Как добавить исключения в брандмауэр Windows в Windows 10 и Windows 11

Обзор

Что такое исключение брандмауэра Windows?

Исключение брандмауэра Windows — это разрешающее правило, которое позволяет определенному сетевому трафику проходить через брандмауэр Защитника Windows. Исключение может разрешать конкретное приложение, исполняемый файл настольной программы, службу Windows, номер порта, протокол или трафик от доверенного IP-адреса.

В Windows 10 и Windows 11 исключения брандмауэра обычно создаются в одном из двух мест: на простом экране Разрешение взаимодействия с приложением через брандмауэр или в расширенной консоли Брандмауэр Защитника Windows в режиме повышенной безопасности. Расширенная консоль дает больше контроля над направлением, путем к программе, протоколом, портом, профилем и областью удаленных адресов.

🧩

Исключение для приложения

Разрешает конкретное приложение или исполняемый файл через брандмауэр. Подходит для большинства настольных программ и приложений Microsoft Store.

🔌

Исключение для порта

Разрешает трафик на TCP- или UDP-порт, например 8080, 25565 или 3389. Полезно для серверов и сетевых инструментов.

🌐

Исключение по IP-области

Разрешает трафик только от выбранных адресов локальной сети, подсетей или доверенных устройств, а не от всей сети.

ℹ️

Важно Исключение брандмауэра — это не то же самое, что исключение Microsoft Defender Antivirus. Исключение брандмауэра управляет сетевым трафиком. Антивирусное исключение сообщает Защитнику, что не нужно сканировать файл, папку, процесс или тип файлов.

Сценарии использования

Когда нужно добавить исключение в брандмауэр Windows?

Исключение может понадобиться, когда доверенное приложение должно принимать входящие подключения или когда другое устройство не может подключиться к службе, запущенной на вашем ПК с Windows.

Игровому серверу, локальному веб-серверу, базе данных, медиасерверу или инструменту разработки нужен входящий доступ.
Программа работает на этом же компьютере, но недоступна с другого ПК в локальной сети.
Удаленный рабочий стол, общий доступ к файлам, общий доступ к принтеру или другая функция Windows блокируется в доверенной сети.
Корпоративному приложению требуется разрешить конкретный исполняемый файл или порт по политике.
Стороннее приложение запрашивает разрешение, но первый запрос брандмауэра был случайно заблокирован.

⚠️

Предупреждение безопасности Не добавляйте широкие исключения брандмауэра для неизвестных программ. Разрешайте только то, что действительно нужно, по возможности избегайте профиля Public и удаляйте тестовые правила, когда они больше не нужны.

Подготовка

Что проверить перед добавлением исключения брандмауэра в Windows 10 или Windows 11

Перед изменением правил брандмауэра определите, что именно нужно разрешить. Так вы избежите слишком широкого исключения, которое потом будет сложно диагностировать.

Вопрос	Почему это важно	Пример
Какой программе нужен доступ?	Правило на основе программы обычно безопаснее, чем правило только для порта.	`C:\Program Files\MyApp\MyApp.exe`
Входящее или исходящее подключение?	Большинство проблем с размещением приложений требуют входящих правил. Исходящие правила используются, когда ограничен исходящий трафик.	Входящее правило для локального сервера
Какой сетевой профиль?	Private обычно безопаснее для домашней или офисной локальной сети. Public нужно ограничивать.	Только Private
Какой протокол и порт?	TCP и UDP — разные протоколы. Некоторым приложениям нужны оба.	`TCP 8080` или `UDP 27015`
Какие устройства могут подключаться?	Область удаленных адресов может ограничить правило доверенными IP-адресами.	`192.168.1.0/24`

🏢 Domain 🏠 Private ☕ Public

Private обычно является правильным профилем для доверенной домашней или офисной сети. Public используется для недоверенных сетей, например в отелях, аэропортах, кафе и общих Wi-Fi-сетях. Если вы не уверены, какой профиль использует ваша сеть, откройте Параметры → Сеть и Интернет и проверьте свойства активного подключения.

