文章总结： 本文介绍了WindowsDefender防火墙在内网环境中的精细化管控应用。重点解析了默认策略与规则优先级逻辑，并通过实操步骤演示了如何限制特定IP访问3389端口。建议安全人员合理配置防火墙作用域，精准控制访问权限以防止主机交叉感染。 综合评分： 70 文章分类： 内网渗透,安全建设,终端安全

手把手教你玩转Windows Defender防火墙

原创

simple安全团队 simple安全团队

simple安全团队

2026年1月20日 09:55 湖北

概述

在内网环境中，为了防止主机交叉感染，需要进行网络区域划分，除了使用防火墙、交换机设备配置策略，Windows系统自带的Windows Defender防火墙也是一大利器，可以实现精细化的管控。

前置知识

1、Windows Defender防火墙的默认策略

1）默认阻止所有入站请求，这就是为什么打开防火墙之后，就无法ping通了，因为被默认阻止了，想要ping通必须添加允许规则。

2）默认允许所有出站请求

2、规则的优先级：并非根据添加的先后顺序

不是说你后添加的规则，就比先添加的规则优先级高；也不是说规则靠前，优先级就比靠后的规则高。而是遍历所有规则，然后遵循如下逻辑顺序：

1）显式阻止规则最优先：如果一条规则明确设置为“阻止连接”，那么它会优先于任何与之冲突的“允许连接”规则；

2）允许规则优先于默认阻止：明确设置的“允许连接”规则，其优先级高于“默认阻止入站”这一全局设定；

3）更具体的规则优先于更宽泛的规则：例如，一条针对单个IP地址的规则，会比一条针对整个IP地址段的规则更优先

总结：先看有没有“阻止”规则，再看有没有“允许”规则，如果前两种都没有，那么按照默认策略来。

比如现在有一台主机，只允许192.168.75.1访问，不能添加一条阻止所有访问的规则，然后添加一条只允许192.168.75.1访问的例外规则，由于显式阻止规则优先级最高，即使添加了允许规则，也无法访问。

只需添加一条允许访问3389的规则，然后指定作用域的IP为192.168.75.1即可。

详细操作步骤

1、打开“控制面板”，点击“系统和安全”-“Windows 防火墙”-“高级设置”

2、右键单击“入站规则”，选择“新建规则”

3、“规则类型”选择端口，点击下一步

4、“协议和端口”填写需要管控的3389端口，点击下一步

5、“操作”选择“允许连接”，点击下一步

6、“配置文件”默认全部勾选就行，点击下一步

7、给规则设置一个名字，点击完成即可

8、找到刚刚新建的允许规则，右键选择“属性”

9、点击“作用域”，在“远程IP地址”中选择“下列IP地址”，点击“添加”，将192.168.75.1这个IP填入，点击确定

10、点击“应用”，然后再点击“确定”即可，到这一步规则就已经添加好了

11、接下来启用防火墙即可，“控制面板”，点击“系统和安全”-“Windows 防火墙”-“打开或关闭Windows防火墙”

12、选择“启用Windows防火墙”，点击确定即可

13、这样就只有192.168.75.1可以访问3389端口进行远程了

END

查看更多精彩内容，关注simple安全团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：simple安全团队 simple安全团队 simple安全团队《手把手教你玩转Windows Defender防火墙》