Windows的内置防火墙隐藏了创建强大防火墙规则的能力。阻止程序访问Internet，使用白名单控制网络访问，限制特定端口和IP地址的通信量，等等—所有这些都不需要安装另一个防火墙。

防火墙包括三种不同的配置文件，因此您可以将不同的规则应用于专用和公用网络。这些选项包含在WindowsFirewallWithAdvancedSecurity管理单元中，它最早出现在WindowsVista中。

访问接口

有多种方法可以通过高级安全窗口启动Windows防火墙。其中最明显的是从Windows防火墙控制面板–单击侧栏中的高级设置链接。

您也可以在“开始”菜单的搜索框中键入“Windows防火墙”，然后选择Windows防火墙高级安全应用程序。

配置网络配置文件

Windows防火墙使用三种不同的配置文件：

• 域配置文件：当计算机连接到域时使用。
• 专用：连接到私人网络（如工作或家庭网络）时使用。
• 公共：连接到公共网络时使用，例如公共Wi-Fi接入点或直接连接到Internet。

当您第一次连接到某个网络时，Windows会询问该网络是公用的还是专用的。

一台计算机可能会根据情况使用多个配置文件。例如，商务笔记本电脑在工作时连接到域时可以使用域配置文件，在连接到家庭网络时可以使用私有配置文件，在连接到公共Wi-Fi网络时可以使用公共配置文件–所有这些都是在同一天内完成的。

单击Windows防火墙属性链接以配置防火墙配置文件。

防火墙属性窗口包含每个配置文件的单独选项卡。默认情况下，Windows阻止所有配置文件的入站连接并允许出站连接，但您可以阻止所有出站连接并创建允许特定类型连接的规则。此设置是特定于配置文件的，因此您只能在特定网络上使用白名单。

如果阻止出站连接，当程序被阻止时，将不会收到通知–网络连接将自动失败。

创建规则

要创建规则，请选择窗口左侧的“入站规则”或“出站规则”类别，然后单击右侧的“创建规则”链接。

Windows防火墙提供四种类型的规则：

• 程序–阻止或允许程序。
• Port–块或允许端口、端口范围或协议。
• 预定义–使用Windows附带的预定义防火墙规则。
• 自定义–指定要阻止或允许的程序、端口和IP地址的组合。

示例规则：阻止程序

假设我们想阻止一个特定的程序与互联网通信，我们不必安装第三方防火墙。

首先，选择程序规则类型。在下一个屏幕上，使用浏览按钮并选择程序的.exe文件。

在操作屏幕上，选择“阻止连接”。如果您在默认情况下阻止所有应用程序后设置了白名单，则应选择“允许连接”以将应用程序设置为白名单。

在配置文件屏幕上，您可以将规则应用于特定的配置文件–例如，如果您只希望在连接到公共Wi-Fi和其他不安全网络时阻止某个程序，请选中“公共”框。默认情况下，Windows将该规则应用于所有配置文件。

在“名称”屏幕上，可以命名规则并输入可选描述。这将帮助您稍后确定规则。

您创建的防火墙规则立即生效。您创建的规则将显示在列表中，因此您可以轻松禁用或删除它们。

示例规则：限制访问

如果你真的想锁定一个程序，你可以限制它所连接的端口和IP地址。例如，假设您有一个只希望从特定IP地址访问的服务器应用程序。

从入站规则列表中，单击“新建规则”，然后选择自定义规则类型。

在“程序”窗格中，选择要限制的程序。如果程序作为Windows服务运行，请使用“自定义”按钮从列表中选择服务。要将计算机上的所有网络通信限制为与特定IP地址或端口范围通信，请选择“所有程序”，而不是指定特定程序。

在“协议和端口”窗格中，选择协议类型并指定端口。例如，如果正在运行web服务器应用程序，则可以通过在“本地端口”框中输入这些端口，将web服务器应用程序限制为端口80和443上的TCP连接。

Scope选项卡允许您限制IP地址。例如，如果您只希望服务器与特定IP地址通信，请在“远程IP地址”框中输入该IP地址。

选择“Allow the connection”（允许连接）选项以允许从指定的IP地址和端口进行连接。确保没有其他防火墙规则适用于该程序-例如，如果您有一个防火墙规则，允许所有入站流量到服务器应用程序，该规则将不会起任何作用。

该规则在指定将应用于的配置文件并对其命名后生效。

Windows防火墙不像第三方防火墙那么容易使用，但是它提供了惊人的能量。如果你想要更多的控制和易用性，最好使用第三方防火墙。