Способ 1

Как разрешить приложение через брандмауэр Windows

Это самый простой способ, если нужно добавить исключение брандмауэра для обычной настольной программы или приложения Microsoft Store из списка.

Нажмите Win + R, введите control firewall.cpl и нажмите Enter.
Нажмите Разрешение взаимодействия с приложением или компонентом в брандмауэре Защитника Windows.
Нажмите Изменить параметры. Может потребоваться разрешение администратора.
Найдите приложение в списке и установите флажок рядом с ним.
Выберите разрешенные профили: Private, Public или оба.
Если приложения нет в списке, нажмите Разрешить другое приложение....
Нажмите Обзор..., выберите файл программы .exe и нажмите Добавить.
Нажмите OK, чтобы сохранить исключение брандмауэра.

✅

Рекомендуется Для домашних и офисных сетей сначала разрешайте приложение только в профиле Private. Добавляйте профиль Public только тогда, когда точно понимаете, почему приложению нужно принимать подключения в недоверенных сетях.

Способ 2

Как добавить исключение для программы в брандмауэре Защитника Windows в режиме повышенной безопасности

Расширенная консоль брандмауэра лучше подходит, когда нужно правило с понятным именем, точный путь к программе, выбранные сетевые профили или ограничения по удаленным IP-адресам.

Нажмите Win + R, введите wf.msc и нажмите Enter.
В левой панели нажмите Правила для входящих подключений.
В правой панели нажмите Создать правило....
Выберите Для программы и нажмите Далее.
Выберите Путь программы, нажмите Обзор... и укажите исполняемый файл.
Выберите Разрешить подключение.
Выберите профили, к которым должно применяться правило: Domain, Private и/или Public.
Введите понятное имя, например Allow MyApp Inbound - Private.
Нажмите Готово.

Хорошие имена правил брандмауэра:

Allow Plex Media Server - Private LAN

Allow TCP 8080 - Local Web Test Server

Allow MyApp.exe Inbound - Accounting Network

После создания правила дважды щелкните его и проверьте вкладки Программы и службы, Протоколы и порты, Область и Дополнительно. Эти вкладки определяют, что именно разрешает исключение и где оно применяется.

Способ 3

Как добавить исключение для порта в брандмауэр Windows

Исключение для порта полезно, если вы точно знаете TCP- или UDP-порт, который нужен серверу, игре, инструменту устройства или среде разработки. По возможности используйте исключение для программы; исключение для порта используйте тогда, когда документация приложения прямо требует порт.

Нажмите Win + R, введите wf.msc и нажмите Enter.
Выберите Правила для входящих подключений.
Нажмите Создать правило....
Выберите Для порта и нажмите Далее.
Выберите TCP или UDP.
Выберите Определенные локальные порты и введите номер порта, например 8080. Можно также указать диапазон, например 5000-5010.
Выберите Разрешить подключение.
Выберите правильные профили, желательно только Private для использования в локальной сети.
Назовите правило понятно и нажмите Готово.

Пример правила	Протокол	Порт	Рекомендуемая область
Локальный тестовый веб-сервер	TCP	`8080`	Профиль Private, только локальная подсеть
Сервер Minecraft Java	TCP	`25565`	Профиль Private или доверенные удаленные адреса
Удаленный рабочий стол	TCP/UDP	`3389`	Только VPN или доверенные IP-адреса
Общий доступ к файлам / SMB	TCP	`445`	Только частная локальная сеть; не открывайте в интернет

Способ 4

Как добавить исключения брандмауэра Windows через PowerShell

PowerShell удобен для администраторов, повторяемой настройки, скриптов и удаленной поддержки. Перед выполнением команд ниже откройте Терминал (администратор) или Windows PowerShell (администратор).

