Windows防火墙设置教程：开放端口步骤详解

Windows防火墙默认阻止入站连接，需通过图形界面（wf.msc）、控制面板、PowerShell命令或配置出站规则及云安全组来开放端口。

如果您在 Windows 系统中部署了本地服务（如 Web 应用、数据库或远程调试工具），但外部设备无法通过 IP 和端口访问该服务，则很可能是 Windows 防火墙默认阻止了入站连接。以下是开放指定端口的多种设置方法：

一、使用图形界面创建入站规则

该方法通过 Windows Defender 防火墙高级安全控制台，为指定端口创建允许入站流量的规则，适用于所有 Windows 版本（Windows 10/11/Server）。此方式直观、稳定，且支持精细配置网络类型与协议。

1、按下 Win + R 组合键，输入 wf.msc，按回车打开“Windows Defender 防火墙与高级安全”。

2、在左侧面板中，点击 入站规则，然后在右侧面板中点击 新建规则…。

3、在向导中选择 端口，点击“下一步”。

4、选择协议类型：若服务使用 HTTP 或自定义 TCP 服务，选 TCP；若为 DNS 或 VoIP 类服务，选 UDP；在“特定本地端口”框中输入端口号，例如 8080 或多个端口 80, 443, 8080，或范围 8000-9000，点击“下一步”。

5、选择 允许连接，点击“下一步”。

6、勾选所有网络配置文件：域、专用、公用（局域网测试建议全选），点击“下一步”。

7、在“名称”栏输入具有辨识度的规则名，例如 放行 Node.js 开发端口 3000，可选填描述，点击“完成”。

二、通过控制面板路径进入高级设置

该路径适用于不熟悉快捷命令的用户，尤其适合 Windows Server 或经典视图环境。它绕过命令行，全程通过图形导航完成，降低误操作风险。

1、打开 控制面板 → 选择 系统和安全 → 点击 Windows Defender 防火墙。

2、在左侧菜单中点击 高级设置（需管理员权限，可能弹出 UAC 提示）。

3、在新窗口中，确认左侧选中 入站规则，右侧点击 新建规则…。

4、后续步骤与方法一第3–7步完全一致：选择“端口”→ 指定协议与端口 → 允许连接 → 全选配置文件 → 命名完成。

三、命令行方式快速添加（PowerShell）

该方法无需图形界面，适合批量部署、脚本集成或服务器无桌面环境（如 Windows Server Core）场景。执行后立即生效，且支持一次性开放多端口或混合协议规则。

1、以管理员身份运行 PowerShell（右键开始菜单 → “Windows PowerShell（管理员）”）。

2、执行以下命令开放单个 TCP 端口（如 8080）：

New-NetFirewallRule -DisplayName "Allow Port 8080" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow -Profile Any

3、如需同时开放 UDP 端口 53 和 TCP 端口 80，分两次执行：

New-NetFirewallRule -DisplayName "Allow UDP 53" -Direction Inbound -Protocol UDP -LocalPort 53 -Action Allow -Profile Any

New-NetFirewallRule -DisplayName "Allow TCP 80" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow -Profile Any

4、验证是否添加成功，运行：

Get-NetFirewallRule -DisplayName "Allow*" | Where-Object { $_.Enabled -eq "True" }

四、补充：出站规则与双向通信保障

某些应用（如调试器、数据库客户端、实时同步工具）不仅需接收外部请求，还需主动发起连接。此时仅设入站规则不足，必须额外配置出站规则，否则可能出现“能连上但无法返回数据”的现象。

1、在“Windows Defender 防火墙与高级安全”窗口中，点击左侧 出站规则，右侧点击 新建规则…。

2、同样选择 端口 类型，后续步骤与入站规则一致，仅需注意：此处端口应填写应用对外发起连接时使用的目标端口（如访问 MySQL 服务则填 3306），而非本机监听端口。

3、若不确定目标端口，可先选择 程序 规则类型，直接指定可执行文件（如 mysql.exe 或 node.exe），再设为“允许连接”。

4、命名时建议区分方向，例如 Outbound to MySQL 3306，避免与入站规则混淆。

五、云服务器用户必须同步检查安全组

即使 Windows 防火墙已正确放行端口，若运行在阿里云、腾讯云、华为云等平台，其底层网络层仍由云厂商的“安全组”策略控制。Windows 防火墙仅作用于操作系统内，无法穿透安全组封锁。

1、登录对应云服务商控制台，进入 云服务器 ECS（或 CVM）管理页面。

2、找到目标实例，点击其关联的 安全组 名称。

3、在安全组规则列表中，点击 添加安全组规则，协议类型选择 TCP 或 UDP，端口范围填写与 Windows 防火墙一致的值（如 8080/8080），源 IP 可设为 0.0.0.0/0（开放全部）或限定内网段（如 192.168.1.0/24）。

4、保存后，等待 1–2 分钟策略生效，再进行端口连通性测试。