手把手教你防火墙怎么设置入站规则？

Windows防火墙入站规则的设置，本质是为系统构建一道精准可控的网络访问闸门。用户可通过“高级安全Windows Defender防火墙”（wf.msc）进入管理界面，在“入站规则”中依需选择程序路径、特定端口、预定义服务或自定义条件（如限定IP范围与协议类型），继而明确设定“允许连接”“阻止连接”或“允许安全连接”等操作策略，并为域、专用、公用三类网络配置文件分别启用——这一过程既依托图形化向导降低操作门槛，也支持netsh命令行实现批量部署与版本化管理，所有配置均基于Windows原生安全框架，符合微软官方技术规范与企业级部署实践标准。

一、图形界面创建入站规则的具体操作流程

打开“运行”窗口（Win + R），输入wf.msc回车，进入高级安全控制台；左侧导航栏点击“入站规则”，右侧点击“新建规则”，启动向导。第一步选择规则类型：若需限制某软件被外部访问，选“程序”，再通过“此程序路径”定位其主执行文件（如WeChat.exe）；若需开放Web服务，则选“端口”，协议选TCP，输入80或443；若需精细管控，选“自定义”，后续可在“作用域”中指定远程IP地址段（如仅允许192.168.1.0/24网段访问）。第二步设置操作，明确选择“允许连接”（如放行远程桌面3389端口）或“阻止连接”（如封禁未知远程管理工具的5900端口）。第三步勾选适用网络配置文件——建议至少启用“专用”网络，公共网络默认保持严格限制。最后输入具有业务识别度的名称（如“允许内网SSH_22_TCP_专用”）与简要描述，完成创建。

二、命令行方式实现高效批量配置

对IT运维人员或需部署多台设备的场景，推荐使用netsh命令替代手动点击。以管理员身份运行PowerShell，执行：netsh advfirewall firewall add rule name="禁止迅雷监听_入站" dir=in action=block protocol=TCP localport=8080,8081 enable=yes profile=private,domain。该命令精准屏蔽迅雷在专用与域网络下对8080–8081端口的监听行为。验证是否生效，可运行netsh advfirewall firewall show rule name="禁止迅雷监听_入站"。若需删除，仅需将add替换为delete。所有命令均支持脚本封装，便于纳入系统初始化流程。

三、规则生效前的关键验证动作

配置完成后，不可直接认定防护已就绪。应结合netstat -ano命令查看对应端口是否仍处于LISTENING状态；用另一台局域网设备尝试telnet 目标IP 端口号，确认连接被拒绝；同时检查Windows安全中心通知中心，确认无“防火墙阻止了某应用”的误报提示。若发现异常，可通过“入站规则”列表右键启用/禁用单条规则快速回溯。

综上，入站规则不是一次性开关，而是需结合应用场景、网络环境与服务依赖持续调优的安全策略集合。