使用命令行支持
Windows 防火墙 Netsh 帮助程序已添加到 Windows XP 的 Microsoft Advanced Networking Pack 中。此命令行帮助程序以前适用于 IPv6 Windows 防火墙。在 Windows XP Service Pack 2 中，该帮助程序现在支持对 IPv4 进行配置。

通过使用 Netsh 帮助程序，您现在可以： ?配置 Windows 防火墙的默认状态。（选项包括“关闭”、“启用”和“启用并且没有例外”。）
?配置必须打开的端口。
?配置端口以启用全局访问，或限制对本地子网的访问。
?将端口设置为在所有接口上打开，或者仅在特定接口上打开。
?配置日志记录选项。
?配置 Internet 控制消息协议 (ICMP) 处理选项。
?在例外列表中添加或删除程序。
这些配置选项适用于 IPv4 Windows 防火墙和 IPv6 Windows 防火墙，但 Windows 防火墙版本中不存在的特定功能除外。

收集诊断数据
可以使用 Netsh.exe 工具，在命令行中检索 Windows 防火墙的配置和状态信息。此工具将 IPv4 防火墙支持添加到以下 Netsh 上下文中：
netsh firewall
要使用此上下文，请在命令提示符下键入 netsh firewall，然后根据需要使用其他 Netsh 命令。以下命令对于收集防火墙状态和配置信息非常有用： ?Netsh firewall show state
?Netsh firewall show config

可以将这些命令的输出与 netstat –ano 命令的输出进行比较，确定可能打开侦听端口并且在防火墙配置中无相应例外项的程序。下表列出了受支持的数据收集和配置命令。

注意：只有管理员能够修改设置。

数据收集 命令说明
show allowedprogram显示允许的程序。
show config显示详细的本地配置信息。
show currentprofile显示当前配置文件。
show icmpsetting显示 ICMP 设置。
show logging显示日志记录设置。
show opmode显示操作模式。
show portopening显示例外端口。
show service显示服务。
show state显示当前的状态信息。
show notifications显示当前通知设置。

配置 命令说明
add allowedprogram用于通过指定程序的文件名来添加例外通信。
set allowedprogram用于修改现有允许的程序的设置。
delete allowedprogram用于删除现有允许的程序。
set icmpsetting用于指定允许的 ICMP 通信。
set logging用于为 Windows 防火墙指定全局日志记录选项，或为特定连接（接口）指定日志记录选项。
set opmode用于为 Windows 防火墙指定全局操作模式，或为特定连接（接口）指定操作模式。
add portopening用于通过指定 TCP 或 UDP 端口来添加例外通信。
set portopening用于修改现有打开的 TCP 或 UDP 端口的设置。
delete portopening用于删除现有打开的 TCP 或 UDP 端口。
set service用于启用或丢弃 RPC 和 DCOM 通信、文件和打印机共享以及 UPnP 通信。
set notifications用于指定当程序试图打开端口时是否通知用户。
reset将防火墙配置重置为默认设置。它提供与“Windows 防火墙”界面中的“还原为默认值”按钮相同的功能。

解决防火墙问题
除程序兼容性问题外，Windows 防火墙还可能会出现其他问题。请按照下列步骤操作来诊断问题： 1.要检查 TCP/IP 是否正常工作，请使用 ping 命令测试环回地址 (127.0.0.1) 和分配的 IP 地址。
2.检查用户界面中的配置，确定是否误将防火墙设置为“关闭”或“启用并且没有例外”。
3.使用 netsh 命令收集防火墙状态和配置信息，以查找无意中设定的可能妨碍防火墙正常运行的设置。
4.在命令提示符下键入以下命令来确定“Windows 防火墙/Internet 连接共享”服务的状态：
sc query sharedaccess
（该服务的简称是 SharedAccess。）如果此服务未启动，请根据 Win32 退出代码来排查服务启动问题。
5.在命令提示符下键入以下命令来确定 Ipnat.sys 防火墙驱动程序的状态：
sc query ipnat
此命令还会返回上一次启动尝试的 Win32 退出代码。如果驱动程序未启动，请使用适用于任何其他驱动程序的故障排查步骤。
6.如果该驱动程序和服务均在运行，而且事件日志中没有相关的错误，请使用“Windows 防火墙”属性“高级”选项卡上的“还原为默认值”选项来消除任何可能有问题的配置。
7.如果问题仍未解决，请查找可能产生异常行为的策略设置。为此，请在命令提示符下键入 GPResult /v > gpresult.txt，然后检查生成的文本文件以查找与防火墙有关的配置策略。