Syntaxe : add rule name= dir=in|out action=allow|block|bypass program= service= |any description= enable=yes|no (par défaut=yes) ...

Syntaxe : add rule name=
      dir=in|out
      action=allow|block|bypass
      [program=]
      [service=|any]
      [description=]
      [enable=yes|no (par défaut=yes)]
      [profile=public|private|domain|any[,...]]
      [localip=any|||||]
      [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
         ||||]
      [localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
         (par défaut=any)]
      [remoteport=0-65535|[,...]|any (par défaut=any)]
      [protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
         tcp|udp|any (par défaut=any)]
      [interfacetype=wireless|lan|ras|any]
      [rmtcomputergrp=]
      [rmtusrgrp=]
      [edge=yes|deferapp|deferuser|no (par défaut=no)]
      [security=authenticate|authenc|authdynenc|authnoencap|notrequired
         (par défaut=notrequired)]

Remarques :

      - Ajoute une nouvelle règle de trafic entrant ou sortant à la stratégie
        de pare-feu.
      - Le nom de la règle doit être unique et ne peut pas être « all ».
      - Si un groupe d'ordinateurs ou d'utilisateurs distants est spécifié,
        security doit avoir la valeur authenticate, authenc, authdynenc
        ou authnoencap.
      - L'affectation à security de la valeur authdynenc permet aux systèmes de
        négocier dynamiquement l'utilisation du chiffrement pour le trafic qui
        correspond à une règle de pare-feu Windows. Le chiffrement est négocié
        en fonction des propriétés de règle de connexion existantes. Cette
        option permet à un ordinateur d'accepter le premier paquet TCP ou UDP
        d'une connexion IPsec entrante à condition qu'elle soit sécurisée, mais
        pas chiffrée, à l'aide d'IPsec.
        Une fois le premier paquet traité, le serveur
        renégocie la connexion et la met à niveau afin que
        toutes les communications ultérieures soient chiffrées.
      - Si action=bypass, le groupe d'ordinateurs distants doit être spécifié
        lorsque dir=in.
      - Si service=any, la règle s'applique uniquement aux services.
      - Le code ou type ICMP peut être « any ».
      - Edge ne peut être spécifié que pour les règles de trafic entrant.
      - AuthEnc et authnoencap ne peuvent pas être utilisés conjointement.
      - Authdynenc est valide uniquement lorsque dir=in.
      - Lorsque authnoencap est défini, l'option security=authenticate devient
        un paramètre facultatif.


Exemples :

      Ajouter une règle de trafic entrant sans sécurité d'encapsulation pour
      browser.exe :
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\programfiles\browser\browser.exe"
      security=authnoencap action=allow

      Ajouter une règle de trafic sortant pour le port 80 :
      netsh advfirewall firewall add rule name="allow80"
      protocol=TCP dir=out localport=80 action=block

      Ajouter une règle de trafic entrant exigeant la sécurité et
      le chiffrement pour le trafic TCP du port 80 :
      netsh advfirewall firewall add rule
      name="Require Encryption for Inbound TCP/80"
      protocol=TCP dir=in localport=80 security=authdynenc
      action=allow

      Ajouter une règle de trafic entrant pour browser.exe et exiger
      la sécurité :
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\program files\browser\browser.exe"
      security=authenticate action=allow

      Ajouter une règle de contournement de pare-feu authentifié pour le groupe
      acmedomain\scanners identifié par une chaîne SDDL :
      netsh advfirewall firewall add rule name="allow scanners"
      dir=in rmtcomputergrp= action=bypass
      security=authenticate

      Ajouter une règle d'autorisation sortante pour les ports locaux 5000-5010
      pour UDP :
      Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010
      action=allow