Windows 10 系统防火墙默认入站规则全解析
Windows 10 防火墙 (Windows Defender Firewall) 默认采用 "阻止所有入站连接,除非明确允许" 的策略。以下是按功能分类的默认入站规则完整列表:
一、核心网络服务规则(默认启用)
|
规则名称
|
协议 / 端口
|
适用网络
|
作用
|
|
文件和打印机共享 (SMB-In)
|
TCP 445
|
专用、域
|
允许文件共享和打印机访问
|
|
网络发现 (UPnP-In)
|
UDP 1900, TCP 5000
|
专用
|
允许设备在局域网中互相发现
|
|
网络发现 (SSDP-In)
|
UDP 1900
|
专用
|
支持简单服务发现协议
|
|
网络发现 (LLMNR-UDP-In)
|
UDP 5355
|
专用
|
支持本地网络名称解析
|
|
网络发现 (NBT-In)
|
TCP/UDP 137-139
|
专用
|
支持 NetBIOS 名称解析
|
|
远程过程调用 (RPC-EPMap-In)
|
TCP 135
|
所有
|
允许远程过程调用服务
|
|
DNS 服务器 (DNS-In)
|
UDP 53
|
所有
|
允许 DNS 查询响应
|
|
DHCP 服务器 (DHCPv4-Server-In)
|
UDP 67
|
所有
|
允许 DHCP 服务器响应
|
二、远程管理与控制规则
|
规则名称
|
协议 / 端口
|
适用网络
|
作用
|
|
远程桌面 (TCP-In)
|
TCP 3389
|
专用、域
|
允许远程桌面连接 (RDP)
|
|
远程协助 (RA-In)
|
TCP 3389
|
专用
|
允许远程协助会话
|
|
WinRM-HTTP-In
|
TCP 5985
|
专用、域
|
Windows 远程管理 (HTTP)
|
|
WinRM-HTTPS-In
|
TCP 5986
|
专用、域
|
Windows 远程管理 (HTTPS)
|
|
PowerShell 远程管理 (TCP-In)
|
TCP 5985/5986
|
专用、域
|
允许 PowerShell 远程执行
|
|
Windows Management Instrumentation(WMI-In)
|
TCP 135, 49664-49683
|
专用、域
|
支持系统管理查询
|
三、系统服务与应用支持规则
|
规则名称
|
协议 / 端口
|
适用网络
|
作用
|
|
Windows 时间服务 (NTP-UDP-In)
|
UDP 123
|
所有
|
允许时间同步
|
|
Windows 更新服务 (Background Intelligent Transfer)
|
TCP 80, 443
|
所有
|
允许系统更新下载
|
|
Windows 诊断服务 (Diagnostic Policy Service)
|
TCP 135
|
所有
|
支持系统诊断和问题排查
|
|
Windows 错误报告
|
TCP 5223, 443
|
所有
|
允许错误报告提交
|
|
Windows Defender Antivirus 定义更新
|
TCP 80, 443
|
所有
|
允许病毒定义更新
|
|
Windows 事件收集 (Event Collector-In)
|
TCP 5985/5986
|
专用、域
|
允许事件日志远程收集
|
|
SSDP 发现响应
|
UDP 1900
|
专用
|
支持设备发现协议
|
四、ICMP 与网络诊断规则
|
规则名称
|
协议 / 类型
|
适用网络
|
作用
|
|
允许 ICMPv4 回显请求 (In)
|
ICMPv4 类型 8
|
专用、域
|
允许 ping 命令响应
|
|
允许 ICMPv4 路由器请求
|
ICMPv4 类型 10
|
所有
|
支持网络路由发现
|
|
允许 ICMPv4 重定向
|
ICMPv4 类型 5
|
所有
|
支持网络路径优化
|
|
允许 ICMPv4 时间戳请求
|
ICMPv4 类型 13
|
专用
|
支持网络诊断
|
|
阻止 ICMPv4 碎片需要
|
ICMPv4 类型 3, 代码 4
|
所有
|
防止碎片攻击
|
五、特殊场景规则
|
规则名称
|
协议 / 端口
|
适用网络
|
作用
|
|
远程桌面防火墙例外
|
TCP 3389
|
公用 (受限)
|
仅允许已授权设备访问
|
|
媒体流 (WSD-In)
|
TCP 5357
|
专用
|
支持媒体设备发现和流传输
|
|
家庭组 (HomeGroup)
|
多个端口
|
专用
|
支持家庭组文件和打印机共享
|
|
分布式文件系统 (DFS)
|
TCP 445, 2102
|
专用、域
|
支持分布式文件系统访问
|
六、默认规则行为说明
-
默认策略:所有网络配置文件 (域、专用、公用) 默认设置为 "阻止所有入站连接"(Block default),除非匹配允许规则
-
规则优先级:
-
显式允许规则 > 默认阻止设置
-
显式阻止规则 > 任何冲突的允许规则
-
更具体的规则 > 较通用的规则
-
网络配置文件差异:
-
公用网络:最严格,仅开放基本网络服务,禁用文件共享和远程管理
-
专用网络:较宽松,开放完整的网络发现和共享功能
-
域网络:根据域策略配置,通常与专用网络类似但更严格
七、查看与管理默认规则
-
查看所有入站规则:
-
Win+R → 输入wf.msc → 高级安全 Windows Defender 防火墙 → 入站规则
-
命令行:netsh advfirewall firewall show rule name=all dir=in
-
规则状态:
-
默认规则多数为 "已启用",但在公用网络中部分规则会被禁用
-
可右键点击规则选择 "启用" 或 "禁用" 来调整
总结
Windows 10 防火墙默认规则设计遵循 "最小权限原则",仅开放必要服务,同时根据网络环境 (公用 / 专用 / 域) 实施差异化保护。这些规则是系统安全的基础,普通用户应避免随意删除或修改,如需开放特定服务,建议创建新规则而非修改默认规则。
重要提示:默认规则列表可能因 Windows 10 版本、更新和系统配置不同而略有差异,上述信息基于 Windows 10 22H2 版本。
|
赣公网安备 36082102000008号