Windows自带防火墙足够日常使用,关键在于按需配置规则:1.基础开关在安全中心→防火墙&网络保护;2.禁止软件联网需新建出站规则;3.开放端口需建入站规则并限定网络类型;4.屏蔽PING或IP需用自定义规则。
则;3.开放端口需建入站规则并限定网络类型;4.屏蔽PING或IP需用自定义规则。Windows 自带的防火墙足够日常使用,关键在于规则怎么设——不是简单开或关,而是按需控制谁、什么程序、走什么端口、从哪来、到哪去。下面分四类常见需求,说清楚怎么配。
快速启用/关闭基础防火墙
不用进高级设置也能开关防火墙:
- 打开Windows 安全中心(开始菜单搜“安全中心”或点击右下角通知图标)→ 点击“防火墙 & 网络保护”
- 页面会显示当前连接的网络类型(专用、公用或域),每种类型旁都有独立开关
- 把对应网络的“Microsoft Defender 防火墙”切换为开即可启用;不建议全关,关了会暴露本机端口
- 若想临时阻断所有入站连接(连白名单都忽略),可勾选下方“阻止所有传入连接”复选框
禁止某个软件上网(出站限制)
比如不想让某款游戏、旧版QQ或测试工具偷偷联网:
- 进入“Windows 安全中心” → “防火墙 & 网络保护” → 右侧点“高级设置”(需管理员权限)
- 左侧选“出站规则”,右侧点“新建规则”
- 规则类型选“程序”,下一步后点击“浏览”,找到该软件的.exe文件(如 C:\Program Files\WeChat\WeChat.exe)
- 操作选“阻止连接”,作用域默认全选(域/专用/公用),名称写清楚,例如“阻止微信外网访问”
- 完成前确认规则已启用,并检查是否应用在你当前使用的网络类型上
开放端口让别人访问你的服务(入站放行)
比如局域网同事要访问你本地搭的网站(80端口)、数据库(3306)、或改过端口的远程桌面(如13389):
- 同样进“高级设置”,左侧选“入站规则”,右侧点“新建规则”
- 规则类型选“端口”,下一步后选TCP或UDP(HTTP用TCP,DNS可能需UDP,不确定就TCP+UDP都加)
- 输入具体端口号,如“80”或“13389”,不要写范围(除非真需要)
- 操作选“允许连接”,作用域建议只选“专用网络”(局域网),别轻易开“公用网络”
- 名称写明用途,如“允许局域网访问本地Web服务(80)”
- 配完记得在浏览器或另一台电脑上用 http://你的IP:80 测试是否通
屏蔽PING或特定IP访问(精细拦截)
隐藏本机存在感,或封掉骚扰IP:
- 屏蔽PING:高级设置 → 入站规则 → 新建规则 → 类型选“自定义” → 协议选“ICMPv4” → 操作选“阻止连接” → 名称如“禁Ping”
- 屏蔽某个IP:新建入站规则 → 类型“自定义” → 协议和端口页保持默认 → 在“作用域”页的“哪些IP地址”中,填对方IP到“远程IP地址”框(如192.168.1.100),其他留空 → 操作选“阻止”
- 批量屏蔽网段:远程IP地址处填子网,如123.45.67.0/24,表示封整个C段
- 注意:这类规则优先级高于“允许”,且一旦启用,对方将无法ping通,也无法通过任何端口连你(除非另有更具体的允许规则)
基本上就这些。不需要装第三方工具,系统自带功能已覆盖绝大多数场景。重点是别一上来就关防火墙,而是用规则说话——放该放的,拦该拦的,心里才有底。
