要通过系统防火墙禁止同网段主机之间的互访，您可以在Windows操作系统中使用高级防火墙规则来实现。以下是在Windows环境中创建一条规则以阻止本地同一子网内的计算机互相访问的基本步骤：

对于Windows防火墙（适用于Windows 7至Windows 11）：

1. 打开Windows防火墙高级设置：

   • 打开“控制面板”。
   • 转到“系统和安全”区域。
   • 选择“Windows Defender防火墙”（在较新版本的Windows中，它可能直接显示为“防火墙和网络保护”）。
   • 在防火墙设置中点击“高级设置”。

2. 创建新的入站规则：

   • 在“Windows Defender防火墙”高级安全Windows防火墙界面中，找到“入站规则”部分，右键点击并选择“新建规则”。

3. 定义规则类型：

   • 选择“自定义”规则类型，因为我们要创建一个针对特定网络流量的复杂规则。

4. 协议和端口：

   • 根据您的需求选择特定的协议（TCP、UDP或任何协议），以及要阻止的端口号。如果您希望完全阻止所有类型的通信，可以选择“所有程序”。

5. 源和目标：

   • 在“源”选项中，您可以指定阻止哪个IP地址范围或子网内的计算机发起的连接。在这里，您可以输入本机所在子网的IP地址范围，例如：192.168.1.0/24（假设这是您的局域网子网）。
   • 在“目标”选项中，同样指定相同的子网范围，这样就能阻止同网段内的两台或多台计算机之间的通信。

6. 操作：

   • 选择“阻止连接”。

7. 完成规则向导：

   • 给规则命名，并添加描述，便于后期识别和管理。
   • 完成规则创建过程。

请注意，仅靠Windows防火墙可能无法彻底阻止所有形式的同网段主机间的互访，因为某些网络通讯可能是基于广播或多播，或者是二层数据帧级别的通信，这些并不总是受到三层防火墙规则的直接影响。对于二层通信，可能需要在网络设备（如交换机）层面应用访问控制列表（ACL）或其他策略来实现更严格的隔离。

此外，在企业级环境中，可能会结合使用路由器、交换机上的ACL和VLAN划分等手段来实现更精细的网络访问控制。而在家庭或小型办公网络环境下，通过调整路由器的DHCP分配范围或者直接在路由器上设置访问控制规则，也能达到类似的效果。