Optimale Firewall auswählen und konfigurieren

Was ist eine Firewall und welche Arten gibt es?

Allgemein handelt es sich bei Firewalls um Vorrichtungen, die der Netzwerksicherheit dienen. Sie überwachen den Datenverkehr und erlauben oder verbieten diesen auf Grundlage von vorher festgelegten Regeln. Dabei lassen sich verschiedene Typen unterscheiden, nämlich: 

• klassische bzw. professionelle Firewalls 
• Personal Firewalls 
• Router Firewalls 

1. Klassische bzw. professionelle Firewalls

Klassische bzw. professionelle Firewalls spielen für den durchschnittlichen User wahrscheinlich die geringste Rolle. Denn diese sind meistens recht kostspielig und kommen in erster Linie in Behörden, Organisationen, Unternehmen sowie wissenschaftlichen Einrichtungen zum Einsatz. Diese Firewalls erfüllen eine klar definierte Aufgabe und überwachen die Verbindung zweier Netzwerke. Dabei handelt es sich meistens um Datenübertragungen zwischen Internet und dem internen LAN. 

Um einen hohen Schutz zu bieten, ist für diese professionellen Firewalls in der Regel eine spezielle und leistungsstarke Hardware erforderlich. Dafür sind meistens Budgets im vierstelligen Bereich notwendig. Allerdings gibt es Alternativen wie IPFire. Die Open-Source-Firewall ist nicht nur kostenfrei, sondern funktioniert auch auf einer günstigen Hardware wie dem Raspberry Pi. Ab dem Raspberry Pi 4b mit 1 GB Arbeitsspeicher lässt sich IPFire verwenden. Die Firewall punktet durch die intuitive Bedienbarkeit und kann komplette Netzwerke vor externen Zugriffen absichern. Sie bietet auch moderne Features wie Intrusion Detection System (IDS). So lassen sich Veränderungen, wie sie Schadprogramme hervorrufen, aufspüren. Wer diese Funktion nutzen möchte, sollte allerdings mindestens in 4 GB RAM investieren. Dafür lässt sich auch mit geringem Budget eine professionelle Firewall verwenden. 

2. Personal Firewalls

Die größte Bedeutung für den typischen Computernutzer haben Personal Firewalls, die auch unter der Bezeichnung Desktop Firewalls bekannt sind. Sie sind so weit verbreitet, dass oft auch nur allgemein von Firewalls die Rede ist. Personal Firewalls schützen im Unterschied zur klassischen Firewall lediglich einzelne Computer und kein komplettes Netzwerk. Dafür überwachen und filtern sie ebenfalls den ein- und ausgehenden Datenverkehr. Am weitesten verbreitet ist die Windows-Firewall. Es gibt aber auch – sowohl kostenlose als auch kostenpflichtige Alternativen von anderen Anbietern. 

2.1 Windows Firewall

Die in Windows enthaltene Firewall trägt den Namen Windows Defender-Firewall und beginnt ihre Arbeit automatisch nach der Installation des Betriebssystems. Sie untersucht mit der dynamischen Filtertechnik Stateful Packet Inspection (SPI) sämtliche eingehende Datenpakete daraufhin, ob eine App diese angefordert hat. Allerdings müssen einige Programme – beispielsweise Kommunikationsdienste wie Messenger oder Fernwartungstool wie Teamviewer – auch unaufgeforderte Pakete entgegennehmen. Dazu öffnen sie bereits bei der Installation Ports und nehmen zudem weitere Anpassungen vor. Das funktioniert automatisch, sodass Du keine Einstellungen vornehmen musst. 

Um eine möglichst einfache Bedienbarkeit auch ohne Expertenwissen zu gewährleisten, bietet die Windows Firewall drei verschiedene Standardkonfigurationen an. Diese hängen vom Netzwerkprofiltyp ab. Diesen kannst Du in den „Windows“-Einstellungen im Bereich „Netzwerk und Internet“ auswählen. Hier gibt es drei Typen: 

• Öffentliches Netzwerk 
• Privates Netzwerk 
• Domänennetz 

Öffentliches Netzwerk: Windows empfiehlt Nutzern generell die Einstellung „Öffentliches Netzwerk“. Das liegt daran, dass hier der Schutz am umfassendsten ist. Dein Gerät ist nämlich erst gar nicht von außen sichtbar und vor externen Zugriffen abgeschottet. 

