Windows 系统自带的防火墙功能足够满足日常使用需求,关键在于根据实际需要合理设置规则——不是简单地开启或关闭,而是按需控制哪些程序、端口、来源和目标。
快速启用或关闭基础防火墙无需进入高级设置即可开关防火墙:
打开Windows 安全中心(在开始菜单搜索“安全中心”或点击右下角通知图标)→ 点击“防火墙与网络保护”页面会显示当前连接的网络类型(专用、公用或域),每种类型旁都有独立开关,将对应网络的“Microsoft Defender 防火墙”切换为开启即可启用;不建议全部关闭,否则会暴露本机端口。若想临时阻止所有入站连接(连白名单都忽略),可勾选下方“阻止所有传入连接”复选框。限制某个软件上网(出站拦截)例如不想让某款游戏、旧版QQ或测试工具偷偷联网:
进入“Windows 安全中心” → “防火墙与网络保护” → 右侧点击“高级设置”(需要管理员权限)→ 左侧选择“出站规则”,右侧点击“新建规则”→ 规则类型选择“程序”,下一步后点击“浏览”,找到该软件的.exe文件(如 C:Program FilesWeChatWeChat.exe)→ 操作选择“阻止连接”,作用域默认全选(域/专用/公用),名称写清楚,如“阻止微信外网访问”→ 完成前确认规则已启用,并检查是否应用在你当前使用的网络类型上。开放端口供他人访问你的服务(入站放行)例如局域网同事要访问你本地搭建的网站(80端口)、数据库(3306)或修改后的远程桌面(如13389):
同样进入“高级设置”,左侧选择“入站规则”,右侧点击“新建规则”→ 规则类型选择“端口”,下一步后选择TCP或UDP(HTTP使用TCP,DNS可能需要UDP,不确定就同时添加)→ 输入具体端口号,如“80”或“13389”,不要写范围(除非确实需要)→ 操作选择“允许连接”,作用域建议只选“专用网络”(局域网),别轻易开启“公用网络”→ 名称写明用途,如“允许局域网访问本地Web服务(80)”→ 配置完成后,在浏览器或另一台电脑上用 http://你的IP:80 测试是否通畅。屏蔽PING或特定IP访问(精细拦截)隐藏本机存在感,或封掉骚扰IP:
屏蔽PING:进入“高级设置”→ 入站规则→ 新建规则→ 类型选择“自定义”→ 协议选择“ICMPv4”→ 操作选择“阻止连接”→ 名称如“禁Ping”。屏蔽某个IP:新建入站规则→ 类型“自定义”→ 协议和端口页保持默认→ 在“作用域”页的“哪些IP地址”中,输入对方IP到“远程IP地址”框(如192.168.1.100),其他留空→ 操作选择“阻止”。批量屏蔽网段:远程IP地址处输入子网,如123.45.67.0/24,表示封整个C段。注意:这类规则优先级高于“允许”,一旦启用,对方将无法ping通,也无法通过任何端口连接你(除非另有更具体的允许规则)。基本操作到这里就完成了。无需安装第三方工具,系统自带功能已覆盖绝大多数场景。关键是不要一上来就关闭防火墙,而是通过规则进行精准控制——放该放的,拦该拦的,才能更有安全感。