DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 320855 - Geändert am: Donnerstag, 11. Mai 2006 - Version: 5.1

Dieser Artikel wurde zuvor veröffentlicht unter D320855
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
320855  (http://support.microsoft.com/kb/320855/EN-US/ ) Description of the Windows XP Internet Connection Firewall
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Internetverbindungsfirewall (Internet Connection Firewall = ICF), die in Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows XP Home Edition Service Pack 1 (SP1) und Windows XP Professional SP1 enthalten ist. Dieser Artikel beschreibt nicht die Firewall, die Bestandteil von Windows XP SP2 ist.

Weitere Informationen

Beschreibung der Internetverbindungsfirewall

Die Internetverbindungsfirewall ist Software, mit deren Hilfe Sie Einschränkungen und Regeln festlegen können, wie die zwischen Ihrem Heimnetzwerk oder kleinen Firmennetzwerk und dem Internet übermittelten Daten übertragen werden.

Wenn in Ihrem Netzwerk die gemeinsame Nutzung der Internetverbindung (ICS = Internet Connection Sharing) verwendet wird, um den Internetzugang für mehrere Computer zu ermöglichen, ist es sinnvoll, die Internetverbindungsfirewall für die gemeinsam genutzte Internetverbindung zu aktivieren. Sie können jedoch ICS und ICF unabhängig voneinander aktivieren. Es ist sinnvoll, die ICF für die Internetverbindung auf jedem Microsoft Windows XP-Computer zu aktivieren, der direkt mit dem Internet verbunden ist.

Die ICF kann dazu beitragen, einen einzelnen Computer zu schützen, der mit dem Internet verbunden ist. Die ICF trägt zum Schutz Ihrer Internetverbindung bei, wenn Sie einen einzelnen Computer haben, der über Kabelmodem, DSL-Modem oder DFÜ-Modem mit dem Internet verbunden ist. Aktivieren Sie die ICF nicht für VPN-Verbindungen (VPN = Virtual Private Network), da sie die Dateifreigabe und andere VPN-Funktionen beeinträchtigt.

So funktioniert die Internetverbindungsfirewall

Die Internetverbindungsfirewall ist eine "statussensitive" Firewall ("Stateful Packet Inspection"). Ein statussensitiver Firewall überwacht alle Aspekte der gesamten Kommunikation, die über sie abgewickelt werden, und untersucht die Quell- und Zieladresse jeder Nachricht, die über der Firewall übertragen wird. Die ICF protokolliert die gesamte Kommunikation, die von dem Computer, auf dem der Firewall ausgeführt wird, ausgegangen ist, in einer Tabelle. So wird verhindert, dass nicht angeforderter Datenverkehr von der öffentlichen Seite der Verbindung auf die private Seite gelangt. Bei einem einzelnen Computer verfolgt die ICF den Datenverkehr, der vom Computer ausgeht. Wenn Sie die ICF in Verbindung mit ICS verwenden, überwacht der Firewall den gesamten Datenverkehr, der von dem Computer ausgeht, auf dem der Firewall und die gemeinsame Internetnutzung aktiv sind. Ebenso überwacht sie den Datenverkehr, der von Computern im privaten Netzwerk ausgeht. Die ICF vergleicht den gesamten eingehenden Datenverkehr aus dem Internet mit den Einträgen in der Tabelle. Eingehender Internetverkehr ist für die Computer in Ihrem Netzwerk nur dann zulässig, wenn es einen entsprechenden Eintrag in der Tabelle gibt, der zeigt, dass die Kommunikation von Ihrem Computer oder privaten Netzwerk ausgegangen ist.

Kommunikation, die von einer Quelle außerhalb des Computers ausgeht, auf dem die ICF aktiv ist (z. B. aus dem Internet), werden von der Firewall verworfen, es sei denn, Sie erstellen unter der Registerkarte Dienste einen Eintrag, um den Zugang zuzulassen. Die ICF verwirft nicht angeforderte Kommunikationen, ohne Ihnen Benachrichtigungen über diese Aktivitäten zu senden. Dadurch werden Hackerangriffe wie z. B. das Scannen von Ports verhindert. Solche Benachrichtigungen könnten häufig genug gesendet werden, um störend zu wirken. Stattdessen kann ICF ein Sicherheitsprotokoll erstellen, damit Sie die Aktivitäten, die von der Firewall überwacht werden, anzeigen können.