Privates Netzwerk: Bei der Einstellung „Privates Netzwerk“ bleibt der Computer im Netzwerk hingegen sichtbar. Das ist praktisch, um Dateien und Ordner oder Hardware wie Drucker für andere freizugeben oder mit ihnen zu kommunizieren. Du solltest diese Einstellung aber nur vornehmen, wenn Du Geräten und Personen in diesem Netzwerk vertrauen kannst. 

Domänennetzwerk: Die Option „Domänennetzwerk“ wird Dir möglicherweise nicht ohne Weiteres angezeigt. Das liegt daran, dass diese Einstellung nur für professionelle Netzwerke relevant ist. 

Du solltest die Windows Firewall immer eingeschaltet lassen, solange Du nicht ein anderes Programm mit identischem oder überlegenem Schutzumfang verwendest. Denn sie schützt Computer effektiv vor eindringender Schadsoftware, die sich auf Deinem System ausbreiten möchte. Allerdings ist die Software nicht perfekt. So kann sie etwa in den Basiseinstellungen nicht verhindern, dass mit Schadsoftware verseuchte Computer weitere PCs infizieren. 

2.2 Comodo und Co

Es gibt auch viele leistungsfähige Personal Firewalls, die nicht aus dem Hause Microsoft stammen. Einige sind der inzwischen recht guten Windows Defender-Firewall überlegen, weil sie noch mehr Sicherheit oder zusätzliche Features bieten. Ein Beispiel dafür ist die Comodo Firewall. Diese gehört zu einem umfassenden Sicherheitspaket mit Antivirensoftware. Zwar lässt sie sich nur als Komplettlösung installieren. Dafür ist diese kostenlos. 

Einrichten kannst Du die Comodo Firewall, indem Du nach der Installation und dem Programmstart erst auf das mit „Schutz“ beschriftete Schild-Icon und anschließend auf „Firewall“ klickst. Hier kannst Du etwa festlegen, dass die App eingehende Verbindungen immer meldet, Ports blockiert bzw. versteckt oder nur bestimmten Anwendungen den Zugang zum Internet gewährt. Das ist besonders empfehlenswert, wenn Du über ein fremdes Netzwerk surfst. Um herauszufinden, welche Dateien eines Programms zwingend einen Internetzugang benötigen, musst Du gegebenenfalls Foren oder die Webseiten von Software-Herstellern aufsuchen. Außerdem kannst Du mit der Comodo Firewall Verbindungen komfortabel verwalten. 

Wer benötigt eine zusätzliche Personal Firewall und für wen ist die Windows Defender-Firewall ausreichend? Tendenziell sollten mobile Computer, die oft in fremde Netzwerke eingeloggt sind, über einen umfassenderen Schutz verfügen. Hier ist eine Personal Firewall empfehlenswert, die mehr Konfigurationsmöglichkeiten und Features als die Standard-Firewall von Windows bietet. 

2.3. Sandboxes

Zahlreiche moderne Personal Firewalls bieten heute Sandboxes. Dabei handelt es sich um isolierte Umgebungen, in denen Du auch verdächtige Dateien ausführen kannst, ohne dass diese auf sensible Bereiche Deines Rechners zugreifen oder sich verbreiten können. Manchmal verwenden Hersteller allerdings alternative Bezeichnungen für das hilfreiche Feature, das bei Comodo etwa „Containment“ heißt. 

Windows bietet ebenfalls eine Sandbox. Allerdings musst Du diese zunächst einschalten. Dazu wechselst Du zur „Systemsteuerung“ und wählst hier nacheinander „Programme“, „Programme und Features“ und schließlich „Windows-Features aktivieren oder deaktivieren“ aus. Scrolle im sich nun öffnenden Fenster nach unten, setzte bei der Option „Windows-Sandbox“ ein Häkchen und bestätige die Veränderung mit „OK“. 

Jetzt sollte Dein Betriebssystem einige neue Dateien installieren und sich dann herunter- und wieder hochfahren. Nach Abschluss des Anmeldeprozesses siehst Du auf Deinem Bildschirm einen zweiten Desktop. In diesem lassen sich  gefahrlos Dateien von zweifelhafter Herkunft testen. Dazu kopierst Du diese in die Zwischenablage und fügst sie dann in den Sandbox-Bereich ein. Schließen kannst Du die Sandbox wie jedes andere Fenster. Nach dem Aktivierungsprozess lässt sie sich bei Bedarf schnell öffnen, indem Du „windows sandbox“ in das Suchfeld Deiner Taskleiste eintippst und die Eingabe mit „Enter“ bestätigst. 

