Como abrir portas no Firewall da VPS Windows: guia passo a passo
Aprenda como abrir portas no Firewall da VPS Windows com passo a passo claro, comandos prontos e verificação de funcionamento.
Quando você instala uma aplicação na VPS Windows, um servidor web, um banco de dados, um painel de administração ou um servidor de jogo, ela roda em uma porta específica. Por padrão, o Firewall do Windows Server bloqueia conexões externas em portas que não foram explicitamente liberadas. Sem essa liberação, o serviço fica acessível apenas localmente, mesmo que esteja rodando corretamente.
Este tutorial é para quem acabou de contratar uma VPS Windows e precisa liberar uma porta específica para que o serviço fique acessível pela internet. Não exige conhecimento prévio de redes — vamos pelos dois caminhos: a interface gráfica (mais visual) e o PowerShell (mais rápido, ideal quando você já sabe o número da porta).
Pré-requisitos
Você precisa de uma VPS Windows Server (2019, 2022 ou 2025) com acesso administrativo via Área de Trabalho Remota (RDP). Tenha em mãos o número da porta que quer liberar e saiba se o serviço usa TCP ou UDP (na dúvida, é TCP na maioria dos casos web).
Algumas portas comuns que costumam precisar de liberação manual:
80 (TCP) 443 (TCP) 3306 (TCP) 25565 (TCP) A porta 3389 (RDP) já vem aberta por padrão — é por ela que você está acessando o servidor. Não feche essa porta sem antes configurar acesso alternativo, ou você perde o controle remoto da máquina.
Entendendo o que é uma porta e o firewall
Uma porta é um número de 1 a 65535 que identifica qual serviço deve receber uma conexão de rede. Quando alguém acessa http://seuservidor.com.br, o navegador conecta na porta 80 do seu IP. Se o Firewall do Windows não permitir tráfego de entrada nessa porta, a conexão é descartada antes mesmo de chegar no servidor web.
O Firewall do Windows trabalha com regras. Cada regra define: protocolo (TCP ou UDP), porta (ou faixa), direção (entrada ou saída) e ação (permitir ou bloquear). Para abrir uma porta, você cria uma regra de entrada (inbound) que permite tráfego naquela porta específica.
Método 1: Abrir porta pela interface gráfica
Este é o caminho recomendado se você prefere ver o que está fazendo. Todos os passos são feitos dentro da VPS, conectado via RDP.
Abra o menu Iniciar, digite wf.msc e pressione Enter. Vai abrir o console “Firewall do Windows com Segurança Avançada”.
Esse é o painel completo de regras. Não confunda com o “Firewall do Windows Defender” simplificado do Painel de Controle — para servidores, sempre use o wf.msc.
No painel esquerdo, clique em Regras de Entrada (Inbound Rules). Você vai ver a lista de todas as regras existentes.
No painel direito, clique em Nova Regra… (New Rule). Isso abre o assistente de criação de regra.
Na primeira tela do assistente, selecione Porta (Port) e clique em Avançar.
A opção “Programa” libera tudo de um executável específico — útil em alguns casos, mas menos preciso. “Porta” é o que queremos quando sabemos exatamente o número.
Escolha TCP ou UDP conforme o protocolo do seu serviço. Em “Portas locais específicas”, digite o número da porta — por exemplo, 8080. Para liberar várias portas de uma vez, separe por vírgula: 8080,8081,9000. Para uma faixa, use hífen: 7000-7010.
Clique em Avançar.
Deixe selecionado Permitir a conexão (Allow the connection) e clique em Avançar.
As outras opções são para conexões com IPSec, cenário que não se aplica aqui.
Na tela de perfis, marque Domínio, Particular e Público. Numa VPS exposta à internet, o perfil ativo geralmente é o Público — mas marcar os três garante que a regra funcione em qualquer cenário.
Clique em Avançar.
Dê um nome descritivo para a regra, por exemplo: Aplicação Web - Porta 8080. Adicione uma descrição opcional explicando para que serve. Clique em Concluir.
A regra aparece imediatamente na lista e já está ativa. Não precisa reiniciar o servidor.
Daqui a seis meses você não vai lembrar para que serve a porta 8743. Sempre coloque no nome da regra qual aplicação está usando aquela porta — facilita auditoria e remoção de regras antigas.
Método 2: Abrir porta pelo PowerShell
Quando você já sabe o que precisa, o PowerShell resolve em uma linha. Abra o PowerShell como administrador (clique com botão direito no menu Iniciar > Windows PowerShell (Administrador)).
Use o comando New-NetFirewallRule para criar a regra. Exemplo para liberar a porta 8080 TCP:
New-NetFirewallRule -DisplayName "Aplicacao Web 8080" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action AllowO comando retorna os detalhes da regra criada. Se você ver Enabled: True na saída, está funcionando.
Para liberar UDP, troque o protocolo:
New-NetFirewallRule -DisplayName "Servidor Jogo 27015" -Direction Inbound -Protocol UDP -LocalPort 27015 -Action AllowPara liberar uma faixa de portas:
New-NetFirewallRule -DisplayName "Faixa Aplicacao" -Direction Inbound -Protocol TCP -LocalPort 7000-7010 -Action AllowPara múltiplas portas não consecutivas, passe um array:
New-NetFirewallRule -DisplayName "Portas Web" -Direction Inbound -Protocol TCP -LocalPort 80,443,8080 -Action AllowVerificação: a porta está realmente aberta?
