无忧启动论坛

标题: windows defender防火墙优先规则 [打印本页]
作者: likeyouli    时间: 3 天前
标题: windows defender防火墙优先规则
本帖最后由 likeyouli 于 2025-10-21 08:15 编辑

官网说的看不太懂 https://learn.microsoft.com/zh-c ... dows-firewall/rules
入站和出站规则的规则优先级
在许多情况下,应用程序在网络中运行需要允许特定类型的入站流量。 在配置入站异常时,管理员应记住以下规则优先行为:

显式定义的允许规则优先于默认阻止设置。
显式阻止规则优先于任何冲突的允许规则。
更具体的规则优先于不太具体的规则,除非存在如 2 中所述的显式阻止规则。 例如,如果规则 1 的参数包含 IP 地址范围,而规则 2 的参数包括单个 IP 主机地址,则规则 2 优先。
由于 1 和 2,在设计一组策略时,应确保没有其他可能无意重叠的显式阻止规则,从而阻止希望允许的流量流。

出站规则遵循相同的优先行为。

比如,    出站规则/针对某个应用程序:全部禁止
              出站规则/针对某个应用程序:仅10.0.0.0-10.255.255.255 这个ip段允许

           问题:① 这两个规则哪个优先级高 ?   全部禁止了,再对个别ip段设置允许还起作用吗 ?                  
                    ②另外,能不能针对文件夹设置防火墙? 有的大软件包含很多exe小文件,不知道哪个文件发挥的作用,所以直接对文件夹设置防火墙会更省事,但不知道如何设置,还是windows defender防火墙仅能对exe文件设置防火墙 ?
                   ③入站规则和出站需要同时配置吗? 像我上边这样,仅配置出站规则可以吗?禁止出了,是不是也入不进来?TCP/IP协议不是需要几次握手吗?禁止出站了,就应该也入不了站吧 ?





作者: nie956    时间: 3 天前
windows defender都是关闭了
作者: 窄口牛    时间: 3 天前
我也了解一下,自打xp那会儿开始就没明白这个东西,入站是指外面访问系统?出站是系统访问外面?那局域网呢?
作者: 窄口牛    时间: 3 天前
nie956 发表于 2025-10-21 07:48
windows defender都是关闭了

两码事,删了wd,wd防火墙也还在。
作者: likeyouli    时间: 3 天前
本帖最后由 likeyouli 于 2025-10-21 14:18 编辑
窄口牛 发表于 2025-10-21 07:49
我也了解一下,自打xp那会儿开始就没明白这个东西,入站是指外面访问系统?出站是系统访问外面?那局域网呢 ...

配置里可以本地ip和远程ip分开设置。
       什么是本地ip和远程ip?我的理解,经过网关的都是外网,都需要入站出站,比如主机10.79.80.209/24 ,  网关10.79.80.1, 因为前24位是网络地址,所以访问10.79.80.2-10.79.80.255都不需要经过网关,可以直接访问,属于本地ip;访问其他10.x.x.x 和x.x.x.x 都需要经过网关,属于远程ip。
作者: sdb5168    时间: 3 天前
我来看看
作者: gander6    时间: 3 天前
WD是公认的讨厌之物。
作者: 窄口牛    时间: 3 天前
likeyouli 发表于 2025-10-21 08:01
配置里可以本地ip和远程ip分开设置。
       什么是本地ip和远程ip?我的理解,经过网关的都是外网,都 ...

哦,抽空研究下吧。最好还是第三方防火墙,可以禁止系统进程联网。
作者: 2013qwaszx    时间: 3 天前
- 显式定义的允许规则优先于默认阻止设置。
    明确的规则优于默认的规则。比如默认阻止入站,但你添加了一条允许入站,则允许大于拒绝

- 显式阻止规则优先于任何冲突的允许规则。
    阻止大于允许。比如一个TCP端口同时定义了两条入站规则,一条阻止,一条允许,他俩冲突。这时候阻止大于允许,实际上按阻止来。

- 更具体的规则优先于不太具体的规则,除非存在如 2 中所述的显式阻止规则。
    具体的大于精确范围的。单个IP的规则大于一段IP的规则。

入站、出站
Windows 防火墙通常用来配TCP/UDP相关的设置。入站是一个4层连接主动连入本机,出站是本机主动向外连。
作者: lanmeizhuangyua    时间: 3 天前
多谢分享
作者: 肉仔    时间: 3 天前
来看看
作者: 2012andyle113    时间: 3 天前
这说明就是具体细规则大于大范围粗规则啊,出入,自己看需要设置了,阻止出只是自己出不去,从外面还是可以访问到的,特别针对端口的情况,你具体到软件一般阻止出就可以了,另外,我是还没见识过防火墙可以对文件夹做规则的
作者: qkywan    时间: 3 天前
在硬件防火墙上的规则是很注意顺序的,一般权限最严的放到最后,并且你的这规则很矛盾啊
作者: woloveqq    时间: 3 天前
我也是关闭了windows defender,用的火绒+奇安信
作者: wn168cn@163.com    时间: 3 天前
可以考虑用 Simplewall 之类的第三方轻量级防火墙
作者: kimleee    时间: 3 天前
感谢分享
作者: xpzzj    时间: 3 天前
都是关了windows defende,用火绒
作者: likeyouli    时间: 3 天前
2013qwaszx 发表于 2025-10-21 08:42
- 显式定义的允许规则优先于默认阻止设置。
    明确的规则优于默认的规则。比如默认阻止入站,但你添加了 ...