3. Router Firewalls

Router leisten mehr als „nur“ zwischen Netzwerken zu vermitteln und diese zu verbinden. Sie fungieren gleichzeitig auch als Firewalls – und schützen verbundene Geräte sogar auf mehreren Ebenen. 

Als Erstes verbirgt ein Router Deinen Computer vor neugierigen Augen außerhalb Deines Netzwerks. Dieses Feature ist auch als IP-Masquerading bzw. IPMASQ bekannt. Sichtbar von außen ist lediglich der Router selbst und dessen IPv4 bzw. IPv6-Adresse. Nicht direkt ersichtlich ist hingegen, welche Geräte mit diesem Router verbunden oder welche internen IP-Adressen sie haben. 

Zweitens bieten viele Router – wie die beliebten Fritz!Boxen – das von der Windows Defender-Firewall bekannte Feature Stateful Packet Inspection. Dementsprechend überprüfen sie alle eingehenden Datenpakete und weisen diejenigen zurück, die Programme nicht angefordert haben. Allerdings benötigen einige Programme eben diese Verbindungen. Für diese öffnen Router die erforderlichen Ports. Welche das sind, erfährst Du im Menü des Routers. Bei den beliebten Fritz!Box-Modellen musst Du dafür zunächst „Diagnose“ und anschließend „Sicherheit“ auswählen. 

Fritz!Boxen und einige andere Router bieten darüber hinaus aber auch noch einen dritten Sicherheitsmechanismus. Sie verhindern nämlich, dass einige sensible Daten ins Internet gelangen. Dabei handelt es sich vor allem um Datenpakete, aus denen Cyberkriminelle Informationen über die im Netzwerk vorhandenen Geräte ableiten könnten. 

3.1 Fritz!Box Firewall

Als Router sind bei Privatleuten und kleinen Unternehmen die Fritz!Boxen der Marke AVM besonders beliebt. Diese bieten insgesamt einen guten Schutz vor Attacken aus dem Internet, wobei sich der Schutzumfang anders als bei der Windows Defender-Firewall auf alle im Netzwerk angemeldeten Geräte erstreckt. Nur die Verbreitung der Malware unterbinden sie nicht. Dafür kannst Du Einstellungen vornehmen, um den Schutz zu optimieren. 

3.1.1 Stealth Mode

Hilfreich ist in diesem Zusammenhang der sogenannte „Stealth Mode“. Ist dieser aktiviert, lässt sich Deine Fritz!Box nicht über die klassischen Aufspürmethoden von Hackern finden. Diese senden oft an eine Vielzahl von IP-Adressen Ping-Befehle. Wenn die Cyber-Kriminellen eine Antwort auf ihren Ping erhalten, versuchen sie, mit weiteren Informationen Zugriff auf den Router zu erhalten. 

Ist der „Stealth Mode“ eingeschaltet, ignoriert der Router derartige Ping-Anfragen. Um den Modus zu aktivieren, musst Du im Router-Menü zunächst „Internet“, dann „Filter“, anschließend „Listen“ und endlich „Globale Filtereinstellungen“ auswählen. Setze nun noch bei der Option „Firewall im Stealth Mode“ einen Haken ins Kästchen und bestätige die Änderung mit einem Klick auf „Übernehmen“. 

3.1.2 Filterlisten

Zudem bieten Fritz!Boxen die Möglichkeit, Filterlisten anzulegen. Websites, die sich auf diesen Listen finden, können Nutzer nicht mehr aufrufen. Zu den Filterlisten gelangst Du im Routermenü über die Bereiche „Internet“, „Filter“, „Listen“ sowie „Filterlisten“. Jetzt musst Du bei „Gesperrte Internetseiten“ nur noch auf „Bearbeiten“ klicken, sodass sich ein Fenster öffnet. In diesem kannst Du die Internetadressen der Websites eingeben, die Du sperren möchtest. 

Achte dabei darauf, dass vor allem große Internetdienste über mehrere URLs aufrufbar sind. Ein Beispiel dafür ist die Website von YouTube, die Du über www.youtube.com, m.youtube.com, www.youtube-nocookie.com, youtube.googleapis.com oder youtubei.googleapis.com erreichen kannst. Um den Zugang effektiv zu sperren, musst Du alle URLs in das Fenster eingeben. Zudem kannst Du festlegen, für welche Nutzer die Filterlisten gelten sollen. Das lässt sich unter „Internet“, „Filter“ und „Zugangsprofile“ festlegen, indem Du im Bereich „Internetseiten filtern“ die Option „Internetseiten sperren“ aktivierst oder nicht.