1) 什麼是 Public / Private（與 Domain）「網路設定檔」

Windows 會把每個實體或虛擬網路介面套用一個「網路設定檔（Network profile）」：

• Public（公用）：把所在網路視為不受信任（咖啡廳、旅館、4G/5G 熱點）。預設關閉裝置探索、檔案/印表機共用，只允許少數必要的輸出/輸入。
• Private（私人）：把所在網路視為受信任的局域網（家裡、小型辦公室）。可開啟裝置探索、檔案/印表機共用與你明確允許的服務。
• Domain（網域）：當電腦加入 AD 網域且能與網域控制站驗證時自動套用。通常由群組原則統一控管規則。

設定檔是「這台機器對所連的這個網路」的信任等級，防火牆不關心「對方主機是不是 public」，而是我這台機器對目前所處網路的信任度。

2) 為什麼要分設定檔？

不同場合的網路風險不同：

• 在公用 Wi-Fi，應該把入站開口降到最低（Public）。
• 在家或辦公室內網，需要容許同網段的裝置彼此發現與連線（Private/Domain）。
  把規則分檔案後，可以針對同一條規則指定「適用於 Public / Private / Domain 哪些情境」，在不同場所自動套用不同嚴謹度。

3) 流量過防火牆時到底套用哪個檔？

• 取決於這個網路介面目前的設定檔（Public/Private/Domain），與對方來自哪個網段、哪個次要介面無關。
• 如果主機同時連到多個網路（例如乙太網 + VPN），每個介面都有自己的設定檔；封包從哪個介面進來，就套用該介面上的規則。

例：假設 RDP 3389 規則只勾 Private。若現在的 Wi-Fi 介面是 Public，外面打進來就不會通。

• 不是在分「對方主機是 public 還是 private」。
• 是在分**「我這台主機目前所處的網路環境信任等級」**，以便自動套用對應強度的防火牆規則。

4) 規則怎麼寫、怎麼看？

規則種類

• 程式規則（Program)：允許/封鎖某個執行檔（例如 C:\Program Files\MyApp\app.exe）。
• 連接埠規則（Port)：允許/封鎖特定 TCP/UDP 連接埠（例如 TCP 3389）。
• 預先定義規則（Predefined)：系統內建（如「檔案與印表機共用」、「遠端桌面」）。

每條規則都可指定：

• 方向：Inbound / Outbound
• 設定檔：Public / Private / Domain （可複選）
• 通訊協定：TCP / UDP / ICMP…
• 本機/遠端 IP 範圍、介面型態（LAN/Wi-Fi/VPN）等

查看/調整（GUI）

• 開啟：開始 → Windows Defender 防火牆含進階安全性（wf.msc）
  

5) 典型服務在不同設定檔的範例

• 遠端桌面（TCP 3389）：只在 Private/Domain 開，或再搭配 來源 IP 白名單 / VPN。
• 檔案/印表機共用（SMB 445）：只在 Private/Domain。
• 開發用本機 Web（:3000/:8000）：限 Private，並視需要限制來源 IP。
• 遊戲/個別應用埠：視需求啟用，但避免在 Public 開入站。
• ICMP（Ping）：很多環境會在 Private/Domain 開，Public 關。

6) Windows 怎麼判斷要給你哪個設定檔？

• Domain：能和 AD 網域控制站成功驗證時自動套用。

• Private vs Public：第一次連上新網路時，Windows 會問你「是否要讓這部電腦在這個網路上可被偵測？」

  • 選「是」→ Private；選「否」→ Public。

• 背後還會利用 NLA（Network Location Awareness） 做網路簽章（依據預設閘道、DNS、DHCP 資訊等）區分不同網路。