Einige Personal Firewalls sind zum privaten Gebrauch kostenlos, eine Universitätslizenz gibt es aber nicht (die Sophos-Landeslizenz umfasst nur den Virenscanner, nicht jedoch die Firewall).  Als ausreichenden und empfehlenswerten Mindestschutz sollte ein Paketfilter mit windows-eigenen Bordmittel (s.u.) eingerichtet werden, was aber unter Windows-2000 fortgeschrittene Kenntnisse voraussetzt.

Firewall-Programme für Windows

An dieser Stelle sollen exemplarisch zwei Firewall-Lösungen kurz erwähnt werden, die weit verbreitet sind und zu denen daher viele Informationen im Internet zu finden sind:

• Outpost: Die Firma Agnitum bietet das Produkte Outpost in mehreren Varianten an, darunter in einer kostenpflichtigen mit mehr Funktionen wie z.B. Anti-Spyware (Outpost Firewall Pro) und in einer kostenlosen (Outpost Firewall Free).
  (Outpost Pro ist, so Agnitum in einer Presseerklärung, die Grundlage für die Sophos-Firewall.)
• ZoneAlarm: Die Firma ZoneLabs bietet u.a. zwei Versionen ihrer Personal-Firewall an, das kostenpflichtige ZoneAlarm Pro, das ebenfalls eine Anti-Spyware-Komponente umfasst, und das nur für den privaten Gebrauch zugelassene kostenlose ZoneAlarm.

Paketfilter in Windows

Mit den bereits im MS-Windows-System vorhandenen Möglichkeiten kann ein Paketfilter eingerichtet werden, der zwar z.T. nicht den von Innen nach Außen gehenden Verkehr aber immer die Zugriffsversuche von Außen auf das System abblocken kann. Die Aktivierung und Verwendung hängt von der Version ab.

Windows Vista und 2008-Server

Diese Versionen enthalten eine mächtige Firewall, deren Konfiguration aber recht anspruchsvoll ist. Die bisherige Konfigurationsschnittstelle, wie sie von XP und 2003 bekannt ist, kann über die Gruppenrichtlinien-Konfiguration genutzt werden.

Windows XP

Seit Service-Pack 2 ist die in Windows mitgelieferte Firewall im Sicherheitscenter integriert, dass über die Systemsteuerung aufrufbar ist. Standardmäßig ist die Windows-Firewall aktiviert, Näheres zur ggf. nötigen Reaktivierung und weiteren Einstellungsmöglichkeiten ist einer Microsoft-Seite über die Firewall-Konfiguration zu entnehmen.

Für Systemadministratoren, die mehrere Systeme einrichten und dabei die Firewallregeln automatisiert konfigurieren möchten, bieten sich mehrere Möglichkeiten an (hierfür kann das RRZN z.Z. keine weitere Unterstützung bieten, Details siehe Microsoft-Artikel zu WinXP-SP2 & Firewall):

• über die netfw.inf-Datei,
• über Skripte mit netsh-Aufrufen,
• über Gruppenrichtlinien im Active-Directory.

Windows 2003 Server

Seit Service-Pack 1 ist die von Windows-XP-SP2 bekannte Firewall auch für Windows 2003 verfügbar. Anders als bei XP ist die Firewall aber voreingestellt deaktiviert. Sinn hierbei ist sicherlich, dass der Server ja gerade für Aufrufe von außen her zugänglich sein muss, um Clients Dienste anbieten zu können. Besser ist es jedoch, die Firewall zu aktivieren und nur für die benötigten Dienste Ausnahmeregeln in der Firewall zu konfigurieren, wobei Einschränkungen auf erlaubte Client-IPs gesetzt werden sollten. Die Konfiguration erfolgt grundsätzlich wie bei Windows-XP, näheres auf der Microsoft-Hilfe-Seite zur Firewall in 2003.

Wie schon unter Windows 2000 (s.u.) kann die IPSec-Funktionalität von Windows für die Einrichtung eines Paketfilters genutzt werden. Mehr dazu und Beispiele beim RUS-Cert.

Windows 2000

Unter Windows 2000 steht weder die Windows-Firewall noch der Vorgänger ICF zur Verfügung. Man kann aber mithilfe der IPSec-Funktionalitäten von Windows 2000 einen Paketfilter implementieren. Hierbei wird keine IPSec-Verbindung konfiguriert, dennoch ist die Einrichtung der Firewall nicht einfach. Hintergrundinformationen liefert  Microsoft TechNet: Using IPSec to Lock Down a Server., eine Anleitung mit Beispielen unter Erwähnung der Grenzen stellt das RUS-Cert bereit. Die Konfiguration kann statt über Kommanozeilentools auch grafisch über Sicherheits- bzw. Gruppenrichtlinien erfolgen.

Neben dem Ansatz mit IPSec gibt es noch den sogenannten TCP/IP-Filter. Dieser Filter, der übrigens auch noch in neueren Windows-Versionen vorhanden ist, kann Regeln aber nur anhand von Ports, nicht jedoch anhand von Quell- und Ziel-IPs erstellen, ist also nicht so mächtig wie die IPSec-Variante.

Windows NT 4.0

Ein NT4.0-System sollte möglichst bald auf 2003 oder XP umgestellt werden, da von Microsoft keine Sicherheitsupdates mehr erstellt werden (vgl. Rundschreiben A34/2005). Die meisten Firewall-Produkte unterstützen NT4.0 mittlerweile nicht mehr, die Installation einer alten Version dürfte aufgrund von Sicherheitslücken in den Firewall-Produkten selbst meist nicht sinnvoll sein.

Sollten Sie ein NT4.0-System z.B. für den Betrieb einer teuren Messapparatur trotzdem weiter betreiben müssen, so versuchen Sie, diesen Rechner vom Netz zu trennen oder im Netz zu isolieren. Dieses geht z.B. durch Anschluss mit einem Cross-Over-Kabel an einen Gateway-Computer oder einfacher durch Verwendung einer privaten IP (192.168.xxx.yyy) zwischen Messrechner und einem modernen Gateway-System. Für Fragen und individuelle Lösungsmöglichkeiten wenden Sie sich bitte an das Rechenzentrum.

Als OpenSource-Projekt gibt es eine Portierung des aus FreeBSD bekannten IPFW nach Windows: WIPFW. Es handelt sich dabei um einen Paketfilter, der rein- und rausgehenden Verkehr filtern kann, dieses aber nur anhand von Protokoll und Port, nicht anhand der Applikation. Zudem ist es ein Kommandozeilen-Tool, das sicher nur für skript- oder unix-affine Administratoren geeignet ist. Es ist für Windows 2000 aufwärts geeignet. Zwar wurden von uns keine ausgiebigen Tests vorgenommen, erste Tests waren aber erfolgreich und vielversprechend.