ACL 访问控制列表” 中添加规则，允许电脑网段（如 192.168.2.0/24）访问 NAS 的 445 端口，具体路径需参考路由器说明书。

  配置完成后需通过分步测试验证效果，若仍失败可按特定流程排查。基础验证步骤分为三步：首先进行 Ping 测试，在电脑端执行ping NAS的IP，确保网络连通（丢包率为 0）；然后是端口测试，通过 PowerShell 执行Test-NetConnection NAS的IP -Port 445，显示 “TcpTestSucceeded : True” 则说明端口通畅；*后是连接测试，Windows 系统输入\NAS的IP，macOS 系统输入smb://NAS的IP，能看到共享文件夹则配置成功。常见故障及解决方法如下：端口测试失败（显示 False）多因路由器或 NAS 防火墙拦截 445 端口，需重新检查对应设备的端口放行规则；能 Ping 通但无法访问文件夹，通常是电脑端 SMB 协议未启用，按Win+S搜索 “启用 SMB 1.0/CIFS 文件共享支持” 并启用即可；提示 “无权限” 可能是 NAS 防火墙规则优先级错误，需将 “允许规则” 拖到列表顶部（群晖 / 威联通均适用）；部分电脑能访问、部分不能，大概率是路由器 IP 隔离未关闭，进入路由器后台关闭 “设备隔离” 功能即可。

配置防火墙时需平衡 “便利性” 与 “安全性”，避免常见误区：不建议开放 “公用” 网络，仅在 “专用”（家用 / 办公内网）网络放行 SMB，公网开放 445 端口易遭勒索病毒攻击；创建规则时优先指定 “特定 IP”（如 NAS 的 IP、电脑网段），而非 “全部 IP”，减少安全风险；老旧 NAS 启用 SMB 1.0 后，需在 NAS 端限制仅允许局域网 IP 使用，避免公网漏洞利用；同时要定期审计规则，删除无用的允许规则，尤其针对 “全部端口”“全部 IP” 的宽松规则，确保网络安全。