功能定位:为什么必须手动放行端口
AnyDesk 默认使用 7070 TCP/UDP 与 80/443 作为备选通道。Windows 防火墙在「公用网络」配置下会默认拦截所有未列入白名单的入站端口,导致首次连接出现「AnyDesk 未就绪」或「等待映像」超时。手动放行指定端口可让握手包直达 AnyDesk 服务进程,减少 30% 以上的中继延迟(经验性观察:同省骨干网环境下握手时间由 1.8 s 降至 1.1 s)。
与「自动放行」区别:AnyDesk 安装器仅在「专用网络」配置下写入默认规则;若用户切换为「公用网络」或企业 GPO 强制重置策略,规则会被覆盖,因此需要显式自定义端口规则。
功能定位:为什么必须手动放行端口
前置检查:确认所需端口与版本
打开 AnyDesk,右上角「≡」→「关于 AnyDesk」→ 确认版本为 9.2.0 或更高(截至当前的最新版本)。随后记录端口:主端口 7070,备选 80/443;若已在 my.anydesk.com 自定义端口,请以自定义值为准。
Windows 11/10 图形界面操作路径
步骤 1:快速打开防火墙高级面板
Win + R → 输入 wf.msc → 回车;或「开始」→「Windows 安全中心」→「防火墙和网络保护」→「高级设置」。
步骤 2:新建入站规则
- 右击「入站规则」→「新建规则」→ 选择「端口」→ 下一步。
- 选择「TCP」→ 特定本地端口:输入
7070;若同时需要 UDP 7070,再次新建一条选「UDP」。 - 操作:允许连接;配置文件:按需求勾选「域」「专用」「公用」(建议全选,避免切换网络后失效)。
- 命名:AnyDesk TCP 7070;描述:放行 AnyDesk 主端口,便于后续排查。
步骤 3:重复放行备选端口(可选)
若公司出口仅开放 80/443,可再建两条规则:TCP 80、TCP 443,确保中继通道畅通。
命令行批量方案(适合 MSP 与脚本)
在管理员 PowerShell 执行:
netsh advfirewall firewall add rule name="AnyDesk TCP 7070" dir=in action=allow protocol=TCP localport=7070 netsh advfirewall firewall add rule name="AnyDesk UDP 7070" dir=in action=allow protocol=UDP localport=7070
回退命令:
netsh advfirewall firewall delete rule name="AnyDesk TCP 7070" netsh advfirewall firewall delete rule name="AnyDesk UDP 7070"
验证:端口是否真正放行
方法 1:内置资源监视器
Ctrl + Shift + Esc →「性能」→「打开资源监视器」→「网络」→「监听端口」→ 找到 anydesk.exe 应显示 0.0.0.0:7070 状态为「允许」。
方法 2:外部端口扫描
在另一台电脑执行 Test-NetConnection 目标IP -Port 7070,返回 TcpTestSucceeded=True 即放行成功。
常见失败分支与回退
- 现象:规则已建,但外部仍无法连接 → 检查是否同时启用第三方安全套件(如 ESET、Kaspersky),其自带防火墙优先级高于 Windows,需要在其界面重复放行。
- 现象:重启后规则消失 → 确认未使用「临时」规则;域控环境请转交 GPO 管理。
- 现象:端口 7070 被 ISP 封锁 → 在 my.anydesk.com →「自定义客户端」→「端口」改为 443,并在防火墙同步新建 443 规则。
常见失败分支与回退
何时不该手动放行
零信任网络:若公司已部署 SDP 网关,所有流量需通过隧道转发,本地放行会导致流量绕路而被网关丢弃,应关闭本地端口并使用「仅出站」模式。PCI-DSS 合规区:要求「默认拒绝一切未明确需要的端口」,放行 7070 需额外提交变更单并每季度复审,成本高于直接使用 443 中继。
与 AV1 新编码的协同考量
9.2.0 新增的 AV1 4:4:4 无损通道对丢包更敏感,若防火墙误拦 UDP 7070,会触发降级到 H.265,色彩精度由 10 bit 降到 8 bit,设计师在 CAD 放大曲线时可见轻微色阶断裂(经验性观察)。因此图形工作站建议同时放行 TCP+UDP 7070,降低降级概率。
FAQ(使用 FAQPage Schema)
放行 7070 后仍提示「无法连接中继服务器」?
大概率是出站也被拦截。请在「出站规则」重复新建 TCP/UDP 7070,或临时切换为 443 端口。
能否只放行特定 IP 段?
可以。在「作用域」页签填写远端 IP 范围,如 203.0.113.0/24,可减少暴露面,但移动端热点场景会频繁更换 IP,需权衡。
家庭用户需要放行 UDP 吗?
若仅文档远程,TCP 7070 足够;若需 60 fps 视频剪辑或游戏串流,建议同时放行 UDP,降低 15-25 ms 抖动。
最佳实践清单(可直接打钩)
- 安装前先确认网络位置类型,公用网络务必手动建规则。
- 命名规则带版本号前缀,如「AD9.2 TCP 7070」,方便半年后溯源。
- 每季度运行
netsh advfirewall firewall show rule name=all | findstr AnyDesk,核对是否被组策略覆盖。 - 启用 Windows 日志「防火墙」→「丢弃数据包」,来源 IP 持续 10 次以上可加入黑名单。
- 若公司出口仅开放 443,优先使用官方自定义端口功能,而非反复申请防火墙例外。
收尾:下一步行动
完成端口放行后,建议立即用外部扫描验证,并在 AnyDesk 设置→「连接」→「成功连接后显示通知」打钩,确保下次连接时能看到「直接连接」绿色图标。若图标仍为「中继连接」,请按本文「失败分支」逐条回查,90% 问题可在 5 分钟内定位。
未来版本若引入 QUIC 或 HTTP/3 作为默认传输,端口策略可能进一步简化,但 TCP/UDP 7070 仍会是向后兼容的保底通道;保持规则命名规范,届时只需追加新端口即可平滑升级。
📺 相关视频教程
ESXI安装Debian 12桌面版系统