Windows 防火牆:定義輸入的連接埠例外

允許您檢視及變更群組原則所定義的輸入連接埠例外清單。Windows 防火牆使用兩個連接埠例外清單: 一個是由群組原則設定所定義的清單,另一個是由 [控制台] 中 [Windows 防火牆] 元件所定義的清單。

如果啟用這個原則設定,您可以檢視及變更群組原則所定義的輸入連接埠例外清單。若要檢視這個連接埠例外清單,請啟用原則設定,然後按一下 [顯示] 按鈕。若要新增連接埠,請啟用原則設定並記下語法,按一下 [顯示] 按鈕。在 [顯示內容] 對話方塊中輸入使用語法格式的定義字串。若要移除連接埠,請按一下該連接埠的定義,然後按 DELETE 鍵。若要編輯定義,請從清單中移除目前的定義,然後新增一個具有不同參數的新定義。若要允許系統管理員新增連接埠到 [控制台] 中由 [Windows 防火牆] 元件所定義的本機連接埠例外清單,請一併啟用 [Windows 防火牆:允許本機連接埠例外] 原則設定。

如果停用這個原則設定,將會刪除由群組原則所定義的連接埠例外清單,但是其他原則設定可以繼續開啟或封鎖連接埠。此外,如果有本機連接埠例外清單,則除非已啟用 [Windows 防火牆:允許本機連接埠例外] 原則設定,否則會略過該清單。

如果未設定這個原則設定,則 Windows 防火牆只會使用系統管理員用 [控制台] 的 [Windows 防火牆] 元件所定義的本機連接埠例外清單。其他原則設定可以繼續開啟或封鎖連接埠。

注意: 如果輸入無效的定義字串,Windows 防火牆不會檢查是否有誤,就會將字串新增到清單中。因此您可以新增尚未安裝的程式,但是請注意,您可能會不小心為同一個程式建立領域或狀態值相衝突的多個項目。在多個項目的情況下,領域參數會結合。如果項目有不同的狀態值,則任何狀態設為 [停用] 的定義,會覆寫所有狀態設為 [啟用] 的定義,而且連接埠不會接收訊息。因此,如果將連接埠的狀態設為 [停用],便可以防止系統管理員使用 [控制台] 中的 [Windows 防火牆] 元件啟用連接埠。

注意: 將狀態值設為 [停用] 的唯一影響是,Windows 防火牆會忽略該連接埠中,狀態設為 [啟用] 的其他定義。如果其他原則設定開啟連接埠,或如果程式例外清單中的程式要求 Windows 防火牆開啟連接埠,Windows 防火牆就會開啟連接埠。

注意: 如果任何原則設定開啟 TCP 連接埠 445,則即使「Windows 防火牆:允許 ICMP 例外」原則設定封鎖輸入 ICMP 回應要求訊息 (由 Ping 公用程式傳送的訊息),Windows 防火牆仍會允許這類要求。可以開啟 TCP 連接埠 445 的原則設定包含「Windows 防火牆:允許輸入檔案和印表機共用例外」、「Windows 防火牆:允許輸入遠端系統管理例外」及「Windows 防火牆:定義輸入的連接埠例外」。

支援的作業系統: 至少需要 Windows XP Professional SP2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Define port exceptions:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List
Value Name{number}
Value TypeREG_SZ
Default Value

Specify the port to open or block.

Syntax:

<Port>:<Transport>:<Scope>:<Status>:<Name>

<Port> is a decimal port number

<Transport> is either "TCP" or "UDP"

<Scope> is either "*" (for all networks) or

a comma-separated list that contains

any number or combination of these:

IP addresses, such as 10.0.0.1

Subnet descriptions, such as 10.2.3.0/24

The string "localsubnet"

<Status> is either "enabled" or "disabled"

<Name> is a text string

Example:

The following definition string adds TCP port 80

to the port exceptions list and allows it to

receive messages from 10.0.0.1, 10.0.0.2, or any

system on the 10.3.4.x subnet:

80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service


windowsfirewall.admx

系統管理範本 (電腦)

系統管理範本 (使用者)