需将程序添加至防火墙白名单以兼顾网络访问与安全性,方法包括:一、通过Windows安全中心添加允许应用;二、控制面板配置允许列表;三、高级安全防火墙建出站规则;四、命令行快速添加;五、按端口开放规则。
如果您希望特定程序在 Windows 10 中正常访问网络,但又不希望完全关闭防火墙降低系统安全性,则需将其添加至防火墙白名单。以下是实现该目标的多种可行方法:
一、通过 Windows 安全中心添加允许的应用
该方式为系统推荐的主流操作路径,界面直观、权限控制明确,适用于绝大多数桌面应用程序,且自动适配当前连接的网络类型。
1、按 Win + I 打开设置,进入「隐私和安全性」→「Windows 安全中心」→「防火墙和网络保护」。
2、点击当前所处网络(如“专用网络”)进入详情页。
3、向下滚动至「允许应用通过防火墙」,点击右侧「更改设置」(需管理员权限)。
4、点击「允许其他应用…」,再点击「浏览」。
5、定位并选中目标程序的主可执行文件(例如 C:\Program Files\QQ\Bin\QQ.exe),点击「添加」。
6、在列表中勾选该程序对应网络类型的复选框(建议至少勾选「专用」)。
二、通过控制面板配置允许的应用列表
此路径兼容性更强,尤其适用于组策略受限环境或偏好传统界面的用户,所有设置均直接写入 Windows Defender 防火墙规则库。
1、在任务栏搜索框中输入「控制面板」并打开。
2、将右上角「查看方式」设为「小图标」。
3、点击「Windows Defender 防火墙」。
4、在左侧菜单中点击「允许应用或功能通过 Windows Defender 防火墙」。
5、点击「更改设置」(需管理员权限)。
6、若程序未出现在列表中,点击「允许其他应用」→「浏览」→ 选择其 .exe 文件路径 →「添加」。
7、对「专用」和/或「公用」列执行勾选操作以授权联网。
三、使用高级安全 Windows Defender 防火墙创建出站允许规则
该方法提供最底层的规则控制能力,适用于需精确放行某程序全部出站流量的场景,规则优先级高于图形界面白名单,且支持跨网络类型统一生效。
1、在任务栏搜索框中输入「高级安全 Windows 防火墙」并打开。
2、左侧面板中右键「出站规则」→「新建规则…」。
3、选择「程序」→「下一步」。
4、选择「此程序路径」→ 点击「浏览」→ 定位并选中目标 .exe 文件(如 C:\Steam\steam.exe) →「下一步」。
5、选择「允许连接」→「下一步」。
6、在「配置文件」界面,根据实际使用环境勾选「域」「专用」「公用」中的一项或多项;若需全场景放行,务必三项全选 →「下一步」。
7、在「名称」栏输入清晰标识(如「允许Steam出站通信」),点击「完成」。
四、使用命令行快速添加白名单规则
适用于批量部署、脚本自动化或图形界面不可用时的应急操作,命令执行后立即生效,无需重启服务。
1、右键「开始」按钮 → 选择「Windows PowerShell(管理员)」或「命令提示符(管理员)」。
2、输入以下命令(请将引号内内容替换为实际值):
netsh advfirewall firewall add rule name="MyApp_Whitelist" program="C:\MyApp\app.exe" dir=out action=allow
3、按回车执行;若返回「确定」即表示规则创建成功。
4、如需验证,可运行:netsh advfirewall firewall show rule name="MyApp_Whitelist"。
五、按端口创建白名单规则(适用于服务类程序)
当目标程序非标准 .exe 启动(如 Java 服务、Node.js 应用、Docker 容器进程),或其子进程动态生成难以逐个定位时,可通过开放其绑定端口实现等效白名单效果。
1、确认程序监听端口(如 Web 服务常用 TCP 8080,远程桌面为 TCP 3389)。
2、打开「高级安全 Windows Defender 防火墙」→ 左侧选「入站规则」→ 右侧点「新建规则…」。
3、选择「端口」→「下一步」。
4、选择协议类型(TCP 或 UDP)→ 在「特定本地端口」中输入端口号(如 8080)→「下一步」。
5、选择「允许连接」→「下一步」。
6、勾选适用的网络类型(如仅局域网使用则仅选「专用」)→「下一步」。
7、命名规则(如「Node.js 开发端口 8080」)→「完成」。
