win11防火墙添加白名单在哪设置

Windows 11 中添加防火墙白名单，核心路径有三：一是通过 Windows 安全中心“允许应用通过防火墙”界面快速勾选常用程序；二是借助高级安全 Windows 防火墙（wf.msc）新建基于可执行文件路径的入站或出站规则，支持精确控制联网行为；三是以管理员权限运行 wf.msc 后创建自定义规则，在“作用域”中指定可信 IP 地址段，实现网络层精准放行。这三种方式均源自微软官方架构设计，符合 Windows Defender 防火墙策略规范，操作过程全程可视化、可审计，且每项设置均同步记录于本地安全策略数据库，确保合规性与可追溯性。实际应用中，普通用户推荐首选安全中心入口，专业用户则可结合 wf.msc 实现更细粒度的访问控制。

一、通过Windows安全中心添加应用级白名单

这是最直观、最友好的入门方式，适合绝大多数家庭用户与办公场景。操作时需确保当前账户具备管理员权限：先按Win+S打开搜索，输入“Windows安全”并启动应用；进入左侧导航栏的“防火墙和网络保护”，点击右侧“允许应用通过防火墙”；此时需点击“更改设置”按钮（系统会提示UAC确认）；在列表中找到目标程序（如QQ、迅雷、Steam等），勾选其对应“专用”或“公用”网络前的复选框；若程序未出现在列表中，点击“允许其他应用…”按钮，手动浏览至其安装目录下的主程序.exe文件（例如C:\Program Files\WeChat\WeChat.exe），添加后同样勾选网络类型。该方式仅控制程序整体联网权限，不区分端口或IP，但设置即时生效，无需重启服务。

二、使用wf.msc创建基于程序路径的规则

此方法适用于需长期稳定运行且路径固定的本地应用，如数据库服务、NAS同步工具或开发环境中的本地服务器。以管理员身份按Win+R，输入wf.msc回车，打开高级安全Windows防火墙；在左侧面板选择“入站规则”或“出站规则”，右键空白处点击“新建规则…”；在向导中选择“程序”，点击“浏览”定位到目标.exe完整路径；下一步选择“允许连接”，再根据实际网络环境勾选“域”“专用”“公用”配置文件；最后为规则命名（建议包含程序名与用途，如“WeChat-允许出站”），完成创建。该规则将严格绑定可执行文件哈希与路径，即使程序更新版本，只要路径不变，策略仍持续有效。

三、配置IP地址白名单实现网络层精准放行

当需要允许特定设备或服务端IP访问本机某端口（如远程桌面3389、Web服务80端口）时，必须采用自定义规则。同样以管理员身份运行wf.msc，进入“入站规则”→“新建规则…”；选择“自定义”，协议类型设为TCP或UDP，端口处填写具体端口号或端口范围；关键步骤在“作用域”页面——点击“下列IP地址”，在“远程IP地址”区域点击“添加”，输入单个IP（如192.168.1.100）、IP范围（192.168.1.50-192.168.1.99）或子网（192.168.1.0/24）；后续保持“允许连接”，勾选适用配置文件，命名保存即可。该规则独立于程序识别，纯粹依据网络五元组匹配，安全性与灵活性兼备。

综上，三种路径各司其职：安全中心面向效率，wf.msc程序规则强化可控性，IP白名单则支撑专业组网需求。用户应依实际场景择优组合使用。