Criar a regra não garante que o serviço esteja respondendo — significa apenas que o Firewall do Windows não vai bloquear. A verificação tem duas partes: confirmar a regra e testar a conexão.
Liste a regra criada para confirmar que está ativa:
Get-NetFirewallRule -DisplayName "Aplicacao Web 8080" | Format-List DisplayName,Enabled,Direction,ActionA saída deve mostrar Enabled: True, Direction: Inbound e Action: Allow.
Verifique se algum serviço está realmente escutando na porta dentro da VPS:
Get-NetTCPConnection -LocalPort 8080 -State ListenSe a saída estiver vazia, nenhum programa está escutando na porta 8080 — você precisa iniciar sua aplicação primeiro. Se mostrar uma linha com o endereço local, o serviço está pronto para receber conexões.
De um computador externo (seu PC local, não a VPS), teste a conexão. No Windows, use PowerShell:
Test-NetConnection -ComputerName SEU_IP_DA_VPS -Port 8080O resultado importante é TcpTestSucceeded: True. Se aparecer False, a porta continua bloqueada em algum lugar — pode ser o Firewall do Windows ainda, a aplicação não estar rodando, ou um filtro de rede externo.
Resolução de problemas
A regra existe mas a conexão não funciona
Verifique se a aplicação está rodando e escutando na porta certa com Get-NetTCPConnection. Muitas vezes o serviço escuta apenas em 127.0.0.1 (localhost) e precisa ser configurado para escutar em 0.0.0.0 (todas as interfaces). Confira a documentação da aplicação.
Funciona internamente mas não externamente
Se Test-NetConnection dentro da VPS retorna True, mas de fora retorna False, o problema está em camadas de rede acima do Windows. Sua VPS pode ter um firewall adicional no painel do provedor ou um Grupo de Segurança bloqueando.
Muitos provedores aplicam filtros de rede além do Firewall do Windows. Se você liberou a porta no Windows e ainda assim não conecta de fora, verifique se há regras adicionais no painel de controle do provedor.
Como remover uma regra
Se criou errado, remova pelo PowerShell:
Remove-NetFirewallRule -DisplayName "Aplicacao Web 8080"Ou pelo wf.msc: encontre a regra na lista, clique com botão direito e selecione Excluir.
Próximos passos
Depois de liberar as portas necessárias, considere estes próximos tópicos:
- Restringir a regra por IP de origem (parâmetro
-RemoteAddress) — útil para portas administrativas como 3389 ou bancos de dados, que não precisam ficar acessíveis ao mundo todo. - Configurar um certificado SSL na sua aplicação web antes de expor a porta 443 publicamente.
- Documentar todas as regras criadas num arquivo de texto na própria VPS — futuro você agradece.
- Habilitar log do Firewall para auditar tentativas de conexão bloqueadas.
Se você está colocando uma aplicação em produção, uma VPS Hostini Windows já vem com acesso administrativo completo e filtro de rede em camada de borda — você gerencia o Firewall do Windows normalmente, com proteção adicional na infraestrutura.
Perguntas frequentes
Preciso reiniciar a VPS Windows depois de abrir uma porta no Firewall?
Não. As regras do Firewall do Windows ficam ativas imediatamente após serem criadas, tanto pela interface gráfica quanto pelo PowerShell. Se a conexão ainda não funcionar, o problema está em outro lugar (aplicação não iniciada, escuta no endereço errado ou filtro externo).
Como saber se uma porta usa TCP ou UDP?
A maioria dos serviços usa TCP: HTTP, HTTPS, RDP, SSH, MySQL, SQL Server e a grande maioria das aplicações web. UDP é comum em servidores de jogos, VoIP, DNS e streaming. Em caso de dúvida, consulte a documentação da aplicação — algumas exigem que ambos sejam liberados.
Posso abrir todas as portas de uma vez para resolver mais rápido?
Tecnicamente sim, mas é uma péssima ideia. Desabilitar o Firewall ou criar uma regra liberando tudo expõe todos os serviços rodando na VPS, incluindo aqueles que você nem sabe que estão lá. Sempre libere apenas as portas que cada aplicação precisa.
A porta está aberta no Firewall do Windows mas o site não carrega. O que pode ser?
As causas mais comuns são: a aplicação web não está rodando, está escutando apenas em 127.0.0.1 em vez de 0.0.0.0, há um filtro de rede do provedor bloqueando, ou o DNS do domínio ainda não aponta para o IP correto. Use Test-NetConnection a partir de outra máquina para isolar onde está o bloqueio.
Qual a diferença entre Firewall do Windows Defender e Firewall do Windows com Segurança Avançada?
São a mesma engine, mas com interfaces diferentes. O do Painel de Controle é simplificado e adequado para desktops. O wf.msc (Segurança Avançada) expõe todas as opções: regras por porta, faixa, IP de origem, perfis e logs. Em servidores, use sempre o wf.msc.
Como liberar uma porta apenas para meu IP, não para o mundo todo?
Use o parâmetro -RemoteAddress no PowerShell. Exemplo: New-NetFirewallRule -DisplayName "MySQL Restrito" -Direction Inbound -Protocol TCP -LocalPort 3306 -RemoteAddress 200.x.x.x -Action Allow. Pela interface gráfica, na aba "Escopo" da regra, defina os endereços IP remotos permitidos.