Windows防火墙入站规则控制外部访问本机,默认拒绝;出站规则控制本机对外连接,默认允许;二者独立配置、不可替代,需按网络类型、作用域和启用状态仔细设置。
windows防火墙的入站规则和出站规则需分别配置,二者作用方向不同、默认策略不同,手动设置时不能互相替代。
入站规则:控制外部设备访问本机
入站规则决定“谁可以连上你的电脑”,比如别人ping你、远程桌面连接、共享文件夹被访问等。默认情况下,Windows防火墙对入站连接是默认拒绝(即除非明确放行,否则全部拦截)。
- 打开控制面板 → Windows Defender 防火墙 → 高级设置 → 入站规则
- 右键“新建规则”可按程序、端口、预定义服务或自定义方式创建
- 常见场景举例:开放TCP 3389端口允许远程桌面,需新建端口规则并勾选“允许连接”
- 注意规则作用域——若只希望局域网内可访问,应在“作用域”页中限定本地IP范围,避免暴露到公网
出站规则:控制本机向外发起的连接
出站规则管理“你的电脑能主动连哪些地方”,例如浏览器访问网站、软件自动更新、游戏连服务器等。默认策略是默认允许(即不设规则就全放行),所以多数用户无需额外配置,但企业环境或高安全需求下会启用限制。
- 路径同上,但点击“出站规则”再新建
- 典型用途:禁止某程序联网(如阻止某后台工具上传数据),选择“程序”类型,指定exe路径,动作为“阻止连接”
- 若同时设置了入站和出站规则,它们独立生效,互不影响;比如允许某端口入站,但禁止本机通过该端口出站,依然有效
配置前的关键确认点
避免误配导致断网或服务不可用,动手前建议确认以下几项:
- 确认当前使用的是“域”、“专用”还是“公用”网络配置文件,规则可按配置文件单独启用/禁用
- 检查规则是否已启用——新建规则默认启用,但有时会被手动关闭(右侧“启用规则”列显示“否”)
- 优先使用“预定义规则”(如“文件和打印机共享”),比手动设端口更稳妥,因它已适配相关服务依赖
- 测试规则效果:入站可用另一台电脑尝试连接;出站可临时禁用某程序后观察其网络行为是否中断
注意事项与常见误区
不少用户混淆规则方向或忽略上下文,导致配置无效:
- “开了80端口入站,但网页打不开”?可能是IIS/Apache没运行,或被第三方安全软件拦截,防火墙只是其中一环
- 修改规则后无需重启,生效即时;但若涉及系统服务(如Windows Firewall服务),异常时可尝试在服务管理器中重启该服务
- 组策略(gpedit.msc)或Intune等集中管理工具可能覆盖本地防火墙设置,此时控制面板中的更改会被忽略
- 家庭版Windows无“高级安全Windows Defender防火墙”完整界面,需通过PowerShell命令(如New-NetFirewallRule)实现部分高级配置
