Die Windows-Firewall lässt sich bequem über die grafische Oberfläche konfigurieren. Unter
»Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen | Windows-Firewall mit erweiterter Sicherheit
«
hilft der bekannte Dialog-Assistent dabei, bestimmte Regeln für ein- und ausgehenden Netzwerkverkehr und die Verbindungssicherheitsregeln zu erstellen.
Doch auch auf der Kommandozeile lässt sich die Windows-Firewall auslesen und konfigurieren, zum Beispiel mit der Netshell. So können Sie zum Beispiel alle Regeln der Firewall mit dem folgenden Befehl auslesen:
netsh advfirewall firewall show rule name=all
Möchten Sie die Firewall deaktivieren, können Sie dies mit dem folgenden Befehl für sämtliche Profile tun:
»netsh advfirewall set allprofiles state off
«
. Die Reaktivierung erfolgt mit demselben Befehl, nur dass am Ende
»state on
«
angegeben wird. Um beispielsweise eine Regel zu erstellen, die Ping eingehend erlaubt, lautet der Befehl folgendermaßen:
netsh advfirewall firewall add rule name="ICMPv4 eingehend" dir=in action=allow protocol=icmpv4
Die Regel ist aktiv und wird auch im Regelwerk unter
»Eingehende Regeln
«
angezeigt.
Auch die Powershell ermöglicht eine Konfiguration der Windows-Firewall. Allerdings ist dies nicht ganz trivial und bei Weitem nicht so gradlinig wie die Netshell-Befehle. Die Interaktion mit der Windows-Firewall geschieht über das COM-Objekt
»HNetCFG.FWPolicy2
«
. Die Konfiguration erfordert einige Skripting-Kenntnisse.
Die Windows-Firewall mit erweiterter Sicherheit bietet die Möglichkeit, sowohl eingehende als auch ausgehende Verbindungen zu kontrollieren. Sie unterscheidet dabei einzelne Netzwerkstandorte, die als Profile hinterlegt sind. Dabei ist zu beachten, dass ausgehende Verbindungen grundsätzlich durch die Standardregel für alle Profile erlaubt sind. Andererseits arbeitet die Firewall "stateful", das heißt sie lässt Antwortpakete durch, ohne dass hierfür explizite Regeln erforderlich sind.
Die Windows-Firewall ermöglicht es dem Administrator, im Gegensatz zu Netzwerk-Firewalls, für einzelne Programme festzulegen, ob ihnen die Kommunikation erlaubt oder verboten ist. Zusätzlich ist es möglich, die Kommunikation via IPsec abzusichern. Hierzu lässt sich die Windows-Firewall sowohl für Authentifizierung wie auch für Verschlüsselung konfigurieren.