Добавить исключение для программы через PowerShell

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow MyApp Inbound - Private" `
  -Direction Inbound `
  -Program "C:\Program Files\MyApp\MyApp.exe" `
  -Action Allow `
  -Profile Private

Добавить исключение для TCP-порта через PowerShell

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow TCP 8080 - Local Web Server" `
  -Direction Inbound `
  -Protocol TCP `
  -LocalPort 8080 `
  -Action Allow `
  -Profile Private

Добавить исключение для UDP-порта через PowerShell

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow UDP 27015 - Game Server" `
  -Direction Inbound `
  -Protocol UDP `
  -LocalPort 27015 `
  -Action Allow `
  -Profile Private

Разрешить доступ только доверенной локальной подсети

PowerShellNew-NetFirewallRule `
  -DisplayName "Allow TCP 8080 from LAN only" `
  -Direction Inbound `
  -Protocol TCP `
  -LocalPort 8080 `
  -RemoteAddress 192.168.1.0/24 `
  -Action Allow `
  -Profile Private

Замените путь к программе, отображаемое имя, порт, протокол, профиль и удаленный адрес на значения, которые нужны вашему приложению или сети.

Способ 5

Как добавить исключения брандмауэра Windows через командную строку

Командная строка может создавать исключения брандмауэра с помощью netsh advfirewall. Это полезно в старых скриптах или на системах, где PowerShell не является предпочтительным вариантом.

Добавить исключение для программы с помощью netsh

Командная строкаnetsh advfirewall firewall add rule name="Allow MyApp Inbound - Private" dir=in action=allow program="C:\Program Files\MyApp\MyApp.exe" profile=private enable=yes

Добавить исключение для TCP-порта с помощью netsh

Командная строкаnetsh advfirewall firewall add rule name="Allow TCP 8080 - Local Web Server" dir=in action=allow protocol=TCP localport=8080 profile=private enable=yes

Добавить исключение для UDP-порта с помощью netsh

Командная строкаnetsh advfirewall firewall add rule name="Allow UDP 27015 - Game Server" dir=in action=allow protocol=UDP localport=27015 profile=private enable=yes

💡

Совет По возможности используйте PowerShell для новой автоматизации. Его команды проще читать, проще фильтровать, и они лучше соответствуют современному администрированию Windows.

Область

Как ограничить исключение брандмауэра частными сетями или доверенными IP-адресами

Самое безопасное исключение брандмауэра — самое узкое исключение, которое все еще позволяет приложению работать. После создания правила в wf.msc его можно дополнительно ограничить.

Ограничить правило частными сетями

Откройте wf.msc.
Нажмите Правила для входящих подключений.
Дважды щелкните свое пользовательское правило.
Откройте вкладку Дополнительно.
В разделе Профили оставьте выбранным только Private, если другой профиль не требуется.
Нажмите OK.

Ограничить правило доверенными IP-адресами

Откройте свойства правила в wf.msc.
Откройте вкладку Область.
В разделе Удаленный IP-адрес выберите Указанные IP-адреса.
Нажмите Добавить....
Введите доверенный IP-адрес или подсеть, например 192.168.1.50 или 192.168.1.0/24.
Нажмите OK, чтобы сохранить изменение.

🔐

Лучший подход Если доступ нужен только одному устройству, разрешите только IP-адрес этого устройства. Если доступ нужен всем устройствам в домашней локальной сети, разрешите локальную подсеть, а не все удаленные адреса.

Управление

Как изменить, отключить или удалить исключения брандмауэра Windows

Периодически проверяйте пользовательские исключения брандмауэра. Старые тестовые правила, дубликаты или правила для удаленных приложений могут создавать ненужные риски и усложнять диагностику.

Задача	Метод через интерфейс	Команда PowerShell
Отключить правило	Откройте `wf.msc`, щелкните правило правой кнопкой мыши и выберите Отключить правило.	`Disable-NetFirewallRule -DisplayName "Rule Name"`
Включить правило	Щелкните правило правой кнопкой мыши и выберите Включить правило.	`Enable-NetFirewallRule -DisplayName "Rule Name"`
Удалить правило	Щелкните правило правой кнопкой мыши и выберите Удалить.	`Remove-NetFirewallRule -DisplayName "Rule Name"`
Просмотреть подходящие правила	Используйте параметры поиска или фильтрации в разделе Правила для входящих подключений.	`Get-NetFirewallRule -DisplayName "MyApp"`

Удалить правило через командную строку

Командная строкаnetsh advfirewall firewall delete rule name="Allow TCP 8080 - Local Web Server"

Диагностика

Почему исключение брандмауэра Windows не работает

Если приложение по-прежнему блокируется после добавления исключения, проверьте направление правила, профиль, путь к программе, протокол, порт и то, действительно ли приложение прослушивает подключения.

