Windows 防火墙入站和出站规则小结

一、核心概念

1. 入站规则 (Inbound Rules)

控制外部到本机的连接
例如：远程桌面、Web服务器、文件共享等
默认策略：阻止所有入站连接（除非明确允许）

2. 出站规则 (Outbound Rules)

控制本机到外部的连接
例如：浏览器访问网页、程序更新、邮件发送等
默认策略：允许所有出站连接（除非明确阻止）

二、规则配置要素

要素	说明
规则类型	程序/端口/预定义/自定义
程序路径	限制特定应用程序（如 `C:\Program Files\App\app.exe`）
协议/端口	TCP/UDP，端口或范围（如 80、443、3389）
作用域	限制IP地址（如仅允许局域网 `192.168.1.0/24`）
操作	允许/阻止/允许安全连接（IPSec）
配置文件	域/专用/公用网络
启用状态	规则是否生效

三、常用规则示例

入站规则场景：

开放远程桌面

端口：TCP 3389
作用域：可限制为管理员IP

允许Ping（ICMPv4）

预定义规则：文件和打印机共享(回显请求 - ICMPv4-In)

Web服务器

端口：TCP 80, 443

文件共享

端口：TCP 445, UDP 137-138, TCP 139

出站规则场景：

禁止某程序联网

规则类型：程序路径 → 阻止

限制访问特定IP

作用域：目标IP → 阻止

仅允许访问内网

默认出站规则设为阻止，再添加允许内网段规则

四、命令行管理（netsh advfirewall）

# 查看所有规则
netsh advfirewall firewall show rule name=all

# 添加入站规则（允许80端口）
netsh advfirewall firewall add rule name="HTTP" dir=in action=allow protocol=TCP localport=80

# 添加出站规则（阻止某程序）
netsh advfirewall firewall add rule name="BlockApp" dir=out action=block program="C:\App\app.exe"

# 启用/禁用规则
netsh advfirewall firewall set rule name="规则名" new enable=yes/no

# 删除规则
netsh advfirewall firewall delete rule name="规则名"

五、最佳实践建议

最小权限原则：只开放必要的端口/IP 按需启用配置文件：公用网络使用更严格规则 程序规则优先于端口规则：更精确可控 记录日志：在高级设置中启用日志（%systemroot%\system32\LogFiles\Firewall\） 定期审核规则：清理无效规则 组策略整合：域环境使用组策略集中管理（gpedit.msc → 计算机配置 → 安全设置 → 高级安全Windows防火墙）