Clash 与防火墙 / 杀毒软件冲突怎么解决
代理类软件因为要操作网络、创建虚拟网卡,很容易被杀毒软件和防火墙盯上——轻则误报删文件,重则拦得 TUN 完全不通。这篇先帮你分清"误报"和"真风险",再给出加白名单、放行防火墙的正确做法,让 Clash 和安全软件和平共处。
为什么总被盯上
三个原因叠加:一是开源软件大多没有代码签名证书,安全软件对"没见过、没签名"的程序天然警惕;二是 Clash 要操作网络、创建虚拟网卡、监听端口,这些行为和某些恶意程序的特征重合;三是它访问境外服务器,会触发一些联网告警。所以被误报很常见,不代表它真有毒。
先分清误报与真风险
判断示意图来源正规 + 哈希一致 = 基本是误报;来路不明的"魔改版"报木马,别加白名单。
判断的核心是来源:从官方 GitHub 或本站入口下的,几乎都是误报,可放心加白名单;从陌生网站下的"绿色版""破解版"被报木马/挖矿,那很可能是真的——直接删,重新到正规渠道下载。
把它加进杀软白名单
确认是误报后,把客户端目录加进排除项,避免它把内核文件删掉(删了内核 TUN 就废了):
- Windows Defender:「病毒和威胁防护 → 管理设置 → 排除项」,添加客户端的安装目录。被删过的话先在「保护历史记录」里恢复。
- 第三方杀软(火绒/360/卡巴等):在信任区/白名单里加入客户端主程序和内核可执行文件。
只加目录、别整体关杀软。为了用个代理把全盘防护关掉,得不偿失。精确地把可信目录加进排除项即可。
放行防火墙(TUN 关键)
防火墙拦截最典型的后果是 TUN 开了不通:虚拟网卡建起来了,流量却被防火墙挡在外面。处理:
- 首次运行时如果弹出"是否允许该程序通过防火墙",勾上专用和公用网络都允许。
- 错过了弹窗,到「Windows Defender 防火墙 → 允许应用通过防火墙」里手动给客户端和内核打钩。
- 装了客户端的服务模式后仍不通,检查防火墙是否把那个服务进程也放行了。
放行后重开 TUN 验证(方法见 TUN 不生效排查)。如果是企业/学校统一管控的防火墙策略,可能无法自行修改,那属于网络环境限制,不在本机设置范围内。
⚠️ 免责声明:本文为开源软件使用教程,本站不提供任何节点、VPN 或机场服务。请遵守所在地区法律法规,合理合法使用网络工具。