windows defender防火墙优先规则

likeyouli

官网说的看不太懂 https://learn.microsoft.com/zh-c ... dows-firewall/rules

入站和出站规则的规则优先级
在许多情况下，应用程序在网络中运行需要允许特定类型的入站流量。 在配置入站异常时，管理员应记住以下规则优先行为：

显式定义的允许规则优先于默认阻止设置。
显式阻止规则优先于任何冲突的允许规则。
更具体的规则优先于不太具体的规则，除非存在如 2 中所述的显式阻止规则。 例如，如果规则 1 的参数包含 IP 地址范围，而规则 2 的参数包括单个 IP 主机地址，则规则 2 优先。
由于 1 和 2，在设计一组策略时，应确保没有其他可能无意重叠的显式阻止规则，从而阻止希望允许的流量流。

出站规则遵循相同的优先行为。

比如，    出站规则/针对某个应用程序：全部禁止
              出站规则/针对某个应用程序：仅10.0.0.0-10.255.255.255 这个ip段允许

           问题：① 这两个规则哪个优先级高 ？   全部禁止了，再对个别ip段设置允许还起作用吗 ？                  
                    ②另外，能不能针对文件夹设置防火墙？ 有的大软件包含很多exe小文件，不知道哪个文件发挥的作用，所以直接对文件夹设置防火墙会更省事，但不知道如何设置，还是windows defender防火墙仅能对exe文件设置防火墙 ？
                   ③入站规则和出站需要同时配置吗？ 像我上边这样，仅配置出站规则可以吗？禁止出了，是不是也入不进来？TCP/IP协议不是需要几次握手吗？禁止出站了，就应该也入不了站吧 ？

fegr

多谢分享

linshi456

我以前，想禁止软件访问外网，只允许访问局域网（192.168.0.0/16)

受监控软件：Flix局域网传送
电脑上监控访问ip软件： 冰镜 终端行为分析系统
防火墙第一组：冰盾主动防御和 simplewall防火墙（这两款防火墙调用系统自带防火墙或系统WFP模型的防火墙）
防火墙第二组：火绒（独立开发防火墙）


手机上安装Flix安卓版，电脑安装Flix电脑版。
Flix局域网软件有个让人讨厌特殊地方，Flix电脑版启动时，先访问外网服务器(记得是阿里服务器)
如果外网访问成功，电脑上flix，手机上flix能相互发现对方，互传功能才可用。
如果外网访问失败，电脑和手机flix无法发现对方，互传功能不能用。


第一组，冰盾主动防御 和simplewall防火墙。局域网允许最优先，全网禁止最低（或全网禁止但局域网例外）
结果，电脑版flix突破防火墙，可以访问外网。

第二组，火绒高级设置里面，局域网允许最优先(192.168.0.0/16)，全网禁止最低。
结果，成功阻止电脑上flix访问外网。

handsome_xiang

感谢分享！

小龙飞

感谢您的分享！

ILOVEQQ

小弟習慣用後令壓前令的邏輯解讀。

guong

来了解一下

likeyouli

linshi456 发表于 2025-10-21 13:25
问题：① 这两个规则哪个优先级高 ？   全部禁止了，再对个别ip段设置允许还起作用吗 ？

答  禁止优先 ...

感谢回复，
   关于 “① 这两个规则哪个优先级高 ？   全部禁止了，再对个别ip段设置允许还起作用吗 ？”
     deepseek搜索的是允许优先级高，原因是阻止是针对全部ip，属于不太具体的规则；允许是针对部分ip段，属于更具体的规则，更具体的规则优先于不太具体的规则。
     但我不太好测试，只能慢慢观察，目前的感受应该是允许优先级高。      而且从另一个角度说，我想只对部分ip段设置为允许访问，至能先阻止全部ip段，再对部分ip段设为允许。

rgfwqx@163.com

谢谢

linshi456

问题：① 这两个规则哪个优先级高 ？   全部禁止了，再对个别ip段设置允许还起作用吗 ？

答  禁止优先级高，ip段应该失效。 （建议局域互传软件localsend软件测试看看，有电脑和手机版本）              
②另外，能不能针对文件夹设置防火墙？ 有的大软件包含很多exe小文件，不知道哪个文件发挥的作用，所以直接对文件夹设置防火墙会更省事，但不知道如何设置，还是windows defender防火墙仅能对exe文件设置防火墙 ？

