为什么需要让防火墙放行特定IP
你在公司做IT支持,同事小李远程办公连不上内部系统,一查才发现是防火墙挡了。其实这种情况很常见,有些服务只允许固定IP访问,比如财务系统、数据库或者监控平台。这时候就得在防火墙里加个“白名单”,让指定的IP能顺利通行。
Windows自带的防火墙就能实现这个功能,不需要额外装软件,操作也并不复杂。
Windows防火墙如何放行某个IP
打开“控制面板” → “系统和安全” → “Windows Defender 防火墙” → “高级设置”。进入后你会看到“入站规则”和“出站规则”,一般我们关心的是别人能不能连你,所以点“入站规则”。
右侧点击“新建规则”,选择“自定义”规则类型,然后“所有程序”保持默认。在“作用域”这一步最关键:在“远程IP地址”部分,选“下列IP地址”,然后点“添加”。输入你想放行的IP,比如192.168.1.100,或者一个网段如192.168.1.0/24。
接下来设置“操作”为“允许连接”,配置文件全勾上(域、专用、公用),名称可以写“放行财务部IP”这种容易识别的名字。完成之后这条规则就生效了。
用命令行快速配置(适合批量操作)
如果你要配置多台电脑,图形界面太慢,可以用netsh命令。以管理员身份运行命令提示符,输入:
netsh advfirewall firewall add rule name="Allow IP 192.168.1.100" dir=in action=allow remoteip=192.168.1.100 protocol=any这样就添加了一条入站规则,只允许这个IP访问。如果想限制到某个端口,比如只放行该IP访问80端口,可以改写为:
netsh advfirewall firewall add rule name="Allow Web from 192.168.1.100" dir=in action=allow remoteip=192.168.1.100 protocol=tcp localport=80企业环境中更常见的做法
公司用的通常是硬件防火墙或第三方安全网关,比如华为USG、深信服AF这类设备。配置方式类似,登录管理界面后,在访问控制策略里添加一条规则:源地址填允许的IP,动作设为“允许”,目标端口和服务按需填写。保存后立刻生效。
举个例子,服务器只让办公室网络访问SSH(22端口),就把源IP设成10.0.1.0/24网段,目标端口22,协议TCP,动作放行。其他所有外网IP尝试连SSH都会被拦截。
配置完建议用另一台机器测试下,比如用telnet或者ping验证是否通得过。别忘了日志查看功能,万一出问题能快速定位是不是规则写错了。