Sie können Dienste so konfigurieren, dass nicht angeforderter Datenverkehr aus dem Internet von dem Computer, auf dem der Firewall ausgeführt wird, an das private Netzwerk weitergeleitet wird. Wenn Sie z. B. einen HTTP-Webserverdienst anbieten und den HTTP-Dienst auf Ihrem Computer aktiviert haben, wird nicht angeforderter HTTP-Verkehr von dem Computer, auf dem der Firewall ausgeführt wird, an den HTTP-Webserver weitergeleitet. Die ICF benötigt funktionale Daten (bekannt als Dienstdefinition), um zuzulassen, dass der nicht angeforderte Internetverkehr an den Webserver in Ihrem privaten Netzwerk weitergeleitet wird.

Wichtige Aspekte der Internetverbindungsfirewall

Die ICF sollte nicht für Verbindungen aktiviert werden, die nicht direkt zum Internet geroutet werden. Wenn Sie die ICF für den Netzwerkadapter eines Clientcomputers aktivieren, auf dem die gemeinsame Internetnutzung aktiv ist, beeinträchtigt die ICF unter Umständen die Kommunikation zwischen diesem Computer und allen anderen Computern im Netzwerk. Aus ähnlichen Gründen können Sie den Assistenten zum Einrichten des Netzwerks nicht dazu verwenden, die ICF für die private ICS-Host-Verbindung zu aktivieren. Dies ist die Verbindung, die den ICS-Hostcomputer mit den ICS-Clientcomputern verbindet. Das Aktivieren eines Firewall an dieser Stelle würde die Netzwerkkommunikation verhindern.

Sie benötigen die ICF nicht, wenn in Ihrem Netzwerk bereits einen Firewall oder ein Proxyserver vorhanden ist.

Wenn Ihr Netzwerk nur eine gemeinsam genutzte Internetverbindung hat, ist es sinnvoll, das Netzwerk durch die Aktivierung der ICF zu schützen. Einzelne Clientcomputer können auch Adapter wie z. B. ein DFÜ- oder DSL-Modem verwenden, die Einzelverbindungen zum Internet ermöglichen und ohne Schutz durch einen Firewall anfällig sind. Die ICF kann nur die Kommunikation prüfen, die über die Internetverbindung geroutet werden, für die Sie ihn aktiviert haben. Da die ICF verbindungsbasiert funktioniert, müssen Sie die ICF auf allen Computern mit Verbindungen zum Internet aktivieren, um Ihr gesamtes Netzwerk zu schützen. Wenn Sie die ICF für die Internetverbindung des ICS-Hostcomputers aktiviert haben, aber ein Clientcomputer mit einer direkten Internetverbindung nicht durch den ICF geschützt ist, ist Ihr Netzwerk aufgrund dieser ungeschützte Verbindung anfällig.

Die Dienstdefinitionen, die es Diensten ermöglichen, über einen ICF hinweg aktiv zu sein, gelten ebenfalls pro Verbindung. Wenn Ihr Netzwerk über mehrere Firewallverbindungen verfügt, müssen Sie Dienstdefinitionen für jede ICF-Verbindung konfigurieren, über die der jeweilige Dienst aktiv sein soll.


Die Internetverbindungsfirewall und Benachrichtigungsmeldungen

Da die ICF die gesamte eingehende Kommunikation untersucht, kann es vorkommen, dass manche Programme (insbesondere E-Mail-Programme) sich anders verhalten, wenn der ICF aktiviert ist. Einige E-Mail-Programme prüfen ihren E-Mail-Server regelmäßig auf neue Mail-Nachrichten. Manche E-Mail-Programme warten auf eine Benachrichtigung vom E-Mail-Server.

Microsoft Outlook Express prüft beispielsweise automatisch auf neue E-Mail-Nachrichten, wenn es von einem Zeitgeber dazu aufgefordert wird. Wenn neue E-Mail-Nachrichten verfügbar sind, erhalten Sie von Outlook Express eine entsprechende Benachrichtigung. Die ICF beeinflusst das Verhalten von Outlook Express nicht, da die Anforderung der Benachrichtigung ihren Ursprung innerhalb des Firewall hat. Die ICF nimmt einen Eintrag in einer Tabelle vor, durch den die ausgehende Kommunikation verzeichnet wird. Wenn vom Mailserver eine Bestätigung eintrifft, sucht der ICF einen entsprechenden Eintrag in der Tabelle und lässt die Kommunikation passieren. Sie erhalten eine Benachrichtigung, dass neue E-Mail-Nachrichten eingegangen sind.

