Windows防火墙默认可能拦截程序联网,需通过设置应用、控制面板、高级安全界面添加应用或端口规则,并检查网络类型、封锁开关、真实进程及组策略限制。
如果您在使用 Windows 10 系统时发现某个程序无法连接网络或被阻止通信,则很可能是 Windows 防火墙默认拦截了该程序的网络访问。以下是设置 Windows 10 防火墙并允许指定程序通过的具体操作方法:
一、通过“设置”应用添加允许的应用
此方法适用于大多数图形界面程序,操作简便且无需管理员权限即可启动流程(但最终需确认UAC提示)。系统会自动识别常见应用,并为其创建基于可执行文件路径的入站/出站规则。
1、按 Win + I 打开“设置”窗口。
2、点击「更新和安全」→ 左侧选择「Windows 安全中心」→ 右侧点击「防火墙和网络保护」。
3、在顶部确认当前连接的网络类型(如“专用网络”),点击进入该网络配置页。
4、向下滚动至「允许应用通过防火墙」,点击右侧的「更改设置」按钮(需管理员权限,弹出 UAC 提示时点击“是”)。
5、在应用列表中找到目标程序(如 Chrome、QQ、Steam),勾选其对应网络类型的复选框;若未列出,点击「允许其他应用…」→「浏览」定位其主程序文件(例如 WeChat.exe 或 chrome.exe)→ 添加后勾选网络类型。
二、通过控制面板启用并配置防火墙规则
该方式兼容传统操作习惯,适合需要快速启用/关闭防火墙整体功能,或对旧版组策略环境有适配需求的用户。控制面板路径可绕过新版设置中可能缺失的某些高级入口。
1、右键点击「开始」按钮,选择「控制面板」。
2、将右上角「查看方式」设为「大图标」,然后点击「Windows Defender 防火墙」。
3、在左侧菜单中点击「允许应用或功能通过 Windows Defender 防火墙」。
4、点击右下角「更改设置」,输入管理员凭据(如有)。
5、点击「允许其他应用」→「浏览」→ 定位目标程序的 .exe 文件 →「添加」→ 在列表中勾选「专用网络」或「公用网络」。
三、使用高级安全防火墙添加端口或服务规则
当程序不以标准可执行文件形式运行(如 Java 启动的服务、后台守护进程、Docker 容器、Node.js 开发服务器等),或需长期开放固定端口(如 3389 远程桌面、8080 Web 服务),则必须通过高级安全界面创建精确的端口级规则,避免依赖进程路径匹配失效。
1、在「防火墙和网络保护」页面底部,点击「高级设置」(跳转至「Windows Defender 防火墙高级安全」)。
2、左侧选择「入站规则」→ 右侧点击「新建规则」。
3、向导中选择「端口」→ 下一步 → 选择「TCP」或「UDP」→ 在「特定本地端口」栏输入数字(如 3389 或 8080)→ 下一步。
4、选择「允许连接」→ 下一步 → 勾选适用的网络类型(建议至少勾选「专用」)→ 下一步。
5、为规则命名(如 Remote Desktop TCP 3389)→ 完成。
四、检查并修正常见拦截原因
即使已添加例外,程序仍无法联网,往往源于规则未覆盖实际通信主体。Windows 防火墙按进程路径与网络配置文件双重匹配,任一条件不符即拦截,需逐项验证。
1、确认当前网络配置文件类型:Wi-Fi 在家庭环境常为「专用网络」,而在机场/咖啡馆则为「公用网络」,两者的允许列表相互独立,必须分别添加。
2、检查是否启用了最高优先级封锁开关:在「防火墙和网络保护」→ 当前网络页中,确认「阻止所有传入连接,包括允许的应用列表中的那些连接」处于未勾选状态。
3、识别真实通信进程:某些程序(如游戏启动器、浏览器插件、IDE 内置服务器)由主程序派生子进程,而子进程路径不同。此时应改用「端口规则」或在高级安全中按「程序路径」新建规则,指向实际监听进程(如 javaw.exe 或 node.exe)。
4、验证组策略限制:若界面中出现「此设置由组织管理」提示,说明设备受域控策略锁定,个人账户无法修改防火墙设置,须联系 IT 管理员调整 GPO 中的「Windows 防火墙:定义入站连接默认值」等策略。
