Windows 11 防火墙例外规则类型详解
Windows 11 防火墙 (Windows Defender 防火墙) 支持多种例外规则,允许特定网络流量通过。根据规则类型,例外规则可分为以下几类:
一、应用程序规则(最常用)
允许特定应用程序或可执行文件进行网络通信:
-
完整路径规则:指定程序的完整路径(如C:Program FilesAppapp.exe),不支持通配符。
-
应用控制标记规则:使用 AppID 标记(企业环境),通过进程标记限定应用范围,无需绝对路径。
-
自动创建规则:首次运行需要网络的应用时,系统提示是否允许(管理员权限),选择 "是" 会自动创建规则。
二、端口和协议规则
针对特定网络端口和通信协议设置例外:
-
TCP/UDP 端口规则:开放特定端口(如 HTTP 的 80/TCP、HTTPS 的 443/TCP)
-
特定协议规则:支持 IP 协议号(如 ICMP=1、GRE=47)
-
端口范围规则:可设置连续端口范围(如 1000-2000/TCP)。
三、网络范围规则(IP 规则)
基于 IP 地址限制通信范围:
-
源 IP 规则:只允许来自特定 IP 或 IP 范围的流量
-
目标 IP 规则:只允许访问特定 IP 或 IP 范围
-
子网规则:使用 CIDR 表示法(如 192.168.1.0/24)限制在局域网内通信
-
动态值规则:可使用预设值(如默认网关、DHCP 服务器、DNS 服务器、本地子网)
四、预定义规则(系统默认例外)
Windows 11 预设了一些必要的例外规则以保证系统正常运行:
|
规则名称
|
作用
|
|
已建立连接响应
|
允许已建立连接的返回流量
|
|
核心 Windows 服务
|
允许系统服务(如 RPC、DNS 客户端)通信
|
|
网络发现
|
允许文件共享、打印机共享等功能
|
|
DHCP
|
允许获取 IP 地址
|
|
SSDP/UPnP
|
支持设备发现和网络即插即用
|
|
ICMP
|
允许 ping、错误报告等网络诊断
|
五、高级规则类型
-
出站规则:控制本地程序向外发起的连接(默认允许所有出站,除非被明确阻止)
-
入站规则:控制外部流量进入(默认阻止所有入站,除非被明确允许)
-
认证旁路规则:允许来自特定可信设备或用户的流量绕过防火墙(需 IPsec 保护)
-
配置文件特定规则:可针对不同网络类型(专用、公用、域)设置不同例外
六、规则组合与优先级
防火墙规则遵循以下优先级:
-
显式允许规则 > 默认阻止设置
-
显式阻止规则 > 任何冲突的允许规则
-
更具体的规则 > 较宽泛的规则(如单个 IP > IP 范围)
总结
Windows 11 防火墙例外规则主要分为:
-
应用程序规则:针对特定软件
-
端口 / 协议规则:针对网络通信端口和协议
-
IP / 网络规则:针对特定网络范围
-
系统预定义规则:保证基本网络功能
提示:创建例外规则时,应遵循 "最小权限原则",仅为必要应用开放必要的网络权限,避免过度开放造成安全风险。
若需查看当前已设置的所有例外规则,可在 Windows 安全中心→防火墙和网络保护→高级设置中查看完整规则列表。
|
赣公网安备 36082102000008号