Windows 10 防火墙与网络保护完整设置指南
核心结论:保持防火墙默认开启,按网络类型(专用 / 公用 / 域)差异化配置,仅允许信任应用通过,必要时用高级规则精细化控制;建议用 Windows 安全中心为主界面,配合控制面板与 PowerShell 实现全场景管理。
一、基础设置:开启 / 关闭防火墙(3 种方法)
方法 1:通过 Windows 安全中心(推荐)
-
按 Win+I 打开设置 → 选择 更新和安全 → Windows 安全中心
-
点击 防火墙和网络保护 → 选择当前网络类型(专用 / 公用 / 域)
-
切换 Microsoft Defender 防火墙 开关至 开 / 关(建议始终开启)
-
注意:关闭防火墙会显著降低安全性,仅临时测试使用
方法 2:通过控制面板
-
按 Win+R → 输入 control → 确定
-
选择 系统和安全 → Windows Defender 防火墙
-
左侧点击 启用或关闭 Windows Defender 防火墙
-
分别为专用和公用网络设置防火墙状态 → 确定
方法 3:使用命令提示符 / PowerShell(管理员权限)
powershell
# 查看防火墙状态netsh advfirewall show allprofiles stateGet-NetFirewallProfile-All# 启用所有网络类型防火墙netsh advfirewallsetallprofiles state onSet-NetFirewallProfile-All-Enabled True# 禁用所有网络类型防火墙(不推荐)netsh advfirewallsetallprofiles state offSet-NetFirewallProfile-All-Enabled False
Microsoft Learn
二、网络类型配置(关键安全差异化)
Windows 10 根据网络环境自动分配类型,安全策略差异如下:
|
网络类型
|
适用场景
|
默认安全策略
|
推荐设置
|
|
专用网络
|
家庭 / 办公网络
|
允许文件共享、打印机等
|
防火墙开启,按需开放应用
|
|
公用网络
|
咖啡店 / 机场 / Wi-Fi 热点
|
严格限制,禁用所有共享
|
防火墙强制开启,最小化开放
|
|
域网络
|
公司域环境
|
按域策略配置
|
遵循 IT 部门管理
|
修改网络类型步骤
-
打开 设置 → 网络和 Internet → 选择当前连接(以太网 / WLAN)
-
点击 属性 → 在 网络配置文件 下选择 专用 或 公用
-
注意:公用网络下切勿开启文件共享,风险极高
三、应用控制:允许 / 阻止程序通过防火墙
允许信任应用通过
-
在 防火墙和网络保护 页面 → 点击 允许应用通过防火墙
-
点击 更改设置(需管理员权限)→ 勾选目标应用的 专用/公用 网络权限
-
找不到应用时:点击 允许其他应用 → 浏览选择程序.exe → 添加 → 勾选网络类型
阻止应用访问网络(高级)
-
打开 具有高级安全性的 Windows Defender 防火墙(Win+R 输入wf.msc)
-
左侧选择 出站规则 → 右侧 新建规则 → 选择 程序 → 下一步
-
选择 此程序路径 → 浏览选择要阻止的.exe → 下一步
-
选择 阻止连接 → 下一步 → 勾选应用的网络类型 → 命名规则(如 "阻止 XX 应用联网")→ 完成
四、高级安全设置:入站 / 出站规则精细化管理
具有高级安全性的 Windows Defender 防火墙(wf.msc)提供专业级控制,适用于服务器或特殊需求场景:
常见规则管理操作
-
新建规则:支持程序、端口、预定义、自定义四种类型
-
修改规则:右键规则 → 属性 → 调整操作、协议、端口、范围等
-
禁用 / 删除规则:右键规则 → 禁用 / 删除(谨慎操作系统默认规则)
-
导入 / 导出规则:可备份配置或迁移到其他设备
端口开放示例(如允许远程桌面 3389 端口)
-
新建规则 → 选择 端口 → 下一步
-
选择 TCP → 输入 特定本地端口:3389 → 下一步
-
选择 允许连接 → 下一步 → 勾选适用网络类型 → 命名(如 "允许远程桌面")→ 完成
五、命令行 / PowerShell 高级管理(管理员权限)
常用 PowerShell 命令
powershell
# 查看所有网络配置文件状态Get-NetFirewallProfile-All# 为专用网络开启防火墙并允许文件共享Set-NetFirewallProfile-Profile Private-Enabled TrueEnable-NetFirewallRule-DisplayGroup"文件和打印机共享"-Profile Private# 阻止特定程序出站连接(如Chrome)New-NetFirewallRule-DisplayName"Block Chrome"-Direction Outbound-Program"C:Program FilesGoogleChromeApplicationchrome.exe"-Action Block
Microsoft Learn
Netsh 命令(传统方式)
batch
# 查看防火墙状态netshadvfirewall show allprofiles# 重置防火墙为默认设置(推荐故障排除时使用)netshadvfirewall reset
Microsoft Learn
六、网络保护额外措施
-
网络隔离:公用网络下禁用网络发现和文件共享
-
设置 → 网络和 Internet → 网络和共享中心 → 更改高级共享设置
-
公用网络:选择 "关闭网络发现" 和 "关闭文件和打印机共享"
-
防火墙通知:开启安全警报,及时了解拦截情况
-
控制面板 → Windows Defender 防火墙 → 左侧 "更改通知设置"
-
勾选 "Windows 防火墙阻止新应用时通知我"
-
第三方防火墙共存:Windows 防火墙可与第三方防火墙同时运行,但建议只保留一个主防火墙以避免冲突
七、恢复默认设置(后悔药)
当配置混乱或出现问题时,可一键恢复出厂设置:
-
图形界面:控制面板 → Windows Defender 防火墙 → 左侧 "还原默认设置" → 确认
-
PowerShell:Set-NetFirewallProfile -All -DefaultInboundAction Block -DefaultOutboundAction Allow -Enabled True
-
Netsh:netsh advfirewall reset(最彻底)
八、最佳实践与安全建议
-
始终保持防火墙开启,仅在临时测试时关闭并及时恢复
-
按网络类型差异化配置:专用网络适度开放,公用网络严格限制
-
最小权限原则:仅允许信任应用通过防火墙,定期清理无用规则
-
定期检查规则:删除不再使用的端口开放和应用允许规则
-
配合其他安全工具:Windows Defender 防病毒、SmartScreen 等协同工作
九、常见问题排查
-
无法访问网络共享:检查是否在专用网络,文件共享规则是否允许,防火墙是否阻止相关端口(135、137-139、445)
-
应用无法联网:检查防火墙是否阻止该应用,尝试在 "允许应用通过防火墙" 中添加
-
远程桌面失败:确认 3389 端口规则已允许,网络类型设置正确,远程桌面功能已启用
|