dos 新增防火牆入站規則

注：原文**

如果程式在開啟了防火牆的計算機上執行，windows會彈出安全警報：防火牆阻止程式的某些聯網功能，這無疑會降低終端使用者的使用體驗，那麼，我們如何把程式新增到防火牆允許的程式列表中呢？

答案是：使用cmd命令！

命令：

netsh advfirewall firewall add rule

用法：

備註：

- 將新的入站或出站規則新增到防火牆策略。

- 規則名稱應該是唯一的，且不能為 "all"。

- 如果已指定遠端計算機或使用者組，則 security 必須為authenticate、authenc、authdynenc 或 authnoencap。

- 為 authdynenc 設定安全性可允許系統動態協商為匹配給定 windows 防火牆規則的通訊使用加密。

根據現有連線安全規則屬性協商加密。

選擇此選項後，只要入站 ipsec 連線已設定安全保護，但未使用 ipsec 進行加密，計算機就能夠接收該入站連線的第乙個 tcp 或 udp 包。

一旦處理了第乙個資料報，伺服器將重新協商連線並對其進行公升級，以便所有後續通訊都完全加密。

- 如果 action=bypass，則 dir=in 時必須指定遠端計算機組。

- 如果 service=any，則規則僅應用到服務。

- icmp 型別或**可以為 "any"。

- edge 只能為入站規則指定。

- authenc 和 authnoencap 不能同時使用。

- authdynenc 僅當 dir=in 時有效。

- 設定 authnoencap 後，security=authenticate 選項就變成可選引數。

cmd示例：

為不具有封裝的 messenger.exe 新增入站規則:

netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\programfiles\messenger\msmsgs.exe" security=authnoencap action=allow

為埠 80 新增出站規則:

netsh advfirewall firewall add rule name="allow80" protocol=tcp dir=out localport=80 action=block

為 tcp 埠 80 通訊新增需要安全和加密的入站規則:

netsh advfirewall firewall add rule name="require encryption for inbound tcp/80" protocol=tcp dir=in localport=80 security=authdynenc action=allow

為 messenger.exe 新增需要安全的入站規則:

netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\program files\messenger\msmsgs.exe" security=authenticate action=allow

為 sddl 字串標識的組 acmedomain\scanners 新增經過身份驗證的防火牆跳過規則:

netsh advfirewall firewall add rule name="allow scanners" dir=in rmtcomputergrp=action=bypass security=authenticate

為 udp- 的本地埠 5000-5010 新增出站允許規則

add rule name="allow port range" dir=out protocol=udp localport=5000-5010 action=allow