Windows的内置防火墙隐藏了创建强大防火墙规则的能力。阻止程序访问Internet，使用白名单控制网络访问，将流量限制到特定端口和IP地址，等等-所有这些都无需安装另一个防火墙。

防火墙包括三个不同的配置文件，因此您可以将不同的规则应用于专用网络和公共网络。这些选项包括在Windows Vista中首次出现的具有高级安全性的Windows防火墙管理单元中。

访问接口

有多种方法可以打开“具有高级安全性的Windows防火墙”窗口。其中最明显的一个是从Windows防火墙控制面板-单击侧边栏中的高级设置链接。

您也可以在“开始”菜单的搜索框中键入“Windows防火墙”，然后选择“具有高级安全性的Windows防火墙”应用程序。

配置网络配置文件

Windows防火墙使用三种不同的配置文件：

域配置文件：当您的计算机连接到域时使用。 专用：连接到专用网络(如工作网络或家庭网络)时使用。 公共：连接到公共网络时使用，例如公共Wi-Fi接入点或直接连接到Internet。

当您第一次连接到某个网络时，Windows会询问该网络是公用的还是私有的。

根据情况，一台计算机可以使用多个配置文件。例如，企业笔记本电脑在工作时连接到域时可能使用域配置文件，在连接到家庭网络时使用私有配置文件，在连接到公共Wi-Fi网络时使用公共配置文件-所有这些都在同一天完成。

单击Windows防火墙属性链接以配置防火墙配置文件。

防火墙属性窗口包含每个配置文件的单独选项卡。默认情况下，Windows阻止所有配置文件的入站连接并允许出站连接，但您可以阻止所有出站连接并创建允许特定类型连接的规则。此设置是特定于配置文件的，因此您只能在特定网络上使用白名单。

如果阻止出站连接，则在程序被阻止时不会收到通知-网络连接将以静默方式失败。

创建规则

要创建规则，请选择窗口左侧的Inbound Rules(入站规则)或Outbound Rules(出站规则)类别，然后单击右侧的Create Rule(创建规则)链接。

Windows防火墙提供四种类型的规则：

程序-阻止或允许程序。 端口-阻止或允许端口、端口范围或协议。 预定义-使用Windows附带的预定义防火墙规则。 自定义-指定要阻止或允许的程序、端口和IP地址的组合。

规则示例：阻止程序

比方说，我们想要阻止某个特定程序与Internet通信--我们不必安装第三方防火墙来做到这一点。

首先，选择Program规则类型。在下一个屏幕上，使用浏览按钮并选择程序的.exe文件。

在操作屏幕上，选择“阻止连接”。如果您在默认情况下阻止所有应用程序后设置白名单，则应选择“允许连接”将应用程序列入白名单。

在配置文件屏幕上，您可以将规则应用于特定的配置文件-例如，如果您只想在连接到公共Wi-Fi和其他不安全的网络时阻止某个程序，请选中“Public”框。默认情况下，Windows将规则应用于所有配置文件。

在名称屏幕上，您可以命名规则并输入可选描述。这将帮助您稍后识别规则。

您创建的防火墙规则立即生效。您创建的规则将显示在列表中，因此您可以轻松地禁用或删除它们。

规则示例：限制访问

如果您确实要锁定某个程序，则可以限制其连接到的端口和IP地址。例如，假设您有一个仅希望从特定IP地址访问的服务器应用程序。

从入站规则列表中，单击新建规则并选择自定义规则类型。

在“程序”窗格上，选择要限制的程序。如果该程序作为Windows服务运行，请使用“自定义”按钮从列表中选择该服务。要将计算机上的所有网络流量限制为与特定IP地址或端口范围通信，请选择“所有程序”，而不是指定特定程序。

在协议和端口窗格中，选择协议类型并指定端口。例如，如果您正在运行Web服务器应用程序，则可以通过在“本地端口”框中输入端口80和443上的TCP连接来限制Web服务器应用程序。

选择“允许连接”选项以允许从您指定的IP地址和端口进行连接。请确保没有其他防火墙规则应用于该程序-例如，如果您的防火墙规则允许所有到服务器应用程序的入站通信，则此规则不会执行任何操作。

规则在您指定它将应用到的配置文件并对其命名后生效。

Windows防火墙不像第三方防火墙那样易于使用，但它提供了惊人的功能。如果您想要更好的控制和易用性，使用第三方防火墙可能会更好。