Windows 11防火墙设置教程 如何禁止指定程序联网

想在Windows 11里精准“掐断”某个程序的网络连接吗？无论是为了防止后台偷偷上传数据、节省宝贵的带宽，还是单纯想保护隐私，利用系统自带的Windows Defender防火墙，你完全能做到。它功能强大，无需借助任何第三方工具。下面这五种方法，从图形界面到命令行，从主动拦截到被动屏蔽，总有一款适合你。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

一、通过高级安全 Windows 防火墙创建出站阻止规则

这是最直接、最根本的方法。它能在系统内核层面，拦截程序所有主动发起的对外连接。规则一旦生效，优先级极高，并且对域网络、家庭或工作网络（专用）以及公共网络都一视同仁。

操作起来也不复杂：

1. 按下 Win + R，输入 wf.msc 回车，打开“高级安全 Windows 防火墙”这个控制台。

2. 在左侧找到“出站规则”，右键点击它，选择“新建规则”。

3. 规则类型选“程序”，然后下一步。

4. 这一步是关键：选择“此程序路径”，然后点击“浏览”，找到并选中你想禁网的程序主文件。比如QQ，路径可能就是 C:\Program Files\QQ\Bin\QQ.exe。

5. 操作当然选“阻止连接”。

6. 在配置文件页面，务必把“域”、“专用”、“公用”三个选项全部勾选上，确保它在任何网络环境下都无法联网。

7. 最后，给规则起个一目了然的名字，比如“阻止QQ外连”，点“完成”就大功告成了。

二、同步配置入站阻止规则以防被动通信

只设出站规则就够了吗？对于很多现代软件来说，可能还不够。有些程序虽然不主动“往外跑”，但会在本地“开个门”（监听端口），等待外部的连接请求，比如自动更新服务、数据上报接口。这时候，就需要补上入站规则，实现双向封锁。

方法和上面几乎是对称的：

1. 同样在“高级安全 Windows 防火墙”界面，这次右键点击左侧的“入站规则”，新建规则。

2. 后续步骤一样：选“程序”，指定相同的程序路径（例如 C:\Program Files\WeChat\WeChat.exe）。

3. 操作选“阻止连接”，配置文件同样全选“域、专用、公用”。

4. 最后，起个像“禁止某程序接收连接”这样的名字完成创建。这样一来，程序就彻底与网络隔绝了。

三、使用 netsh 命令行快速部署双向阻止规则

如果你喜欢效率，或者需要批量处理多台电脑，命令行工具 netsh 是你的好帮手。它执行速度快，支持脚本化操作，创建的规则和图形界面里的一模一样，即时生效。

具体怎么做？

1. 首先，用管理员身份打开 Windows 终端（PowerShell 或 CMD 都行）。

2. 执行下面这条命令来添加出站拦截（记得把路径换成你目标程序的实际路径）：

netsh advfirewall firewall add rule name="禁止某程序联网_出站" dir=out action=block program="C:\Program Files\XXX\app.exe" enable=yes

3. 再执行这条命令，添加入站拦截：

netsh advfirewall firewall add rule name="禁止某程序联网_入站" dir=in action=block program="C:\Program Files\XXX\app.exe" enable=yes

4. 创建完成后，可以用 netsh advfirewall firewall show rule name="禁止某程序联网_出站" 来验证一下规则是否已经成功添加并处于启用状态。

四、修改 hosts 文件屏蔽程序关联域名

这个方法比较“巧妙”，它针对的是那些必须连接特定域名（比如更新服务器、数据上报地址）才能通信的程序。原理是把这些域名指向本机（127.0.0.1），让程序“找不到路”。它不干扰程序本身运行，也不影响其他软件，属于一种轻量级的补充手段。

操作步骤：

1. 用管理员身份运行记事本。点击“文件”->“打开”，在路径栏直接输入 C:\Windows\System32\drivers\etc\hosts，文件类型选“所有文件”，然后打开它。

2. 在文件末尾新起一行，添加如下内容：

127.0.0.1 update.example.com

（请将 update.example.com 替换成你通过“资源监视器”或“Process Explorer”等工具抓取到的程序真实请求域名。）

3. 点击“文件”->“另存为”，注意编码选择 UTF-8，然后确认覆盖保存原文件。

4. 保存后，重启目标程序，它那些依赖特定域名的操作（比如检查更新）应该就会失败了。

五、在 Windows 安全中心撤销已有放行权限

这是很多人会忽略但至关重要的一步：如果这个程序之前被你或系统手动添加到过防火墙的“允许列表”里，那么这条“放行令”的优先级会高于你新建的“阻止令”，导致拦截失效。所以，在设置阻止规则前，最好先来“清理一下门户”。

1. 打开系统“设置”，进入“隐私和安全性” -> “Windows 安全中心”。

2. 点击“防火墙和网络保护”，然后找到并点击“允许应用通过防火墙”。

3. 点击右上角的“更改设置”，按提示授予管理员权限。

4. 在出现的应用列表里，找到你想禁止联网的程序，取消勾选它后面的“专用”和“公用”两个复选框。

5. 如果列表里压根找不到这个程序，那恭喜你，说明它之前没有被特别放行，这一步就可以跳过了。

好了，以上就是五种利用Windows原生防火墙精准管控程序联网的方法。它们可以单独使用，也可以组合搭配，形成更严密的防护网。根据你的具体需求和场景，选择最适合的那把“锁”吧。