答 无法设置文件夹。但一些第三方辅助小软件，应该是使用windows defender批命令间接实现。

③入站规则和出站需要同时配置吗？ 像我上边这样，仅配置出站规则可以吗？禁止出了，是不是也入不进来？TCP/IP协议不是需要几次握手吗？禁止出站了，就应该也入不了站吧 ？

答 三次握手应该属于更底层部分，TCP/IP协议应该无法控制。


对防火墙感兴趣，个人推荐sep防火墙，本论坛搜索关键字    目前最好用的防火墙软件【SEP 14.3】，不过安装sep防火墙前先备份系统。sep杀毒部分不要安装，中文版杀毒功能有bug，说是误杀exe dll等文件在恢复区无法恢复。

卡饭论坛专门讨论杀毒软件防火墙和病毒。

ebaqiang

抽空研究下

2747157

多谢分享，看看学习下

chishingchan

这 WD 研究 禁用它 及 卸载它 更好！

it323

感觉系统自带防火墙没什么用有时设置了没什么效果，反而第三方效果马上见效比如FortFirewall

aduge38

学习学习

likeyouli

2013qwaszx 发表于 2025-10-21 08:42
- 显式定义的允许规则优先于默认阻止设置。
    明确的规则优于默认的规则。比如默认阻止入站，但你添加了 ...

您发的和官方的解释差不多，还是看不懂，比如什么是显示定义？
还有我说的那3个问题感觉还是没有回答了

xpzzj

都是关了windows defende，用火绒

kimleee

感谢分享

wn168cn@163.com

可以考虑用 Simplewall 之类的第三方轻量级防火墙

woloveqq

我也是关闭了windows defender，用的火绒+奇安信

qkywan

在硬件防火墙上的规则是很注意顺序的，一般权限最严的放到最后，并且你的这规则很矛盾啊

2012andyle113

这说明就是具体细规则大于大范围粗规则啊，出入，自己看需要设置了，阻止出只是自己出不去，从外面还是可以访问到的，特别针对端口的情况，你具体到软件一般阻止出就可以了，另外，我是还没见识过防火墙可以对文件夹做规则的

肉仔

来看看

lanmeizhuangyua

多谢分享

2013qwaszx

- 显式定义的允许规则优先于默认阻止设置。
    明确的规则优于默认的规则。比如默认阻止入站，但你添加了一条允许入站，则允许大于拒绝

- 显式阻止规则优先于任何冲突的允许规则。
    阻止大于允许。比如一个TCP端口同时定义了两条入站规则，一条阻止，一条允许，他俩冲突。这时候阻止大于允许，实际上按阻止来。

- 更具体的规则优先于不太具体的规则，除非存在如 2 中所述的显式阻止规则。
    具体的大于精确范围的。单个IP的规则大于一段IP的规则。

入站、出站
Windows 防火墙通常用来配TCP/UDP相关的设置。入站是一个4层连接主动连入本机，出站是本机主动向外连。

窄口牛

likeyouli 发表于 2025-10-21 08:01
配置里可以本地ip和远程ip分开设置。
       什么是本地ip和远程ip？我的理解，经过网关的都是外网，都 ...

哦，抽空研究下吧。最好还是第三方防火墙，可以禁止系统进程联网。

gander6

WD是公认的讨厌之物。

sdb5168

我来看看

likeyouli

窄口牛 发表于 2025-10-21 07:49
我也了解一下，自打xp那会儿开始就没明白这个东西，入站是指外面访问系统？出站是系统访问外面？那局域网呢 ...

配置里可以本地ip和远程ip分开设置。
       什么是本地ip和远程ip？我的理解，经过网关的都是外网，都需要入站出站，比如主机10.79.80.209/24 ,  网关10.79.80.1， 因为前24位是网络地址，所以访问10.79.80.2-10.79.80.255都不需要经过网关，可以直接访问，属于本地ip；访问其他10.x.x.x 和x.x.x.x 都需要经过网关，属于远程ip。

窄口牛

nie956 发表于 2025-10-21 07:48
windows defender都是关闭了

两码事，删了wd，wd防火墙也还在。