• Zielgruppen
  • Suche
 

Firewall für Microsoft Windows

Einige Personal Firewalls sind zum privaten Gebrauch kostenlos, eine Universitätslizenz gibt es aber nicht (die Sophos-Landeslizenz umfasst nur den Virenscanner, nicht jedoch die Firewall).  Die mitgelieferte Windows-Firewall ist ausreichend, ab Windows-Vista ist die Firewall eigentlich umfassend aber die Konfiguration auch komplexer. Das Rechenzentrum empfiehlt den Einsatz der windows-eigenen, im System enthaltenen Firwall.

Windows-Firewall

Windows-Versionen ab XP-SP2 enthalten eine im Betriebssystem integrierte Personal-Firewall. Diese sollte aktiviert sein und immer verwendet werden, auch im LAN und auf lokalen Fileservern. Zu beachten ist aber, dass die Aktivierung von Server-Diensten o.Ä. automatisch Öffnungen in der Firewall vornimmt. Diese Öffnungen müssen im Anschluss an eine Dienste- oder Programm-Installation nachkonfiguriert und dabei meist eingeschränkt werden. Häufig wird man nicht das ganze Internet sondern nur das LAN oder das LUH-Netz zulassen wollen.

Je nach Version gibt es zwei grundlegend verschiedene Windows-Firewall: die aus XP bekannte einfache und die ab Vista ausgelieferte, deutlich leistungsfähigere.

Windows Vista, 7 und 2008-Server

Diese Versionen enthalten eine mächtige Firewall, deren Konfiguration aber recht anspruchsvoll ist. Details dazu auf der Microsoft-Seite zu grundlegenden Einstellungen der Windows-7-Firewall oder auf der umfassenden Microsoft-Seite zur Firewall mit erweiterten Funktionen.

Die bisherige Konfigurationsschnittstelle, wie sie von XP und 2003 bekannt ist, kann z.T. noch über die Gruppenrichtlinien-Konfiguration genutzt werden.

Windows XP

Seit Service-Pack 2 ist die in Windows mitgelieferte Firewall im Sicherheitscenter integriert, das über die Systemsteuerung aufrufbar ist. Standardmäßig ist die Windows-Firewall aktiviert. Eine Anleitung und Nutzungsdetails können einer Microsoft-Seite zu XP-Firewall entnommen werden.

Für Systemadministratoren, die mehrere Systeme einrichten und dabei die Firewallregeln automatisiert konfigurieren möchten, bieten sich mehrere Möglichkeiten an (hierfür kann das Rechenzentrum z.Z. keine weitere Unterstützung bieten):

  • über die netfw.inf-Datei,
  • über Skripte mit netsh-Aufrufen,
  • über Gruppenrichtlinien im Active-Directory.
Windows 2003 Server

Seit Service-Pack 1 ist die von Windows-XP-SP2 bekannte Firewall auch für Windows 2003 verfügbar. Anders als bei XP ist die Firewall aber voreingestellt deaktiviert. Sinn hierbei ist sicherlich, dass der Server ja gerade für Aufrufe von außen her zugänglich sein muss, um Clients Dienste anbieten zu können. Besser ist es jedoch, die Firewall zu aktivieren und nur für die benötigten Dienste Ausnahmeregeln in der Firewall zu konfigurieren, wobei Einschränkungen auf erlaubte Client-IPs gesetzt werden sollten. Die Konfiguration erfolgt grundsätzlich wie bei Windows-XP.

Windows 2000 und älter

Unter Windows 2000 steht weder die Windows-Firewall noch der Vorgänger ICF zur Verfügung. Der Einsatz von Windows 2000 ist aber wie der von Windows-NT 4.0 in der Universität grundsätzlich nicht mehr zulässig, da Windows 2000 nicht mehr von Microsoft supportet wird. Ohne Sicherheitspatches des Herstellers ist kein sicherer Betrieb mehr möglich (vgl. Rundschreiben A34/2005).

Sollten Sie ein NT4.0- oder ein 2000-System z.B. für den Betrieb einer teuren Messapparatur trotzdem weiter betreiben müssen, so versuchen Sie, diesen Rechner vom Netz zu trennen oder im Netz zu isolieren. Dieses geht z.B. durch Anschluss mit einem Cross-Over-Kabel an einen Gateway-Computer oder Mini-Router, evt. einfacher durch Verwendung einer privaten IP (192.168.xxx.yyy) zwischen Messrechner und einem modernen Gateway-System. Für Fragen und individuelle Lösungsmöglichkeiten wenden Sie sich bitte an das Rechenzentrum.

Paketfilter WIPFW

Als OpenSource-Projekt gibt es eine Portierung des aus FreeBSD bekannten IPFW nach Windows: WIPFW. Es handelt sich dabei um einen Paketfilter, der rein- und rausgehenden Verkehr filtern kann, dieses aber nur anhand von Protokoll und Port, nicht anhand der Applikation. Zudem ist es ein Kommandozeilen-Tool, das sicher nur für skript- oder unix-affine Administratoren geeignet ist. Es ist für Windows 2000 aufwärts geeignet. Zwar wurden von uns keine ausgiebigen Tests vorgenommen, erste Tests waren aber erfolgreich und vielversprechend.