Die integrierte Firewall von Windows XP wird oft als nutzlos angesehen, doch die leistungsstarken Funktionen der aktuellen WIN7-Firewall haben auch einen „professionellen“ Touch. Heute werde ich Ihnen beibringen, wie Sie die WIN7-Firewall verwenden.
Wie bei Vista können Sie die Grundkonfiguration der Windows 7-Firewall durchführen, indem Sie auf das Systemsteuerungsprogramm zugreifen. Im Gegensatz zu Vista können Sie auch eine erweiterte Konfiguration (einschließlich der Konfiguration von Filtern für ausgehende Verbindungen) durchführen, indem Sie auf das Bedienfeld zugreifen, anstatt eine leere MMC erstellen und ein eingebettetes Snap-In hinzufügen zu müssen. Klicken Sie einfach auf die erweiterten Konfigurationsoptionen im linken Bereich.
Mit der Vista-Firewall können Sie wählen, ob Sie sich in einem öffentlichen Netzwerk oder einem privaten Netzwerk befinden möchten, und in Windows 7 haben Sie drei Möglichkeiten: öffentliches Netzwerk, Heimnetzwerk und Büronetzwerk. Die beiden letztgenannten Optionen sind Weiterentwicklungen privater Netzwerke.
Wenn Sie die Option „Heimnetzwerk“ auswählen, können Sie eine „Heimnetzgruppe“ erstellen. In dieser Umgebung wird Network Discovery automatisch gestartet und Sie können andere Computer und Geräte im Netzwerk sehen, und diese können Ihren Computer sehen. Computer, die zu einer „Heimnetzgruppe“ gehören, können Bilder, Musik, Videos, Dokumentbibliotheken und Hardwaregeräte wie Drucker gemeinsam nutzen. Wenn es in der Dokumentbibliothek Ordner gibt, die Sie nicht freigeben möchten, können Sie diese auch ausschließen.
Wenn Sie „Arbeitsnetzwerk“ auswählen, wird auch „Netzwerkerkennung“ automatisch gestartet, Sie können jedoch keine „Heimnetzgruppe“ erstellen oder dieser beitreten. Wenn Ihr Computer einer Windows-Domäne beitritt (über Systemsteuerung – System und Sicherheit – System – Erweiterte Systemkonfiguration – Registerkarte „Computername“) und die DC-Überprüfung besteht, erkennt die Firewall den Netzwerktyp automatisch als Domänenumgebungsnetzwerk.
Der Typ „Öffentliches Netzwerk“ ist eine geeignete Wahl, wenn Sie sich in einem Flughafen, Hotel oder Café befinden oder ein mobiles Breitbandnetzwerk verwenden, um eine Verbindung zu einem öffentlichen Wi-Fi-Netzwerk herzustellen, sodass Computer standardmäßig deaktiviert sind In anderen Netzwerken werden Ihre Freigaben nicht erkannt und Sie können keine Heimnetzgruppe erstellen oder dieser beitreten.
In allen Netzwerkmodi fängt die Windows 7-Firewall standardmäßig alle Verbindungen ab, die an eine Anwendung gesendet werden, die nicht auf der Whitelist steht. Mit Windows 7 können Sie verschiedene Netzwerktypen separat konfigurieren.
Mehrzweck-Firewall-Richtlinie
Obwohl Sie in Vista zwei Profile haben, ein öffentliches und ein privates, ist jeweils nur eines aktiv. Wenn Ihr Computer also gleichzeitig eine Verbindung zu zwei verschiedenen Netzwerken herstellen muss, haben Sie kein Glück. Für alle Verbindungen wird das restriktivste Profil verwendet. Dies bedeutet, dass Sie im lokalen (privaten) Netzwerk möglicherweise nicht das tun können, was Sie möchten, da Sie im öffentlichen Netzwerk nach den Regeln arbeiten. In Windows 7 (und Server 2008 R2) können unterschiedliche Konfigurationsdateien auf unterschiedlichen Netzwerkadaptern verwendet werden. Dies bedeutet, dass Netzwerkverbindungen zwischen privaten Netzwerken durch private Netzwerkregeln geregelt werden, während der Datenverkehr zu und von öffentlichen Netzwerken durch öffentliche Netzwerkregeln geregelt wird.
Es sind die kleinen, unauffälligen Dinge, die den Unterschied machen
In vielen Fällen ist eine bessere Benutzerfreundlichkeit oft auf kleine Änderungen zurückzuführen, und MS hat den Benutzern zugehört und einige „unauffällige, aber effektive kleine Dinge“ zur Windows 7-Firewall hinzugefügt. Wenn Sie beispielsweise in Vista eine Firewall-Regel erstellen, müssen Sie jede IP-Adresse und jeden Port separat auflisten. Jetzt müssen Sie nur noch einen Bereich angeben, was den Zeitaufwand für die Durchführung allgemeiner Verwaltungsaufgaben reduziert.
