Windows 防火墙: 定义入站端口例外

允许查看和更改由组策略定义的入站端口例外列表。Windows 防火墙使用两个端口例外列表: 一个由组策略设置定义,另一个由控制面板中的"Windows 防火墙"组件定义。

如果启用此策略设置,则可以查看和更改由组策略定义的入站端口例外列表。若要查看此端口例外列表,请启用此策略设置,然后单击"显示"按钮。若要添加端口,请启用此策略设置,记下语法,然后单击"显示"按钮。在"显示内容"对话框中,键入一个使用该语法格式的定义字符串。若要删除端口,请单击其定义,然后按 Delete 键。若要编辑定义,请从列表中删除当前定义,然后添加一个包含不同参数的新定义。若要允许管理员将端口添加到本地端口例外列表(由控制面板中的"Windows 防火墙"组件定义),请同时启用"Windows 防火墙: 允许本地端口例外"策略设置。

如果禁用此策略设置,则将删除由组策略定义的端口例外列表,但是其他策略设置可以继续打开或阻止端口。而且,如果存在本地端口例外列表,则除非启用"Windows 防火墙: 允许本地端口例外"策略设置,否则该列表将被忽略。

如果未配置此策略设置,则 Windows 防火墙只使用本地端口例外列表(由管理员使用控制面板中的"Windows 防火墙"组件定义)。其他策略设置可以继续打开或阻止端口。

注意: 如果键入一个无效的定义字符串,Windows 防火墙会直接将其添加到列表而不会检查是否有错误。因此,您可能会无意中为同一个端口创建 Scope 或 Status 值互相冲突的多个条目。将为多个条目组合使用 Scope 参数。如果条目具有不同的 Status 值,则 Status 设置为"disabled"的任何定义都将覆盖所有 Status 设置为"enabled"的定义,并且端口不接收消息。因此,如果某个端口的 Status 设置为"disabled",就可以阻止管理员使用控制面板中的"Windows 防火墙"组件来启用该端口。

注意: 将 Status 值设置为"disabled"的唯一效果是,Windows 防火墙会忽略该端口的将 Status 设置为"enabled"的其他定义。如果另一个策略设置打开一个端口,或者如果程序例外列表中的一个程序请求 Windows 防火墙打开一个端口,则 Windows 防火墙将打开该端口。

注意: 如果任何策略设置打开 TCP 端口 445,则即使"Windows 防火墙: 允许 ICMP 例外"策略设置阻止入站 ICMP 回显请求消息(由 Ping 实用工具发送的消息),Windows 防火墙也会允许这些消息。可以打开 TCP 端口 445 的策略设置包括"Windows 防火墙: 允许入站文件和打印机共享例外"、"Windows 防火墙: 允许入站远程管理例外"和"Windows 防火墙: 定义入站端口例外"。

支持的平台: Windows XP Professional SP2 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

定义端口例外:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List
Value Name{number}
Value TypeREG_SZ
Default Value

指定要打开或阻止的端口。

语法:

<Port>:<Transport>:<Scope>:<Status>:<Name>

<Port> 是十进制端口号

<Transport> 是"TCP"或"UDP"

<Scope> 是"*"(用于所有网络)或

包含下列项目的任意数量或组合

并以逗号分隔的列表:

IP 地址,如 10.0.0.1

子网描述,如 10.2.3.0/24

字符串"localsubnet"

<Status> 是"enabled"或"disabled"

<Name> 是文本字符串

示例:

下列定义字符串将 TCP 端口 80

添加到端口例外列表并允许该端口

接收来自 10.0.0.1、10.0.0.2 的消息或

10.3.4.x 子网上任何系统的消息:

80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service


windowsfirewall.admx

管理模板(计算机)

管理模板(用户)