Syntax: add rule name= dir=in|out action=allow|block|bypass program= service= |any description= enable=yes|no (Standard=yes) ...

Syntax: add rule name=
      dir=in|out
      action=allow|block|bypass
      [program=]
      [service=|any]
      [description=]
      [enable=yes|no (Standard=yes)]
      [profile=public|private|domain|any[,...]]
      [localip=any|||||]
      [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
         ||||]
      [localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
      (Standard=any)]
      [remoteport=0-65535|[,...]|any (Standard=any)]
      [protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
         tcp|udp|any (Standard=any)]
      [interfacetype=wireless|lan|ras|any]
      [rmtmachgrp=]
      [rmtusrgrp=]
      [edge=yes|deferapp|deferuser|no (Standard=no)]
      [security=authenticate|authenc|authdynenc|authnoencap|notrequired 
         (Standard=notrequired)]

Hinweise:

      - Fügt der Firewallrichtlinie eine neue eingehende oder ausgehende Regel
        hinzu. 
      - Regelnamen müssen eindeutig sein und dürfen nicht "all" lauten.
      - Wenn ein Remotecomputer oder eine Benutzergruppe angegeben wird, muss
        "security" auf "authenticate", "authenc", "authdynenc" oder
        "authnoencap" festgelegt werden.
      - Das Festlegen von "security" auf "authdynenc" ermöglicht Systemen die
        dynamische Aushandlung der Verwendung der Verschlüsselung für Daten-
        verkehr, der einer angegebenen Windows-Firewallregel entspricht. Die
        Verschlüsselung wird basierend auf vorhandenen Verbindungssicherheits-
        regel-Eigenschaften ausgehandelt. Durch diese Option kann ein Computer
        mithilfe von IPsec das erste TCP- oder UDP-Paket einer eingehenden
        IPsec-Verbindung annehmen, solange diese gesichert, jedoch nicht
        verschlüsselt ist. Nach der Verarbeitung des ersten Pakets wird die
        Verbindung erneut ausgehandelt und aktualisiert, sodass jegliche
        nachfolgende Kommunikation vollständig verschlüsselt ist.
      - Bei "action=bypass" muss die Remotecomputergruppe angegeben werden,
        wenn "dir=in" festgelegt ist.
      - Bei "service=any" gilt die Regel nur für Dienste.
      - Der ICMP-Typ oder -Code kann "any" sein.
      - "edge" kann nur für eingehende Regeln angegeben werden.
      - "authEnc" und "authnoencap" können nicht zusammen verwendet werden.
      - "authdynenc" ist nur gültig, wenn "dir=in" festgelegt ist.
      - Bei Festlegung von "authnoencap" ist die Option
       "security=authenticate" ein optionaler Parameter.

Beispiele:

      Eine eingehende Regel ohne Kapselungssicherheit für "browser.exe"
      hinzufügen:
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\programfiles\browser\msmsgs.exe"
      security=authnoencap action=allow

      Eine ausgehende Regel für Port 80 hinzufügen:
      netsh advfirewall firewall add rule name="allow80"
      protocol=TCP dir=out localport=80 action=block

      Eine eingehende Regel hinzufügen, die Sicherheit und Verschlüsselung
      für den Datenverkehr am TCP-Port 80 erfordert:
      netsh advfirewall firewall add rule name="Require Encryption for Inbound
      TCP/80" protocol=TCP dir=in localport=80 security=authdynenc action=allow

      Eine eingehende Regel für "browser.exe" hinzufügen und Sicherheit
      erfordern
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\program files\browser\msmsgs.exe"
      security=authenticate action=allow

      Eine authentifizierte Firewallumgehungsregel für die durch eine SDDL-
      Zeichenfolge identifizierte Gruppe "acmedomain\scanners" hinzufügen:
      netsh advfirewall firewall add rule name="allow scanners"
      dir=in rmtcomputergrp= action=bypass
      security=authenticate

      Eine ausgehende Zulassungsregel für die lokalen Ports 5000-5010 für
      "udp-" hinzufügen
      Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010
      action=allow