Microsoft Outlook 2000 ist mit einem Microsoft Exchange-Server verbunden, der mithilfe eines RPC-Aufrufs (RPC = Remote Procedure Call) Benachrichtigungen über neue E-Mail-Nachrichten an Clients sendet. Outlook 2000 prüft nicht automatisch auf neue E-Mail-Nachrichten, wenn es mit einem Exchange-Server verbunden ist. Der Exchange-Server benachrichtigt Outlook 2000, wenn neue E-Mail-Nachrichten eingehen. Da die RPC-Benachrichtigungen von einem Exchange-Server außerhalb der Firewall stammen (nicht von Outlook 2000), findet die ICF keinen entsprechenden Eintrag in der Tabelle. Er lässt die RPC-Nachrichten nicht aus dem Internet in das Heimnetzwerk passieren. Die RPC-Benachrichtigung wird verworfen. Sie können E-Mail-Nachrichten senden und empfangen, müssen aber selbst prüfen, ob neue E-Mail-Nachrichten verfügbar sind.


Erweiterte Einstellungen für den Internetverbindungsfirewall

Sie können die ICF-Sicherheitsprotokollierung dazu verwenden, ein Sicherheitsprotokoll der Firewallaktivitäten zu erstellen. Die ICF kann sowohl zulässigen als auch abgelehnten Datenverkehr protokollieren. Beispielsweise werden eingehende Echoanforderungen aus dem Internet standardmäßig vom ICF nicht zugelassen. Wenn die ICMP-Einstellung (ICMP = Internet Control Message Protocol) Eingehende Echoanforderung zulassen nicht aktiviert ist, schlägt die eingehende Anforderung fehl, und ein Protokolleintrag wird erzeugt, der den gescheiterten Versuch verzeichnet.

Sie können das Verhalten der ICF durch Aktivierung verschiedener ICMP-Optionen ändern, z. B. Eingehende Echoanforderung zulassen, Eingehende Zeitstempelanforderung zulassen, Eingehende Routeranforderung zulassen und Umleiten zulassen. Kurze Beschreibungen dieser Optionen werden unter der Registerkarte ICMP angezeigt.

Sie können die zulässige Größe des Sicherheitsprotokolls einstellen, um einen Überlauf zu verhindern, der durch Denial-of-Service-Angriffe verursacht werden könnte. Die Ereignisprotokollierung wird gemäß Festlegung durch das World Wide Web Consortium (W3C) im Extended Log File Format erzeugt.

Informationsquellen

Weitere Informationen über das Aktivieren oder Deaktivieren der Internetverbindungsfirewall finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx)
Weitere Informationen über das Aktivieren oder Deaktivieren der Internetverbindungsfirewall finden im folgenden Artikel der Microsoft Knowledge Base:
283673  (http://support.microsoft.com/kb/283673/DE/ ) Internetverbindungsfirewall in Windows XP aktivieren oder deaktivieren
Weitere Informationen dazu, wie der Internetverbindungsfirewall den Zugriff auf Datei- und Druckerfreigaben verhindern kann, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
298804  (http://support.microsoft.com/kb/298804/DE/ ) Internetverbindungsfirewall kann das Durchsuchen der Netzwerkumgebung und Dateifreigabe verhindern
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
306203  (http://support.microsoft.com/kb/306203/DE/ ) Internetverbindungsfirewall und Basisfirewall blockieren keinen Verkehr der Version 6 von Microsoft Internet Protocol
Weitere Informationen zur ICF-Sicherheitsprotokolldatei finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx)
Weitere Informationen zu Dienstdefinitionen finden Sie auf folgenden Microsoft-Websites:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx)
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx)
Weitere Informationen zu ICMP finden Sie auf folgenden Microsoft-Websites:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx)
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx)
Weitere Informationen zu der Windows Firewall in Windows XP SP2 finden Sie auf der folgenden Website von Microsoft:
http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx (http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx)

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Keywords: 
kbinfo kbfirewall kbenv KB320855
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store