Sie können auch Verbindungssicherheitsregeln in der Firewall-Konsole erstellen, um anzugeben, welche Ports oder Protokolle IPsec erfordern, ohne den Befehl netsh verwenden zu müssen. Für diejenigen, die die grafische Benutzeroberfläche bevorzugen, ist dies eine praktischere Verbesserung.
Verbindungssicherheitsregeln unterstützen auch dynamische Verschlüsselung. Das heißt, wenn der Server unverschlüsselte (aber authentifizierte) Informationen von einem Client empfängt, erfordert die Sicherheitsvereinigung eine Verschlüsselung durch die vereinbarte „on-the-fly“, um eine sicherere Kommunikation herzustellen.
Konfigurieren Sie die Konfigurationsdatei in „Erweiterte Einstellungen“
Über das Bedienfeld „Erweiterte Einstellungen“ können Sie Profile für jeden Netzwerktyp konfigurieren.
Für die Konfigurationsdatei können Sie folgende Einstellungen vornehmen:
* Firewall ein-/ausschalten
* (Blockieren, alle Verbindungen blockieren oder zulassen) eingehende Verbindungen
* Ausgehende Verbindungen zulassen oder blockieren
* (Ob Sie benachrichtigt werden sollen, nachdem ein Programm blockiert wurde) Benachrichtigungsanzeige
* Erlauben Sie Unicast, auf Multicast oder Broadcast zu antworten
* Ermöglichen Sie lokalen Administratoren, zusätzlich zu den Gruppenrichtlinien-Firewallregeln lokale Firewallregeln zu erstellen und anzuwenden
Informationen zur Verwendung von netsh.exe zum Konfigurieren der System-Firewall
(1). System-Firewall anzeigen, aktivieren oder deaktivieren
Öffnen Sie die Eingabeaufforderung, geben Sie den Befehl „netsh firewallshow state“ ein und drücken Sie die Eingabetaste, um den Status der Firewall anzuzeigen. Anhand der angezeigten Ergebnisse können Sie die Deaktivierung und Aktivierung jedes Funktionsmoduls der Firewall sehen. Mit dem Befehl „netsh Firewall Set Opmode Disable“ wird die System-Firewall deaktiviert, mit dem Befehl „Netsh Firewall Set OpMode Enable“ wird die Firewall aktiviert.
(2). Datei- und Druckerfreigabe zulassen
Datei- und Druckerfreigabe werden häufig in lokalen Netzwerken verwendet. Wenn Sie Clients den Zugriff auf freigegebene Dateien oder Drucker auf diesem Computer ermöglichen möchten, können Sie die folgenden Befehle eingeben und ausführen:
Netsh-Firewall Portöffnung hinzufügen UDP 137 Netbios-ns
(Ermöglicht dem Client den Zugriff auf Port 137 des Server-UDP-Protokolls)
Netsh-Firewall Portöffnung hinzufügen UDP 138 Netbios-dgm
(Zugriff auf Port 138 des UDP-Protokolls zulassen)
Netsh-Firewall Portöffnung hinzufügen TCP 139 Netbios-ssn
(Ermöglicht Zugriff auf Port 139 des TCP-Protokolls)
Netsh-Firewall Portöffnung hinzufügen TCP 445 Netbios-ds
(Ermöglicht den Zugriff auf Port 445 des TCP-Protokolls)
Nachdem der Befehl ausgeführt wurde, werden alle für die Datei- und Druckerfreigabe erforderlichen Ports von der Firewall zugelassen.
(3). ICMP-Echo zulassen
Standardmäßig lässt Windows 7 aus Sicherheitsgründen keinen Ping durch externe Hosts zu. In einer sicheren LAN-Umgebung ist der Ping-Test jedoch erforderlich, damit Administratoren Netzwerktests durchführen können. Wie lässt man das Ping-Test-Echo von Windows 7 zu?
Natürlich können Sie die Regel „Datei- und Druckfreigabe (Echo Request – ICMPv4-In)“ so einstellen, dass sie die „Eingehenden Regeln“ über die System-Firewall-Konsole zulässt (wenn das Netzwerk IPv6 verwendet, müssen Sie auch ICMPv6-In-Regeln zulassen). . Wir können es jedoch schnell über den Befehl netsh in der Befehlszeile implementieren. Führen Sie den Befehl „netsh firewall set icmpsetting 8“ aus, um das ICMP-Echo zu aktivieren, und führen Sie umgekehrt den Befehl „netsh firewall set icmpsetting 8 deaktivieren“ aus, um das Echo zu deaktivieren.