Uso: add rule name= dir=in|out action=allow|block|bypass program= service= |any description= enable=yes|no (padrão=yes) ...

Uso: add rule name=
      dir=in|out
      action=allow|block|bypass
      [program=]
      [service=|any]
      [description=]
      [enable=yes|no (padrão=yes)]
      [profile=public|private|domain|any[,...]]
      [localip=any||||
      |]
      [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
         ||||]
      [localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
      (padrão=any)]
      [remoteport=0-65535|[,...]|any (padrão=any)]
      [protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
         tcp|udp|any (padrão=any)]
      [interfacetype=wireless|lan|ras|any]
      [rmtcomputergrp=]
      [rmtusrgrp=]
      [edge=yes|deferapp|deferuser|no (padrão=no)]
      [security=authenticate|authenc|authdynenc|authnoencap|notrequired
         (padrão=notrequired)]

Comentários:

      - Adiciona uma nova regra de entrada ou saída à diretiva de firewall.
      - O nome da regra deve ser exclusivo e não pode ser "all".
      - Se um grupo de usuários ou computadores remotos for especificado,
      security deverá ser authenticate, authenc, authdynenc ou authnoencap.
      - Definir security como authdynenc permite que os sistemas negociem
        dinamicamente o uso de criptografia para tráfego que corresponda a uma
        determinada regra do Windows Firewall. A criptografia é negociada com
        base em propriedades existentes da regra de segurança de conexão. Essa
        opção permite que um computador aceite o primeiro pacote TPC ou UDP de
        uma conexão IPsec de entrada contanto que ela seja protegida, mas não
        criptografada, usando IPsec.
        Depois que o primeiro pacote é processado, o servidor renegocia a
        conexão e atualiza para que todas as comunicações subsequentes sejam
        totalmente criptografadas.
      - Se action=bypass, o grupo de computadores remotos deverá ser
        especificado quando dir=in.
      - Se service=any, a regra se aplicará somente aos serviços.
      - O código ou tipo ICMP pode ser "any".
      - A borda só pode ser especificada para regras de entrada.
      - AuthEnc e authnoencap não podem ser usados juntos.
      - Authdynenc só é válido quando dir=in.
      - Quando authnoencap é definido, a opção security=authenticate se torna
        um parâmetro opcional.

Exemplos:

      Adicionar uma regra de entrada sem segurança de encapsulamento para o
      messenger.exe:
      netsh advfirewall firewall add rule name="allow messenger"
      dir=in program="c:\programfiles\messenger\msmsgs.exe"
      security=authnoencap action=allow

      Adicionar uma regra de saída para a porta 80:
      netsh advfirewall firewall add rule name="allow80"
      protocol=TCP dir=out localport=80 action=block

      Adicionar uma regra de entrada que exija segurança e criptografia para
      tráfego da porta TCP 80:
      netsh advfirewall firewall add rule
      name="Require Encryption for Inbound TCP/80"
      protocol=TCP dir=in localport=80 security=authdynenc
      action=allow

      Adicionar uma regra de entrada para o messenger.exe e exigir segurança
      netsh advfirewall firewall add rule name="allow messenger"
      dir=in program="c:\program files\messenger\msmsgs.exe"
      security=authenticate action=allow

      Adicionar uma regra de desvio de firewall autenticado para o grupo
      acmedomain\scanners identified by a SDDL string:
      netsh advfirewall firewall add rule name="allow scanners"
      dir=in rmtcomputergrp= action=bypass
      security=authenticate

      Adicionar uma regra de saída para as portas locais 5000-5010 para udp-
      Add rule name="Allow port range" dir=out protocol=udp
      localport=5000-5010 action=allow