若要仅允许指定 TCP 或 UDP 端口号上的入站网络流量，请使用组策略管理 MMC 管理单元中的具有高级安全性的Windows Defender防火墙节点来创建防火墙规则。 这种类型的规则允许侦听指定 TCP 或 UDP 端口的任何程序接收发送到该端口的网络流量。

管理凭据

若要完成这些过程，你必须是“域管理员”组的成员，或者被委派了修改 GPO 的权限。

本主题介绍如何为指定的协议或 TCP 或 UDP 端口号创建标准端口规则。 有关其他入站端口规则类型，请参阅：

创建入站 ICMP 规则

创建入站规则以支持 RPC

创建入站端口规则

打开组策略管理控制台，Windows Defender具有高级安全性的防火墙。

在导航窗格中，单击“ 入站规则”。

单击“ 操作”，然后单击“ 新建规则”。

在“新建入站规则向导”的“ 规则类型 ”页上，单击“ 自定义”，然后单击“ 下一步”。

注意

虽然可以通过选择 “程序 ”或“ 端口”来创建规则，但这些选择会限制向导显示的页数。 如果选择“ 自定义”，则会看到所有页面，并在创建规则时具有最大的灵活性。

在“ 程序 ”页上，单击“ 所有程序”，然后单击“ 下一步”。

注意

这种类型的规则通常与程序或服务规则结合使用。 如果将规则类型组合在一起，则会获得一个防火墙规则，该规则将流量限制到指定端口，并且仅在指定的程序正在运行时才允许流量。 指定的程序无法接收其他端口上的网络流量，其他程序无法接收指定端口上的网络流量。 如果选择执行此操作，请遵循 创建入站程序或服务规则 过程中的步骤以及此过程中的步骤创建单个规则，该规则使用程序和端口条件筛选网络流量。

在“ 协议和端口 ”页上，选择要允许的协议类型。 若要将规则限制为指定的端口号，必须选择 TCP 或 UDP。 由于这是传入规则，因此通常仅配置本地端口号。

如果选择其他协议，则仅允许其 IP 标头中的协议字段与此规则匹配的数据包通过防火墙。

若要按编号选择协议，请从列表中选择“ 自定义 ”，然后在“ 协议编号 ”框中键入编号。

配置协议和端口后，单击“ 下一步”。

在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行配置，然后单击“ 下一步”。

在 “操作” 页上，选择“ 允许连接”，然后单击“ 下一步”。

在 “配置文件 ”页上，选择应用此规则的网络位置类型，然后单击“ 下一步”。

注意

如果此 GPO 面向运行 Windows Server 2008 的服务器计算机永远不会移动，请考虑修改规则以应用于所有网络位置类型配置文件。 如果网络位置类型因安装新网络卡或现有网络卡电缆断开连接而发生更改，则这可以防止应用规则发生意外更改。 断开连接的网络卡会自动分配给公用网络位置类型。

在 “名称 ”页上，键入规则的名称和说明，然后单击“ 完成”。