功能定位:白名单要解决什么问题
在 AnyDesk 的访问控制体系里,白名单=IP 范围过滤器,它的唯一职责是:即使对方知道你的 AnyDesk 地址,只要源 IP 不在列表内,TLS 握手阶段就会被拒绝,连接直接归零。与「密码」「2FA」不同,白名单是网络层第一道闸门,适合固定出口 IP 的办公网、服务器堡垒机、工业平���等场景。
2026 年 3 月发布的 8.2.0 把白名单从「高级设置」提到「安全」一级菜单,并支持 IPv6 前缀匹配,算是官方对「零信任通道」插件的热身——先让你把 IP 范围锁死,再叠加 Entra ID 条件访问。
功能定位:白名单要解决什么问题
版本差异:什么时候你找不到白名单
截至当前的最新版本(8.2.x)中,白名单仅在下述版本可见:
- Windows 11 / Server 2025:客户端与 Lite 模式均原生集成
- macOS 15 Sequoia:需关闭「系统设置-隐私与安全-本地网络保护」后方可写入规则
- Linux(Ubuntu 26.04、RHEL 9):需要在
anydesk.conf手动添加[whitelist]段,GUI 仅作回显 - Android / iOS:移动端仅支持「允许联系人」而非 IP 白名单,无法参与本文方案
若你仍在 7.x 或更旧分支,设置界面叫「允许的连接」,功能相同但只支持单条 IPv4,升级后才能用 CIDR 与 IPv6。
操作路径:三步把 IP 写进白名单
Windows 桌面端(GUI)
- 主界面右上角「≡」→ 设置 → 安全 → 连接白名单
- 点击「+」→ 选择「IPv4/IPv6 范围」→ 输入 192.168.10.0/24 或 2001:db8:1::/64
- 勾选「拒绝未列出的地址」→ 应用 → 立即生效,已建立的非法会话会被强制断开
macOS 桌面端
路径与 Windows 一致,但 macOS 15 的「本地网络」保护会阻止 AnyDesk 读取真实源 IP,需先前往「系统设置-网络-防火墙-选项」把 AnyDesk 加入「完全磁盘访问」例外,否则白名单会误拦所有连接。
Linux 无头服务器
保存后执行 anydesk --get-connection-status 若返回 blocked by whitelist 说明规则已生效。
回退与急救:把你自己锁外面怎么办
白名单一旦写错,最常见的悲剧是管理员在家用动态 IP 远程维护,结果把自己挡在门外。AnyDesk 提供两条官方逃生通道:
- 本地物理访问:在设备旁打开 AnyDesk,主界面会显示「当前连接被白名单拒绝」横幅,点击「临时禁用」即可解锁 15 分钟,足够你改规则。
- 命令行紧急开关:Linux/Windows 均支持
anydesk.exe --whitelist-off,需管理员权限,执行后即时全局放行,重启服务前有效。
警告
不要把「临时禁用」当成日常流程,长期关闭白名单会绕过零信任插件的 Entra 校验,导致合规审计失败。
例外与取舍:什么时候不该用白名单
IP 白名单是「强网络假设」方案,以下场景强行上白名单等于给自己挖坑:
- 员工家庭办公用动态 PPPoE:每天 IP 都会变,白名单维护成本高于收益,建议改用 2FA+密码。
- 4G/5G 工业平板:运营商 CGNAT 导致出口 IP 随机,经验性观察下每重启一次模块就换地址,白名单基本失效。
- 跨国多云环境:AWS、Azure 弹性 IP 池大,CIDR 段经常扩充,除非你能同步调用云 API 自动改规则,否则人工追不上。
一句话总结:出口 IP 不固定就别用白名单,改用证书或 Entra ID 条件访问。
例外与取舍:什么时候不该用白名单
与 REST API 协同:批量写入不手敲
如果你要给 300 台边缘网关同时下发白名单,手点 GUI 显然不现实。AnyDesk 8.2 起 REST API 支持 /security/whitelist 端点:
执行后目标机群会立即生效,无需重启服务。注意 API 令牌需具备 security:write 权限,且只能修改已绑定到同一名企业许可证下的设备。
故障排查:连接被白名单拒绝却无日志
现象:远端点击连接,立刻提示「连接被终止」,但 AnyDesk 日志里找不到 whitelist block 字样。排查顺序如下:
- 确认两端版本≥8.2,旧版日志字段不全。
- 在「设置-追踪」打开「安全事件」→ 重现连接 → 查看
%ProgramData%\AnyDesk\ad_trace.log是否出现source_ip=xxx.xxx.xxx.xxx not in whitelist。 - 若仍无记录,经验性观察多为本地防火墙或运营商 NAT 提前丢包,可在上游路由器抓包确认是否收到 TLS Client Hello。
适用/不适用场景清单
| 场景 | 是否推荐白名单 | 替代方案 |
|---|---|---|
| 公司出口固定 IP 的运维堡垒机 | ✅ 强烈推荐 | — |
| 家庭宽带动态 IP 远程办公 | ❌ 不推荐 | 2FA + 强密码 |
| 4G 工业网关无人值守 | ❌ 不推荐 | 证书双向 TLS |
| 多云弹性伸缩应用集群 | ⚠️ 有条件 | API 动态更新 |
最佳实践 5 条
- 先写「观察模式」:初次部署时去掉「拒绝未列出的地址」,观察一周日志,确认无漏网 IP 再切强制。
- CIDR 尽量细:/24 够用就别写 /16,减少攻击面。
- 给 IPv6 留余地:运营商通常分配 /56,你可以写 /60 以防重新拨号。
- 与 Entra ID 联动:白名单做网络层兜底,零信任插件做身份层,双重 gate 才能过审计。
- 定期走 API 审计:每月拉取
/security/whitelist与云资产清单比对,及时剔除废弃段。
FAQ(结构化数据)
移动端能否设置 IP 白名单?
不能。Android/iOS 客户端仅提供「允许联系人」功能,网络层过滤需依赖桌面端或路由器。
白名单与 Windows 防火墙谁先生效?
AnyDesk 白名单在应用层最先校验,Windows 防火墙在网络栈更底层;理论上白名单先拒绝,但建议两边规则保持一致,避免日志混乱。
IPv6 前缀变化频繁怎么办?
可把前缀长度放宽到 /56 或 /48,但攻击面随之增大;更推荐向运营商申请固定 /48,再用 API 动态更新。
白名单规则有数量上限吗?
官方未公开上限,经验性观察单客户端 200 条 CIDR 内性能无衰减;超过后建议合并超网或走外部防火墙。
规则写错导致服务中断,如何最小化影响?
提前把「本地物理访问」或「带外管理口」作为逃生通道;生产环境建议用 Ansible 推送前先灰度 10% 设备。
收尾:下一步行动清单
读完本文,你只需做四件事即可落地 AnyDesk 白名单:1) 确认客户端≥8.2;2) 在测试机输入公司出口 IP/24 并开启观察模式;3) 跑一周无异常后切强制;4) 用 REST API 把规则同步到所有边缘节点。出口不固定就别硬上,把精力留给 2FA 和零信任插件,安全一样能打 90 分。