Проблема	Что проверить	Исправление
Неверный сетевой профиль	Правило разрешено для Private, но Windows помечает сеть как Public.	Переключите активную сеть на Private, если она доверенная, или добавьте к правилу правильный профиль.
Неверное направление правила	Входящее или исходящее правило.	Создайте входящее правило, если другим устройствам нужно подключаться к этому ПК.
Изменился путь к программе	Приложение было обновлено или перемещено в другую папку.	Измените правило или создайте новое правило с текущим путем к `.exe`.
Служба не прослушивает порт	`netstat -ano \| findstr :PORT`	Запустите приложение или службу, которая должна принимать подключения.
Неверный протокол	Приложению требуется UDP, но разрешен только TCP, или наоборот.	Создайте правильное правило TCP или UDP. Некоторым приложениям нужны оба протокола.
Роутер блокирует доступ из интернета	Проброс портов, WAN IP, CGNAT и правила брандмауэра роутера.	Настраивайте проброс портов на роутере только тогда, когда внешний доступ действительно нужен и безопасен.
Активен сторонний брандмауэр	Пакеты безопасности могут заменить брандмауэр или добавить еще один уровень фильтрации.	Добавьте исключение в стороннем брандмауэре или временно протестируйте с отключенным сторонним фильтром.

Полезные команды для проверки подключений

Командная строкаnetstat -ano | findstr LISTENING
netstat -ano | findstr :8080

PowerShellGet-NetTCPConnection -State Listen
Test-NetConnection 192.168.1.50 -Port 8080

FAQ

Часто задаваемые вопросы об исключениях брандмауэра Windows

Q Безопасно ли добавлять исключение в брандмауэр Windows?

Это может быть безопасно, если приложение доверенное, правило ограничено правильным сетевым профилем, а область удаленных адресов не шире необходимого. Не добавляйте исключения для неизвестных приложений или публичных сетей.

Q Что лучше: разрешить программу или открыть порт?

По возможности выбирайте исключение для программы. Оно привязано к конкретному исполняемому файлу. Исключение для порта разрешает трафик на порт независимо от того, какая программа прослушивает этот порт.

Q В чем разница между профилями брандмауэра Private и Public?

Private предназначен для доверенных домашних или офисных сетей. Public предназначен для недоверенных сетей, таких как отели, кафе, аэропорты и общий Wi-Fi. Исключения брандмауэра обычно следует ограничивать профилем Private, если нет конкретной причины разрешать Public.

Q Нужны ли права администратора для добавления исключения брандмауэра?

Да, изменение правил брандмауэра Windows обычно требует прав администратора. Обычные пользователи могут видеть параметры, но не могут сохранить большинство изменений брандмауэра.

Q Делает ли исключение брандмауэра приложение доступным из интернета?

Само по себе — нет. Исключение брандмауэра Windows разрешает трафик на локальном ПК. Доступ из интернета также зависит от проброса портов на роутере, наличия публичного IP-адреса, NAT, ограничений провайдера и настроек службы.

Q Как отменить исключение брандмауэра?

Откройте wf.msc, найдите правило в разделе Правила для входящих подключений или Правила для исходящих подключений, затем отключите или удалите его. В PowerShell используйте Disable-NetFirewallRule или Remove-NetFirewallRule.

Итоги

Лучший способ добавить исключения в брандмауэр Windows

Для большинства пользователей самый безопасный способ — разрешить конкретное приложение через брандмауэр Windows и включить его только для профиля Private. Для более точной настройки используйте wf.msc, создайте именованное входящее правило, выберите точную программу или порт и ограничьте область доверенными IP-адресами.

🔐 Главное

Добавляйте только те исключения брандмауэра, которые действительно нужны, используйте понятные имена правил, избегайте профиля Public без необходимости и удаляйте старые правила после тестирования. Узкое правило для доверенного приложения или доверенного диапазона IP намного безопаснее широкого правила, которое позволяет подключаться любому устройству.