需在windows 10高级安全防火墙中创建显式拒绝规则来阻止特定ip入站连接,可通过图形界面新建自定义入站规则、使用netsh命令行批量添加阻断规则,或编辑现有规则叠加高优先级阻止策略实现。
如果您希望阻止来自特定IP地址的入站连接,防止其访问本机服务或发起攻击,则需在Windows 10高级安全防火墙中创建显式拒绝规则。以下是实现该目标的具体操作步骤:
一、通过图形界面创建阻止特定IP的入站规则
该方法使用“高级安全Windows Defender防火墙”图形向导,以自定义规则形式精准拦截指定IP地址的全部入站流量,适用于单个或少量IP的阻断需求。规则生效后,来自该IP的所有TCP/UDP入站请求将被直接丢弃。
1、按Win + S打开搜索栏,输入“高级安全Windows防火墙”,右键选择“以管理员身份运行”。
2、在左侧面板中点击“入站规则”,右侧空白处点击“新建规则…”。
3、在向导中选择“自定义”,点击“下一步”。
4、在“协议和端口”页面保持默认设置(即“任何”),点击“下一步”。
5、在“作用域”页面,点击“下列IP地址”,再点击“添加…”。
6、在弹出窗口中选择“此IP地址”,输入需阻止的单个IPv4地址(如192.168.1.200),点击“确定”后继续“下一步”。
7、在“操作”页面选择“阻止连接”,点击“下一步”。
8、在“配置文件”页面,根据实际网络环境勾选专用、公用或域(建议至少勾选当前所用网络类型),点击“下一步”。
9、在“名称”栏中输入清晰标识的规则名,例如Block-IP-192.168.1.200,可选填写描述,点击“完成”。
二、使用netsh命令行批量阻止多个IP地址
该方法适用于需一次性屏蔽多个IP地址的场景,通过命令行调用netsh工具创建多条独立阻止规则,避免逐条图形化操作,支持脚本复用与快速部署。
1、以管理员身份运行Windows PowerShell(非普通用户权限)。
2、执行以下命令阻止单个IP(示例:192.168.1.100):
netsh advfirewall firewall add rule name="Block-IP-192.168.1.100" dir=in action=block protocol=any remoteip=192.168.1.100
3、执行以下命令阻止多个离散IP(示例:192.168.1.101,192.168.1.102,192.168.1.103):
netsh advfirewall firewall add rule name="Block-Multi-IPs" dir=in action=block protocol=any remoteip=192.168.1.101,192.168.1.102,192.168.1.103
4、执行以下命令阻止连续IP段(示例:192.168.1.200–192.168.1.210):
netsh advfirewall firewall add rule name="Block-IP-Range" dir=in action=block protocol=any remoteip=192.168.1.200-192.168.1.210
5、验证规则是否创建成功,运行:
netsh advfirewall firewall show rule name="Block-IP-192.168.1.100"
三、通过高级安全防火墙编辑现有规则实现IP级阻断
若已存在允许某服务(如Web服务器)的入站规则,但需对其中特定IP实施例外性拦截,可通过修改规则作用域并叠加更高优先级的阻止规则来实现。Windows防火墙遵循“显式阻止规则优先于允许规则”的策略顺序,确保拦截有效。
1、在“高级安全Windows Defender防火墙”中,展开左侧“入站规则”,在右侧列表中找到目标允许规则(如“Allow-Web-80”),右键选择“属性”。
2、切换至“作用域”选项卡,确认“远程IP地址”设置为“任何IP地址”或包含待阻止IP的范围。
3、返回主界面,在“入站规则”上右键→“新建规则…”→选择“自定义”→“协议和端口”页保持默认→进入“作用域”页。
4、在“远程IP地址”区域点击“下列IP地址”→“添加…”→输入需单独拦截的IP地址→点击“确定”。
5、后续步骤中选择“阻止连接”,并确保该新规则的名称排序靠前(如以A开头),以保障其策略优先级高于原有允许规则。
