防火墙应该怎样设置才允许远程桌面？

要让远程桌面正常连接，必须在防火墙中明确放行远程桌面服务所依赖的通信端口与程序。Windows系统默认使用TCP 3389端口承载RDP协议，因此需通过Windows Defender防火墙的“允许应用或功能”界面直接启用“远程桌面”，或在高级安全设置中新建一条针对该端口的入站规则，确保其覆盖专用、公用及域网络类型；若已修改为自定义端口（如6111），则须同步更新注册表配置并对应开放新端口。同时，规则状态必须为启用，且Remote Desktop Services等核心服务需处于自动启动并正在运行状态——这些环节环环相扣，缺一不可，共同构成远程访问的安全通路。

一、通过基础界面快速放行远程桌面

打开控制面板，依次进入“系统和安全”→“Windows Defender防火墙”→“允许应用或功能通过Windows Defender防火墙”，点击右上角“更改设置”获取编辑权限。在应用列表中找到“远程桌面”，勾选“专用”网络类型；若需在外网环境使用，还需同步勾选“公用”网络类型。此操作本质是启用系统预置的“RemoteDesktop-UserMode-In-TCP”规则组，它自动关联3389端口及所需服务进程，适合大多数家庭与小型办公场景，无需手动配置端口细节，但仅适用于未修改默认端口的情形。

二、使用高级安全设置精准控制入站规则

若需更高可控性或已变更RDP端口，应进入“高级安全Windows Defender防火墙”。点击左侧“入站规则”，选择“新建规则”，类型选“端口”，协议选TCP，输入具体端口号（如默认3389或自定义6111）。在“操作”页选择“允许连接”，“配置文件”页务必勾选“域”“专用”“公用”全部三项，确保全网络环境生效。命名建议包含端口号与用途，例如“RDP-TCP-3389-Allow”，便于后期核查与管理。该方式可避免因系统更新导致预置规则失效的风险，也支持按IP地址范围进一步限制访问来源。

三、验证与协同配置不可遗漏

完成防火墙设置后，必须同步确认三项关键状态：其一，在服务管理器中检查“Remote Desktop Services”“Remote Desktop Configuration”及“UserMode Port Redirector”三项服务是否均为“正在运行”且启动类型设为“自动”；其二，在“系统属性→远程设置”中确认已勾选“允许远程连接到此计算机”，并根据客户端版本决定是否启用NLA；其三，若部署于企业网络或公网，还需在路由器或边界防火墙（如天融信设备）中配置对应端口的NAT映射与安全策略，确保流量能逐层穿透至目标主机。

远程桌面的连通性依赖防火墙、服务、协议与网络路径的协同生效，任一环节配置疏漏都会导致连接中断。