Uso: add rule name= dir=in|out action=allow|block|bypass program= service= |any description= enable=yes|no (padrão=yes) ...

Uso: add rule name=
      dir=in|out
      action=allow|block|bypass
      [program=]
      [service=|any]
      [description=]
      [enable=yes|no (padrão=yes)]
      [profile=public|private|domain|any[,...]]
      [localip=any|||||]
      [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
         ||||]
      [localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any (valor=any)]
      [remoteport=0-65535|[,...]|any (padrão=any)]
      [protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
         tcp|udp|any (padrão=any)]
      [interfacetype=wireless|lan|ras|any]
      [rmtcomputergrp=]
      [rmtusrgrp=]
      [edge=yes|deferapp|deferuser|no (padrão=no)]
      [security=authenticate|authenc|authdynenc|authnoencap|notrequired 
         (padrão=notrequired)]

Comentários:

      - Adicione uma nova regra de entrada ou saída à política de firewall.
      - O nome da regra deve ser exclusivo e não pode ser "all".
      - Se um grupo de usuários ou computadores remotos for especificado, security deverá ser
      authenticate, authenc, authdynenc ou authnoencap.
      - Definir security como authdynenc permite que os sistemas negociem
        dinamicamente o uso de criptografia para tráfego que corresponda
        a uma determinada regra do Firewall do Windows. A criptografia é negociada com base em
        propriedades de regras de segurança de conexão existentes. Essa opção
        permite que um computador aceite o primeiro pacote TPC
         ou UDP de uma conexão IPsec de entrada contanto que
        ela seja protegida, mas não criptografada, usando IPsec.
        Depois que o primeiro pacote for processado,
        o servidor irá renegociar a conexão e a atualizar para que
        todas as comunicações subsequentes sejam totalmente criptografadas
       - Se action=bypass, o grupo de computadores remotos deverá ser especificado quando dir=in.
      - Se service=any, a regra se aplicará somente a serviços.
      - O código ou tipo ICMP pode ser "any".
      - Edge só pode ser especificada para regras de entrada.
      - AuthEnc e authnoencap não podem ser usados juntos.
      - Authdynenc só é válido quando dir=in.
      - Quando authnoencap é definido, a opção security=authenticate se torna um
        parâmetro opcional.

Exemplos:

      Adicionar uma regra de entrada sem segurança de encapsulamento para browser.exe:
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\programfiles\browser\browser.exe"
      security=authnoencap action=allow

      Adicionar uma regra de saída para a porta 80:
      netsh advfirewall firewall add rule name="allow80"
      protocol=TCP dir=out localport=80 action=block

      Adicionar uma regra de entrada que exija segurança e criptografia
      para o tráfego da porta TCP 80:
      netsh advfirewall firewall add rule
      name="Exigir Criptografia para TCP/80 de Entrada"
      protocol=TCP dir=in localport=80 security=authdynenc
      action=allow

      Adicionar uma regra de entrada para o browser.exe e exigir segurança
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\program files\browser\browser.exe"
      security=authenticate action=allow

      Adicionar uma regra de desvio de firewall autenticada para o grupo
      acmedomain\scanners identificado por uma cadeia de caracteres SDDL:
      netsh advfirewall firewall add rule name="allow scanners"
      dir=in rmtcomputergrp= action=bypass
      security=authenticate

      Adicionar uma regra de permissão de saída para portas locais 5000-5010 para udp-
      Add rule name="Permitir intervalo de portas" dir=out protocol=udp
      localport=5000-5010 action=allow