之前我们教过大家用自建DNS的方式来全局去广告。但那只管得住外部的入侵，防不住你电脑内部安装的那些“内鬼”软件。

相信很多人都注意过这个现象：

你明明只是开着一个本地的写字板、或者某个看图软件。结果一连上网，你的网络流量监控器里就显示它们在疯狂往外发送数据。这些软件在后台偷偷运行着数据收集模块，把你的一举一动打包上传。

想用杀毒软件的防火墙去拦？那些第三方管家软件本身就是个吃内存的大户，为了防流氓去装另一个流氓，实在是不值当。

其实，Windows系统本身就自带了极其强悍的网络过滤机制（WFP接口）。我们只需要一个干净的、没有后台驻留的控制开关。

今天给大家推荐一个仅有2MB大小的开源网络杀手——Simplewall。

01.基于系统原生的物理级阻断

跟那些动辄占用几百兆内存的第三方防火墙（如Portmaster）不同，Simplewall是用纯C++写的。

它的原理极其干净：它不运行任何多余的后台常驻服务。

它是通过调用Windows系统自带的WFP（Windows过滤平台）底层接口。当你把它设置为过滤模式后，所有软件的联网请求，都会在系统最底层被它强行接管。

02.极简的“白名单”调教

第一次运行它，你可能会被它弹出的提示框刷屏。但只要经过你一天的调教，你的电脑会变得像死一般安静。

1. 开启过滤：点击主界面的“启用过滤”。
2. 按需放行：当微信或Chrome想要联网时，屏幕右下角会弹出一个极简的小框，问你“是否允许”。你点击允许，它就会被加入白名单。
3. 物理超度内鬼：至于那些你根本不知道是什么时候装上的小软件，或者是微软系统自带的各种小娜、OneDrive等遥测组件，当它们弹出联网请求时，你直接选择拒绝。

那些被你拒绝的流氓软件，在系统底层会被彻底剥夺网络发送权限。它们在你的电脑上依然可以正常打开，但它们发出的每一个字节的数据包，都会直接撞死在WFP防火墙的铁壁上，连你网卡的大门都摸不到。

获取指南： 这款软件完全免费开源，没有任何商业广告。在浏览器直接搜索Simplewall GitHub（作者是henrypp），在Release页面下载绿色单文件版。用最底层的系统接口，给你的网络出口装上一把绝对安全的铁锁。