Windows系统防火墙策略配置指南
操作概述
Windows 防火墙是系统内置的安全屏障,通过灵活的策略配置,您可以有效控制入站与出站流量。下表概述了三种核心功能及其适用场景,后续章节将提供详细配置步骤。本文以 Windows Server 2022 为例。
| 功能 | 说明 |
|---|---|
| 允许程序或功能通过防火墙 | 为特定应用程序或服务开启入站连接,确保其正常工作(例如文件共享、即时通讯软件)。 |
| 允许或禁止访问特定本地端口 | 限制外部对指定端口的访问,减少攻击面(例如禁止 FTP 默认的 21 端口)。 |
| 允许或禁止特定 IP 地址访问 | 基于 IP 地址或地址段精准控制访问权限,提升安全性。 |
功能一:允许程序或功能通过 Windows 防火墙
- 使用 VNC 方式登录 Windows 实例。
- 依次点击 开始 → 控制面板 → 系统和安全 → Windows Defender 防火墙。
- 点击左侧 允许应用或功能通过 Windows Defender 防火墙。

- 点击 允许其他应用 按钮。
- 在 添加应用 窗口的 应用(P) 列表中,双击目标程序。若未列出,可点击 浏览 在文件系统中找到
.exe文件并双击。 -
确认后该程序即被放行。

功能二:允许或禁止访问特定的本地端口
- 登录 Windows 实例后,进入 Windows Defender 防火墙 → 高级设置。

- 在左侧控制树中点击 入站规则,然后点击右侧 新建规则。

- 规则类型选择 端口,点击 下一步。

- 协议和端口:选择 TCP 或 UDP,勾选 特定本地端口(S),输入端口号(如
8080),点击 下一步。

- 操作:选择 阻止连接 或 允许连接,点击 下一步。

- 配置文件:根据需求勾选 域、专用、公用,点击 下一步。
- 名称:输入规则名称(如“禁止 8080 端口”)及描述,点击 完成。
功能三:允许或禁止特定 IP 地址的访问
您可以通过设置 作用域 来限定规则生效的远程 IP 地址,支持对已有规则修改或新建规则时配置。
方式一:为已有规则设置作用域
- 进入 Windows Defender 防火墙 → 高级设置 → 入站规则。

- 找到目标规则,右键单击 → 属性。

- 切换到 作用域 选项卡,在 远程 IP 地址 区域选择 下列 IP 地址,点击 添加。

- 输入 IP 地址或 CIDR 地址段(例如
192.168.1.100或10.0.0.0/24),点击 确定。

- 确认后该规则仅对指定 IP 生效。
方式二:创建新规则并设置作用域

- 在 入站规则 中点击 新建规则。

- 规则类型选择 自定义,点击 下一步。

- 程序:选择 所有程序 或指定程序路径,点击 下一步。

- 协议和端口:按需配置协议与端口,点击 下一步。

- 作用域:在 此规则应用于哪些远程 IP 地址? 下选择 下列 IP 地址,点击 添加

输入地址段,点击 确定 → 下一步。

- 操作:选择 阻止连接 或 允许连接,点击 下一步。

- 配置文件:选择合适的作用域,点击 下一步。
- 名称:输入规则名称和描述,点击 完成。
通过以上三种策略的灵活组合,您可以构建符合业务需求的 Windows 防火墙安全体系。