防火墙怎么添加白名单端口

在 Windows 系统中，为防火墙添加白名单端口最规范、最可控的方式是通过「高级安全 Windows 防火墙」新建一条基于端口的入站规则。该方法直接作用于网络层，支持精确指定 TCP 或 UDP 协议类型、单一或多个本地端口号，并可按需限定生效范围（专用网络/公用网络/域网络），既满足开发调试、远程服务、局域网共享等实际需求，又严格遵循最小权限原则——仅开放必要通信通道，不干扰其他安全策略。整个流程无需第三方工具，全部依托系统原生组件完成，所有规则均被记录于 Windows Defender 防火墙引擎中，与系统更新及安全中心界面实时同步，具备完整可审计性与企业级部署兼容性。

一、打开高级安全防火墙管理控制台

按 Win + R 组合键调出“运行”窗口，输入 wf.msc 并回车，系统将启动「高级安全 Windows 防火墙」管理控制台。该界面是 Windows 防火墙策略的底层配置入口，所有规则均以结构化方式呈现，支持实时编辑、启用/禁用及导出备份。注意必须以管理员身份运行，否则新建规则操作会被拒绝；若弹出用户账户控制（UAC）提示，请确认允许。

二、创建端口型入站规则

在左侧导航栏中点击“入站规则”，右侧空白区域点击“新建规则…”启动向导。第一步选择“端口”，不可误选“程序”或“自定义”——前者仅适用于已知可执行文件路径，后者需额外配置作用域与协议细节，易引入冗余步骤。点击“下一步”后，在协议类型页明确勾选 TCP 或 UDP；如需同时开放两类协议，须分别创建两条规则。在“特定本地端口”栏中，可输入单个端口号（如 3389）、连续端口范围（如 8000-8010）或逗号分隔的多个端口（如 22,80,443），系统将自动校验格式合法性。

三、配置连接行为与网络适用范围

选择“允许连接”作为操作动作，确保不勾选“允许连接如果它已通过身份验证”等增强选项，避免因认证机制缺失导致规则失效。进入“配置文件”页面时，务必根据实际部署场景审慎勾选：局域网内服务（如 NAS 共享、Home Assistant）仅需启用“专用”；面向互联网的服务（如 Web 服务器）若确需公网访问，才勾选“公用”，但强烈建议同步配置 IP 作用域限制以降低暴露面。最后在“名称”栏填写具有业务含义的标识，例如“Docker API 端口 2375 TCP”，便于后续排查与策略审计。

四、验证与维护要点

规则创建完成后，可在“入站规则”列表中查找刚命名的条目，右键选择“属性”查看完整配置。为验证生效状态，可在另一台设备使用 telnet 或 PowerShell 的 Test-NetConnection 命令测试目标端口连通性。日常维护中，应定期审查规则列表，禁用长期未使用的端口规则，并通过“导出策略”功能备份当前配置，防止系统重装或策略异常覆盖造成服务中断。

综上，端口白名单并非简单放行，而是基于网络角色、协议特性与访问范围的精细化策略部署。