Windows防火墙放行端口主要通过创建入站规则实现，可选择图形界面或命令行两种方式，核心在于指定协议类型、端口号及适用网络环境，确保规则精准生效。

一、图形界面操作（推荐新手使用）

1. 打开防火墙高级设置

• 按 Win + R 组合键打开"运行"窗口
• 输入 wf.msc 并回车，进入"高级安全Windows防火墙"管理控制台

2. 创建入站规则

选择规则类型

• 左侧导航栏点击"入站规则"，右侧点击"新建规则"
• 选择"端口"作为规则类型，点击"下一步"

配置协议与端口

• 选择 TCP 或 UDP 协议（根据服务需求）
• 输入要开放的端口号：
  • 单个端口：80（HTTP）、443（HTTPS）、3389（远程桌面）
  • 多个端口：80,443（用逗号分隔）
  • 端口范围：8000-8010（用短横线连接）
• 点击"下一步"

设置连接权限

• 选择"允许连接"，点击"下一步"

选择网络配置文件

• 根据使用场景勾选：
  • 域：企业域环境
  • 专用：家庭/工作网络（通常仅需勾选此项）
  • 公用：咖啡厅/机场等公共网络
• 点击"下一步"

命名规则

• 输入具有业务识别度的名称（如"Web_Server_HTTPS_443_TCP"）
• 添加描述说明用途与生效时间
• 点击"完成"即生效

二、命令行操作（适合批量部署或脚本集成）

1. 使用netsh命令（管理员权限）

netsh advfirewall firewall add rule name="自定义名称" dir=in action=allow protocol=TCP localport=端口号 profile=private

• 关键参数说明：
  • name="自定义名称"：规则名称（如"Open_Port_8080"）
  • dir=in：创建入站规则
  • action=allow：允许连接
  • protocol=TCP：协议类型（可替换为UDP）
  • localport=端口号：目标端口（支持逗号分隔：80,443,8080）
  • profile=private：网络配置文件（可替换为domain/public/all）

2. 使用PowerShell（更强大的替代方案）

New-NetFirewallRule -DisplayName "规则名称" -Direction Inbound -LocalPort 端口号 -Protocol TCP -Action Allow

• 优势：支持更精细的配置，适合Windows Server环境批量管理

三、关键注意事项

1. 常见问题排查

添加规则后仍无法访问：

• 检查规则是否已启用（在"入站规则"列表中状态应为"是"）
• 确认作用域配置：编辑规则→作用域→将远程IP设为"任何IP地址"
• 排除第三方防火墙拦截（如360、火绒等需单独配置）

服务无响应：

• 验证协议选择：确认服务实际使用的传输层协议（TCP/UDP）
• 检查服务绑定地址：确保服务监听0.0.0.0而非仅127.0.0.1

2. 安全最佳实践

• 最小权限原则：仅开放必要端口，避免暴露无关服务
• 限制访问来源：在"作用域"中指定可信IP段（如192.168.1.0/24）
• 区分网络环境：家庭用户通常仅需勾选"专用"网络，企业环境需同步配置"域"

四、验证端口是否真正开放

1. 本地测试

telnet 127.0.0.1 80

• 成功连接表明服务已启动且防火墙规则生效

2. 多层级验证

• 局域网测试：从其他设备执行telnet 服务器IP 80
• 外部探测：使用在线端口扫描工具（如yougetsignal.com）检测公网IP对应端口
• 命令行验证：netstat -ano | findstr :80 查看服务是否真正监听目标端口