Windows Firewall - Stateful Inspection Firewall

Die Windows-Firewall überwacht und filtert den gesamten Datenverkehr, der über TCP/IP abgewickelt wird. Nicht angeforderter eingehender Datenverkehr wird grundsätzlich nicht akzeptiert.

Erwünschter eingehender Datenverkehr muss ausdrücklich zugelassen, d. h. zu einer Ausnahmeliste hinzugefügt werden. Die Ausnahmeliste kann nach Portnummer, Anwendungsname oder Dienstname durch die Konfiguration der Einstellungen von Windows-Firewall mit Bedingungen für den Datenverkehr festgelegt werden.

Der gesamte ausgehende Datenverkehr wird, mit Ausnahme einiger ICMP-Meldungen (Internet Control Message Protocol), vom Windows-Firewall zugelassen.

Das Windows Firewall ist ein stateful inspection Firewall, d.h. jede ausgehende Verbindung wird vermerkt und eingehende Daten über genau diese Verbindung sind erlaubt.

Das Grundprinzip lautet: Für alle Verbindungen, welche der PC nach außen initiiert, ist eine Rückverbindung nach innen zulässig.

Stateful inpsection Firewalls sind daher sehr gut für Client-PCs geeignet, da Sie ohne großen administrativen Aufwand ein System im Netz vor Angriffen von außen schützen.

Weiterhin ist es möglich ein Protokoll der TCPIP-Verbindungen führen zu  lassen.
Die Windows-Firewall kann wie folgt konfiguriert werden:

  • Windows GUI - Windows Advanced Firewall-MMC-Snap-in 
  • Gruppenrichtlinie – Gruppenrichtlinien Snapin unter dem Pfad
    Computerkonfiguration ->Administrative Vorlagen ->Netzwerk ->Netzwerkverbindungen ->Windows-Firewall
  • Kommandozeile – netsh firewall-Befehl

Im folgenden Abschnitt finden Sie ein paar netsh-Beispiele zur Konfiguation der Windows-Firewall
Ausgabe der aktuellen Konfiguration mit netsh:

  • netsh.exe advfirewall show allprofiles

Aktivieren der Windows-Firewall mit netsh:

  • netsh.exe advfirewall set allprofiles state on

Deaktivieren der Windows-Firewall mit netsh:

  • netsh.exe advfirewall set allprofiles state off

Aktivieren der Windows-Firewall Protollierung

  • netsh.exe advfirewall set allprofiles logging allowedconnections enable

Deaktivieren der Windows-Firewall Protollierung

  • netsh.exe advfirewall set allprofiles logging allowedconnections disable

Aktivieren einer Port-Ausnahme für den Zugriff auf den Terminal Server für das Subnetz 192.168.10

  • netsh.exe advfirewall firewall add rule name="Remotedesktop" dir=in localport=3389 remoteip=192.168.10.0/255.255.255.0 protocol=TCP action=allow description=""

Deaktivieren einer Port-Ausnahme für den Zugriff auf den Terminal Server

  • netsh.exe advfirewall firewall delete rule name="Remotedesktop" dir=in localport=3389 remoteip=192.168.10.0/255.255.255.0 protocol=TCP

Einen vollständigen Überblick über die Windows-Firewall erhalten Sie unter: