升级后本地防火墙规则通常会保留，但配置文件状态和特定服务路径可能变化，必须在升级前后导出策略对比。

命令速用版

注意：以下命令请以管理员身份运行 PowerShell，否则可能因权限不足导致导出失败。

使用 PowerShell 快速导出当前防火墙规则，便于升级前后对比：

Get-NetFirewallRule -Enabled True | Select-Object Name,DisplayName,Direction,Action,Profile | Export-Csv -Path "C:\FW_Rules_Backup.csv" -Encoding UTF8

或使用 netsh 导出完整配置：

netsh advfirewall export "C:\FW_Config.wfw"

自动化对比脚本

升级完成后，再次运行导出命令生成新文件（如 FW_Rules_New.csv），使用以下脚本自动对比差异：

$old = Import-Csv -Path "C:\FW_Rules_Backup.csv"
$new = Import-Csv -Path "C:\FW_Rules_New.csv"
Compare-Object -ReferenceObject $old -DifferenceObject $new -Property Name,DisplayName,Profile,Action

输出结果中标记为 => 表示新增规则，<= 表示丢失规则，需重点排查。

为什么会这样

Windows Server 2016 到 2022 的防火墙底层过滤引擎（WFP）保持一致，因此规则语法通常兼容。但升级过程中，操作系统组件路径、服务 SID 或网络配置文件（Domain/Private/Public）可能因系统重置而改变。例如，原本指向特定系统路径的规则可能因文件迁移而失效，或者网卡被重新识别为“公用网络”导致策略不匹配。

分步处理

1. 升级前备份
在升级操作开始前，务必导出当前策略。除了上述命令，建议截图保存“高级安全 Windows Defender 防火墙”控制台中的关键入站/出站规则列表，以防数据库损坏。

2. 执行升级
按照微软官方升级路径执行原地升级。升级过程中不要强制重启，等待系统自动完成配置迁移。

3. 升级后对比
升级完成后，再次运行导出命令。使用上述 PowerShell 对比脚本或文本工具比较升级前后的 CSV 文件，重点关注“程序路径”、“服务名称”和“配置文件”三列是否有变化。

4. 修复异常
如果发现规则丢失或路径错误，手动修正规则指向。若网络配置文件变为“公用”，需在网卡属性中重新设置为“专用”或“域”，以匹配原有策略。

怎么验证是否生效

1. 连通性测试
注意：避免使用 localhost 测试入站规则，因为回环流量可能绕过防火墙策略检查，导致误判。请使用本机实际 IP 或从另一台客户端测试：

Test-NetConnection -ComputerName 192.168.1.10 -Port 80

若返回 TcpTestSucceeded 为 False，检查防火墙日志。

2. 日志检查
打开事件查看器，定位到 应用程序和服务日志 > Microsoft > Windows > Windows Firewall With Advanced Security。查看是否有“丢弃数据包”的事件 ID 2003 或 2004，确认是否被策略拦截。

3. 状态确认
运行 Get-NetFirewallProfile 确认所有配置文件的 Enabled 状态是否符合预期，确保没有意外开启公共配置文件的严格模式。

常见坑

1. 网络配置文件重置
升级后网卡常被重置为“公用网络”，导致原本针对“专用网络”的规则不生效。需在升级后立即检查网络状态。

2. 服务路径变更
部分系统服务在安装更新后路径可能微调，基于路径的规则需重新确认。建议优先使用服务 SID 而非硬编码路径创建规则。

3. IPsec 策略失效
若使用了连接安全规则（IPsec），升级后可能需要重新认证或密钥协商，建议单独测试加密连接。

参考来源

• Microsoft Learn - NetSecurity 模块文档，页面标题：Get-NetFirewallRule
• Microsoft Learn - Windows Server 升级文档，页面标题：Upgrade Windows Server