您发的和官方的解释差不多,还是看不懂,比如什么是显示定义?
还有我说的那3个问题感觉还是没有回答了
作者: aduge38    时间: 3 天前
学习学习
作者: it323    时间: 3 天前
感觉系统自带防火墙没什么用有时设置了没什么效果,反而第三方效果马上见效比如FortFirewall
作者: chishingchan    时间: 3 天前
这 WD 研究 禁用它 及 卸载它 更好!
作者: 2747157    时间: 3 天前
多谢分享,看看学习下
作者: ebaqiang    时间: 3 天前
抽空研究下
作者: linshi456    时间: 3 天前
本帖最后由 linshi456 于 2025-10-21 14:07 编辑

问题:① 这两个规则哪个优先级高 ?   全部禁止了,再对个别ip段设置允许还起作用吗 ?

答  禁止优先级高,ip段应该失效。 (建议局域互传软件localsend软件测试看看,有电脑和手机版本)              
②另外,能不能针对文件夹设置防火墙? 有的大软件包含很多exe小文件,不知道哪个文件发挥的作用,所以直接对文件夹设置防火墙会更省事,但不知道如何设置,还是windows defender防火墙仅能对exe文件设置防火墙 ?

答 无法设置文件夹。但一些第三方辅助小软件,应该是使用windows defender批命令间接实现。

③入站规则和出站需要同时配置吗? 像我上边这样,仅配置出站规则可以吗?禁止出了,是不是也入不进来?TCP/IP协议不是需要几次握手吗?禁止出站了,就应该也入不了站吧 ?

答 三次握手应该属于更底层部分,TCP/IP协议应该无法控制。


对防火墙感兴趣,个人推荐sep防火墙,本论坛搜索关键字    目前最好用的防火墙软件【SEP 14.3】,不过安装sep防火墙前先备份系统。sep杀毒部分不要安装,中文版杀毒功能有bug,说是误杀exe dll等文件在恢复区无法恢复。

卡饭论坛专门讨论杀毒软件防火墙和病毒。
作者: rgfwqx@163.com    时间: 3 天前
谢谢
作者: likeyouli    时间: 3 天前
本帖最后由 likeyouli 于 2025-10-21 14:16 编辑
linshi456 发表于 2025-10-21 13:25
问题:① 这两个规则哪个优先级高 ?   全部禁止了,再对个别ip段设置允许还起作用吗 ?

答  禁止优先 ...

感谢回复,
   关于 “① 这两个规则哪个优先级高 ?   全部禁止了,再对个别ip段设置允许还起作用吗 ?”
     deepseek搜索的是允许优先级高,原因是阻止是针对全部ip,属于不太具体的规则;允许是针对部分ip段,属于更具体的规则,更具体的规则优先于不太具体的规则。
     但我不太好测试,只能慢慢观察,目前的感受应该是允许优先级高。      而且从另一个角度说,我想只对部分ip段设置为允许访问,至能先阻止全部ip段,再对部分ip段设为允许。
作者: guong    时间: 3 天前
来了解一下
作者: ILOVEQQ    时间: 3 天前
小弟習慣用後令壓前令的邏輯解讀。
作者: 小龙飞    时间: 3 天前
感谢您的分享!
作者: handsome_xiang    时间: 3 天前
感谢分享!
作者: linshi456    时间: 3 天前
本帖最后由 linshi456 于 2025-10-21 20:29 编辑

我以前,想禁止软件访问外网,只允许访问局域网(192.168.0.0/16)

受监控软件:Flix局域网传送
电脑上监控访问ip软件: 冰镜 终端行为分析系统
防火墙第一组:冰盾主动防御和 simplewall防火墙(这两款防火墙调用系统自带防火墙或系统WFP模型的防火墙)
防火墙第二组:火绒(独立开发防火墙)


手机上安装Flix安卓版,电脑安装Flix电脑版。
Flix局域网软件有个让人讨厌特殊地方,Flix电脑版启动时,先访问外网服务器(记得是阿里服务器)
如果外网访问成功,电脑上flix,手机上flix能相互发现对方,互传功能才可用。
如果外网访问失败,电脑和手机flix无法发现对方,互传功能不能用。


第一组,冰盾主动防御 和simplewall防火墙。局域网允许最优先,全网禁止最低(或全网禁止但局域网例外)
结果,电脑版flix突破防火墙,可以访问外网。

第二组,火绒高级设置里面,局域网允许最优先(192.168.0.0/16),全网禁止最低。
结果,成功阻止电脑上flix访问外网。




作者: fegr    时间: 昨天 13:24
多谢分享



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3