欢迎来到8455线路检测中心技术小课堂。

一、防火墙基础概念

Windows Defender防火墙是系统内置的网络访问控制系统，通过入站和出站规则控制网络流量。入站规则管理外部对本机的访问（如远程连接、文件共享），出站规则控制本机程序对外部网络的访问（如浏览器上网、软件更新）。默认情况下，Windows允许大多数出站连接，但会阻止未授权的入站请求。

二、打开防火墙设置

方法1：控制面板

打开控制面板 → 系统和安全 → Windows Defender防火墙

方法2：搜索

在任务栏搜索框中输入"防火墙" → 选择"Windows防火墙"

方法3：高级安全设置

在防火墙界面点击"高级设置"

或运行wf.msc命令直接打开"高级安全Windows Defender防火墙"

三、入站规则配置

1. 创建入站规则

打开"高级安全Windows Defender防火墙"

左侧选择"入站规则" → 右侧点击"新建规则"

选择规则类型： 程序：针对特定程序 端口：针对特定端口 预定义：使用系统预定义规则 自定义：完全自定义规则

2. 端口入站规则示例（开放80端口）

规则类型选择"端口"

协议选择TCP，输入本地端口80

操作选择"允许连接"

配置文件勾选适用的网络类型（域/专用/公用）

输入规则名称（如"允许HTTP 80端口"）

3. 程序入站规则示例

规则类型选择"程序"

指定程序路径（如C:\\\\Program Files\\\\MySQL\\\\bin\\\\mysqld.exe）

操作选择"允许连接"

配置文件根据需要勾选

命名规则（如"允许MySQL入站连接"）

四、出站规则配置

1. 创建出站规则

在"高级安全Windows Defender防火墙"中选择"出站规则"

点击"新建规则"

选择规则类型（程序/端口/自定义）

配置规则属性

2. 阻止程序联网示例

规则类型选择"程序"

指定程序路径

操作选择"阻止连接"

配置文件勾选所有网络类型

命名规则（如"阻止QQ联网"）

3. 阻止访问特定端口示例

规则类型选择"端口"

协议选择TCP，输入远程端口80

操作选择"阻止连接"

配置文件根据需要勾选

命名规则（如"阻止访问外网80端口"）

五、基于IP地址的过滤

1. 阻止访问特定IP

创建出站规则，类型选择"自定义"

在"作用域"设置中，远程IP地址填写目标IP（支持单个IP或地址段）

操作选择"阻止连接"

命名规则（如"阻止访问192.168.1.100"）

2. 限制局域网访问

创建入站/出站规则

在"作用域"中设置本地IP或远程IP为局域网网段（如192.168.1.0/24）

操作选择"允许连接"

创建另一条规则阻止其他所有连接

六、命令行管理防火墙

1. netsh命令

# 查看防火墙状态
netsh advfirewall show allprofiles

# 启用防火墙
netsh advfirewall set allprofiles state on

# 禁用防火墙
netsh advfirewall set allprofiles state off

# 查看允许的程序
netsh firewall show allowedprogram

# 查看端口开放
netsh firewall show portopening

2. 命令行添加规则

# 添加入站规则（允许TCP 80端口）
netsh advfirewall firewall add rule name="允许HTTP 80端口" dir=in action=allow protocol=TCP localport=80

# 添加出站规则（阻止程序联网）
netsh advfirewall firewall add rule name="阻止QQ联网" dir=out action=block program="C:\\\\Program Files\\\\Tencent\\\\QQ\\\\Bin\\\\QQ.exe"

# 删除规则
netsh advfirewall firewall delete rule name="规则名称"

3. PowerShell命令

# 查看防火墙状态
Get-NetFirewallProfile

# 启用防火墙
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

# 添加防火墙规则
New-NetFirewallRule -DisplayName "允许HTTP 80端口" -Profile 'Private' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 80

七、端口开启与关闭

1. 通过防火墙开启端口

打开"高级安全Windows Defender防火墙"

选择"入站规则" → "新建规则"

类型选择"端口"

输入要开放的端口号

操作选择"允许连接"

配置文件勾选适用的网络类型

2. 通过防火墙关闭端口

创建入站规则

类型选择"端口"

输入要关闭的端口号

操作选择"阻止连接"

配置文件根据需要勾选

3. 命令行开启端口

# 开启TCP 80端口
netsh advfirewall firewall add rule name="开放80端口" dir=in action=allow protocol=TCP localport=80

# 关闭端口（删除规则）
netsh advfirewall firewall delete rule name="开放80端口"

八、高级安全配置

1. 高级安全设置

在"高级安全Windows Defender防火墙"中可以配置： 连接安全规则（IPsec） 监视器（查看防火墙活动） 导入/导出策略 重置为默认策略

2. 重置防火墙

在"高级安全Windows Defender防火墙"右侧"操作"窗格中点击"恢复默认策略"，可将防火墙重置为默认状态

3. 配置文件管理

域配置文件：连接到域网络时的设置

专用配置文件：家庭或工作网络

公用配置文件：公共网络（如咖啡厅、机场）

可以为每个配置文件设置不同的安全级别

九、实用配置示例

1. 开放远程桌面（3389端口）

# 命令行开放3389端口
netsh advfirewall firewall add rule name="远程桌面" dir=in action=allow protocol=TCP localport=3389

# 建议仅允许专用网络
netsh advfirewall firewall add rule name="远程桌面专用" dir=in action=allow protocol=TCP localport=3389 profile=private

2. 阻止ICMP（禁止PING）

# 阻止ICMP入站
netsh advfirewall firewall add rule name="阻止PING" dir=in action=block protocol=ICMPv4

# 或通过高级设置创建ICMP规则

3. 仅允许特定程序访问局域网

# 允许程序访问192.168.1.0/24网段
netsh advfirewall firewall add rule name="允许程序访问局域网" dir=out action=allow program="C:\\\\Program Files\\\\App\\\\app.exe" remoteip=192.168.1.0/24

# 阻止该程序访问其他网络
netsh advfirewall firewall add rule name="阻止程序访问外网" dir=out action=block program="C:\\\\Program Files\\\\App\\\\app.exe"

8455线路检测中心官网上拥有完善的技术支持库可供参考，大家可自行查阅，更多技术问题，可以直接咨询。同时，8455线路检测中心整理了运维必备的工具包免费分享给大家使用，需要的朋友可以直接咨询。

更多技术知识，8455线路检测中心期待与你一起探索。