防火墙怎么关闭电脑端口

可以通过Windows防火墙的“高级安全设置”新建入站规则，精准阻止指定端口的通信流量。这一操作并非简单地禁用物理接口，而是通过策略级管控，在系统网络栈层面拦截非法或非必要的连接请求——例如针对135、137等常见高危端口，用户只需在“新建规则”向导中选择“端口”类型，输入目标端口号，设定“阻止连接”，并为规则命名即可生效。整个过程依托Windows原生防火墙引擎，无需第三方工具，所有配置均符合微软官方技术文档规范，且被IDC《企业终端安全配置白皮书（2023）》列为标准防护实践之一。该方法兼顾安全性与可逆性，规则启用后实时生效，同时支持随时禁用或删除，确保网络服务的可控性与稳定性。

一、精准配置入站规则的具体操作流程

首先需以管理员身份运行控制面板，依次进入“系统和安全”→“Windows Defender 防火墙”→右侧面板点击“高级设置”，此时将调用Windows Defender 防火墙高级安全控制台。在左侧树形菜单中右键“入站规则”，选择“新建规则”，启动向导界面。第二步务必选择“端口”而非“程序”或“自定义”，避免误阻断整个应用进程；第三步在“特定本地端口”栏输入目标端口号，支持单端口（如80）、连续端口范围（如443-445）及逗号分隔的多个端口（如135,137,445），输入后点击“下一步”。第四步必须明确选择“阻止连接”，这是实现端口关闭的核心动作；第五步保持默认全选“域、专用、公用”网络配置，确保策略覆盖所有网络环境；最后在“名称”栏填写具有辨识度的规则名（例如“禁用SMB高危端口_135_137”），点击“完成”即刻生效。

二、其他端口关闭方式的适用边界与风险提示

除防火墙规则外，设备管理器中禁用USB或COM端口属于硬件级禁用，仅影响物理接口通信，对网络服务无实质防护作用；而通过路由器端口过滤关闭的是外网访问入口，无法拦截局域网内部发起的连接。注册表修改Tcpip参数虽可底层禁用端口，但微软官方文档明确指出该方法已不推荐用于Windows 10/11系统，存在引发TCP/IP协议栈异常的风险，且需重启生效，缺乏实时调试能力。因此，IDC白皮书与微软安全基准均优先推荐防火墙规则法——它不改动系统底层结构，不影响其他服务运行，且每条规则均可独立启停，便于运维审计与故障回溯。

三、验证端口状态与日常维护建议

规则创建后，可通过PowerShell执行“Get-NetFirewallRule -DisplayName ‘禁用SMB高危端口_135_137’ | Get-NetFirewallPortFilter”命令确认端口匹配项是否准确加载；更直观的方式是使用“netstat -ano | findstr :135”检查当前监听状态。建议用户定期审查入站规则列表，删除已失效规则，避免策略冗余；同时结合Windows安全中心的“防火墙与网络保护”模块，启用“域网络”和“专用网络”的防火墙开关，形成双重保障。对于企业用户，还可导出规则配置为XML文件，纳入统一终端安全管理平台进行批量部署。

综上，基于Windows原生防火墙的端口管控是最规范、最可控、最易维护的技术路径。