防火牆應用程式規則就是： 防火牆對每一個電腦中的應用程式會設定一個規則 這個規則中規定了這個程式的哪些執行是被允許的，哪些行為是被禁止的，哪些行為是需要詢問使用者的 傳統防火牆，規則規定的是所有連線網路的行為 但現在很多防火牆集成了主機入侵防禦系統～ 這一部分的規則規定的是程式所有的本地呼叫、鉤子、登錄檔修改、關鍵檔案（夾）修改等等 總而言之，應用程式規則就是對程式行為的一個嚴格規定，每個程式執行前都要被防火牆的對應規則驗證，然後給據規則中規定的條例判斷放行還是攔截。

防火牆規則

高階安全Windows防火牆規則，支援伺服器向程式、系統服務、伺服器及使用者傳送通訊，或者從程式、系統服務、伺服器及使用者接收通訊。防護牆規則，支援匹配“訪問控制”行為的所有連線。執行以下三個操作之一：允許連線、只允許透過Internet協議安全保護的連結，或者明確阻止連線。

（1）防火牆規則優先順序

首先跳過身份驗證（也就是說，替代阻止規則的規則）；然後阻止連線；再允許連線。最後預設配置檔案行文。可根據“高階安全Windows防火牆屬性”對話方塊中的“配置檔案”選項卡中所指定的內容，設定允許連線或阻止連線。

（2）防火牆入戰規則

明確允許或者明確阻止與規則條件匹配的通訊。例如，可以將規則配置為允許受IPSec保護的遠端桌面通訊透過防火牆，單阻止不受IPSec保護的遠端桌面通訊。首次安裝Windows Server 2008時，將阻止入站通訊，必須建立一個入站規則。在沒有適用的入站規則的情況下，也可以對高階安全Windows防火牆所執行的操作進行配置。

（3）防火牆的出戰規則

明確允許或者明確拒絕來自於規則條件匹配的通訊。例如，可以將規則配置為明確阻止出站通訊到達某一臺計算機，但允許同樣的通訊到達其他計算機。防火牆在預設的情況下允許出戰通訊，因此，必須創建出戰規則來阻止通訊。無論在預設情況下是允許或是阻止連線，都可以配置預設操作。

（4）防火牆規則和連線安全規則的關聯

防火牆規則允許通訊透過防火牆，但不確保這些通訊安全。使用IPSec可以建立連線安全規則，確保通訊安全。但是，建立連線安全規則不允許通訊透過防火牆。如果防火牆預設的行為不允許該通訊透過，則必須建立防火牆規則來實現此操作。連線安全規則不應用於程式或服務，它們應用於構成兩個終結點的計算機之間。

（5）配置規則

高階安全Windows防火牆在預設情況下阻止所有非TCP/IP入站請求通訊，當伺服器角色或者配置更改時，必須根據實際情況對程式、埠和系統服務規則進行管理。防火牆規則設定的訪問控制物件組合越多，規則匹配限制級別就越大。例如，如果未在“程式和服務”選項卡中指定程式或服務，將允許所有與其他條件相匹配的程式和伺服器連線。因此，新增更詳細的訪問控制表項，會使規則變得越來越嚴格，匹配的可能性也就越小。