为了保护计算机的安全，应当使 Windows 防火墙（或您选择的另一个防火墙）处于打开状态，以便阻止外界与您的计算机建立未经请求的连接。如果要允许建立这种类型的连接，必须针对特定程序或服务允许例外或打开“端口”。

     端口是信息流入计算机时经过的入口。例如，如果某个人在与您进行即时消息通信时要向您发送文件（比如照片），那么 Windows 防火墙将询问您是否要取消阻止该请求，以便允许照片到达您的计算机。或者，如果您要在 Internet 上与朋友玩多人网络游戏，那么可以为游戏打开一个端口，这样，防火墙就会允许游戏信息到达您的计算机。

     每次对某个程序允许例外或打开端口以使其能够通过 Windows 防火墙通信时，您的计算机都会变得更容易受到攻击。打开端口就像是在防火墙上刺穿一个洞。如果有太多这样的洞，防火墙的“墙面”也就不多了。未知入侵者经常使用扫描 Internet 的软件来查找那些连接不受保护的计算机。如果您的计算机上有许多打开的端口，那么可能会成为这些入侵者的牺牲品。

以下原则有助于在打开端口的时候降低安全风险：

      每个端口都有一个类似于地址的号码。许多程序和服务都有一个“永久地址”，也就是说，有预定义的端口号。您可以在制造商的文档中或其网站上查找程序或服务的正确端口号。有关详细信息，请参阅 Microsoft 网站 (http://www.microsoft.com/) 上的“如何在 Windows 防火墙中打开端口”。

     某些程序（例如，某些游戏）不使用预定义的端口号，它们会根据需要自动打开端口。要让这样的程序连接到您的计算机，Windows 防火墙必须允许该程序打开正确的端口。为了使这些程序正常工作，必须将其列在 Windows 防火墙中的“例外”选项卡上。

     当您为服务或程序（如游戏）添加或更改设置时，您必须选择是为任何计算机打开端口还是只为您的网络上的计算机打开端口。如果您选择“任何计算机”，那么任何人都可以从 Internet 或您的网络连接到您的计算机。如果您选择“仅限我的网络”，那么只有本地网络上的计算机可以连接到您的计算机。如果您愿意，可以单击“自定义”，然后键入一列应该被允许访问的自定义 IP 地址和子网。