Windows服务器封禁IP远程访问：最全实操命令+日志溯源教程

在Windows服务器运维过程中，经常会遇到恶意IP扫描、暴力破解远程桌面、异常访问攻击等问题。最直接有效的防护方式，就是通过系统防火墙手动封禁可疑IP，阻断其所有远程访问行为。

很多运维新手只会简单封禁IP，但不会规范命名规则、不会查询已封禁规则、无法溯源规则创建时间，导致服务器黑名单混乱、无法排查攻击记录。今天这篇教程，给大家整理一套标准化、可落地、可溯源的Windows防火墙IP封禁完整方案，全程原生命令、无需第三方工具。

一、标准化IP封禁命令（推荐生产使用）

为了统一运维规范，我们采用 TRUE_BAN_IP地址 统一规则命名，方便后期批量管理、筛选、删除规则，避免系统默认命名混乱。

1. 核心封禁命令（阻断所有远程访问）

管理员身份打开CMD，执行以下命令，可封禁指定IP的所有入站远程访问（包含3389远程桌面、端口扫描、SSH、服务访问等）：

netsh advfirewall firewall add rule name=TRUE_BAN_31.7.56.210 dir=in action=block remoteip=31.7.56.210 enable=yes

命令参数详解：

• name：规则统一前缀 TRUE_BAN，标识为手动封禁黑名单，便于批量检索

• dir=in：拦截该IP所有主动访问服务器的入站流量

• action=block：直接丢弃数据包，拒绝所有访问

• remoteip：需要封禁的恶意IP地址

• enable=yes：规则创建后立即生效

2. 对应解封命令

若后续需要解除IP封禁，直接通过规则名称删除即可，无需复杂配置：

netsh advfirewall firewall delete rule name=TRUE_BAN_31.7.56.210

二、查看所有已封禁的黑名单IP

服务器长期运维会积累大量封禁IP，如何快速筛选所有手动封禁的黑名单规则？

1. 命令行批量查询（精准筛选）

通过关键词 TRUE_BAN 过滤所有手动封禁的IP规则，干净无冗余：

netsh advfirewall firewall show rule name=all | findstr TRUE_BAN

2. 图形化界面可视化查看

适合新手直观查看所有防火墙规则，操作简单：

1. 快捷键 Win+R，输入 wf.msc 回车，打开高级安全Windows防火墙

2. 左侧选择 入站规则

3. 右侧列表筛选名称带 TRUE_BAN 的规则，即可查看所有封禁IP