防火墙怎么设置白名单放行端口？

防火墙白名单放行端口，本质是通过创建精准的入站规则，明确授权特定端口在指定网络环境下接受外部连接。这一操作并非简单“关闭防护”，而是依托Windows高级安全防火墙的策略引擎，结合端口号、协议类型（TCP/UDP）、适用网络配置（域/专用/公用）及可选IP范围限制，构建层次化访问控制。根据微软官方文档与Windows 11/10系统实测验证，用户可通过图形界面（wf.msc）向导新建端口规则，亦可使用PowerShell命令行执行标准化部署，全过程支持审计日志记录与规则优先级管理，确保安全策略既满足业务连通性需求，又符合最小权限原则。

一、确认目标端口与协议类型

操作前必须准确获取待放行服务所监听的端口号及传输协议。例如，Web服务器常用80（HTTP）或443（HTTPS）端口，且默认使用TCP协议；而某些远程桌面或游戏服务可能同时依赖TCP和UDP。可通过命令行执行netstat -ano | findstr :端口号，结合任务管理器查看PID对应进程，或查阅软件官方文档确认。切勿凭经验猜测端口，错误配置可能导致服务不可达或安全策略失效。

二、通过图形界面创建端口入站规则

以管理员身份运行wf.msc打开高级安全Windows防火墙，左侧导航栏点击“入站规则”，右侧选择“新建规则”。在向导中选择“端口”，点击下一步；选择“TCP”或“UDP”，若需同时开放则选“特定本地端口”，输入数字如“80,443,8080”或范围“1000-1010”；后续步骤选择“允许连接”，勾选适用网络类型（建议至少勾选“专用”，公网环境慎选“公用”），最后为规则命名，如“Web服务_HTTPS_443_TCP”，确保名称具备可追溯性。

三、使用PowerShell实现批量与精准部署

管理员权限启动PowerShell后，执行New-NetFirewallRule命令。例如放行TCP 3389端口并限定仅允许192.168.1.0/24网段访问：New-NetFirewallRule -DisplayName "RDP_LAN_Only" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.0/24 -Action Allow -Profile Private。该方式支持参数化脚本复用，适用于多台设备统一策略部署，并自动写入系统防火墙策略库，支持后续通过Get-NetFirewallRule检索验证。

四、验证与持续维护要点

规则创建后，需使用telnet 目标IP 端口或第三方端口扫描工具实测连通性；同时在“高级安全防火墙”中检查规则状态是否启用，优先级是否未被更高序号规则覆盖。建议每月审查一次入站规则列表，禁用长期未使用的旧规则，避免策略冗余积累。所有变更应记录操作时间、执行人及业务依据，便于合规审计。

综上，端口白名单不是一次性开关，而是需要端口确认、规则构建、访问限制、效果验证与周期维护的闭环管理过程。