新增或編輯防火牆規則

可以為輸入流量或輸出流量建立規則。可以設定規則來指定程式、服務、通訊協定或連接埠。隨著 IT 環境的變更，您可以變更、建立或刪除規則。

依下列優先順序套用防火牆規則：

• 不使用驗證 (覆寫封鎖規則的規則)
  
  
• 封鎖連線
  
  
• 允許連線
  
  

因為 [具有進階安全性的 Windows 防火牆] 預設為封鎖所有未經要求的 TCP/IP 連入流量，所以可能需要為做為伺服器、接聽程式或對等電腦的程式或服務，設定程式、連接埠以及系統服務規則。當伺服器角色或設定變更時，必須以進行中的模式來管理程式、連接埠以及系統服務規則。

	重要
	防火牆規則的設定會將增加的限制層級新增至連線要求需符合的規則條件中。例如，若未在 [程式和服務] 索引標籤上指定程式或服務，將會允許所有符合其他條件的程式和服務連線。因此，加入更詳細的條件會使規則變得更嚴格且較不可能符合。

若要新增程式至規則清單中，必須指定該程式所使用之執行檔 (.exe) 的完整路徑。若系統服務在本身唯一的 .exe 檔案中執行且不受服務容器主控，將會被視為程式，且可新增至規則清單中。同樣地，只要程式是以其獨特的 .exe 檔案執行，功能如同系統服務且不論使用者是否登入電腦都會執行，也會被視為程式。

	注意
	將主控服務的程式 (例如 Svchost.exe、Dllhost.exe 以及 Inetinfo.exe) 新增至規則清單而不在規則中進一步限制，可能會使電腦暴露在安全性威脅之下。同時，新增這些程式可能會與執行 Windows Server 2008 R2 或 Windows Server 2008 電腦上的其他服務強化原則產生衝突。

當您將程式新增至規則清單時，[具有進階安全性的 Windows 防火牆] 會動態地開啟 (解除封鎖) 和關閉 (封鎖) 程式所需的連接埠。當程式正在執行和接聽連入流量時，[具有進階安全性的 Windows 防火牆] 會開啟必要的連接埠；當程式沒有在執行或接聽連入流量時，[具有進階安全性的 Windows 防火牆] 會關閉這些連接埠。基於此動態行為，建議使用新增程式到規則清單的方式來透過 [具有進階安全性的 Windows 防火牆] 允許未經要求的連入流量。

	附註
	只有當程式使用 Windows Sockets (Winsock) 來建立連接埠指派時，才可以使用程式規則透過 [具有進階安全性的 Windows 防火牆] 允許未經要求的連入流量。若程式未使用 Winsock 指派連接埠時，則必須決定程式使用哪些連接埠，然後將這些連接埠新增至規則清單中。

在某些情形下，如果您無法將程式或系統服務新增至規則清單，則必須判斷程式或系統服務要使用哪個連接埠，然後將連接埠新增至 [具有進階安全性的 Windows 防火牆] 規則清單。

在 [通訊協定及連接埠] 索引標籤上，您可以從最常用的通訊協定清單及其相關的通訊協定號碼選取。如果您要新增的通訊協定不在清單中，可以選取 [自訂]，再指定通訊協定號碼。

如果您選取 TCP 或 UDP 通訊協定，接著指定要套用規則的本機和遠端連接埠。將 TCP 或 UDP 連接埠新增至規則清單時，不論程式或系統服務是否正在接聽連接埠上的輸入流量，[具有進階安全性的 Windows 防火牆] 執行時連接埠隨時都是開啟的 (不封鎖)。基於此原因，若需要透過 [具有進階安全性的 Windows 防火牆] 允許未經要求的連入流量，應建立程式規則而不是連接埠規則。

使用 [領域] 索引標籤可指定 IP 位址、子網路或 IP 位址範圍。您可以使用 IPv4 和 IPv6 IP 位址。