[Tweedledee]

Hallo,

unser Netzwerk (3 PCs mit WinXP SP3) geht über eine FritzBox 7270 ins Internet. Ein Kollege ist der Meinung, die FritzBox würde die Windows-Firewall überflüssig machen und möchte sie deaktivieren. Ich denke eher, dass zum einen die Windows-Firewall nicht stört, auch wenn sie vielleicht keinen zusätzlichen Schutz vor Gefahren von außen bietet, zum anderen die FritzBox nicht vor eventuellen Gefahren im internen Netz schützt, welche die Windows-FW evtl. noch abwehren könnte (z.B. das gelegentlich im Netzwerk angeschlossene Chef-Notebook, das leider des öfteren von Schadsoftware befallen ist).

Es geht mir an dieser Stelle nicht um ein generelles Sicherheitskonzept (das ist bei uns ohnehin etwas fragwürdig), sondern nur um die Frage ob ich mit meinen Gedanken falsch liege bzw. ob im oben beschriebenen Szenario der Einsatz der Windows-FW sinnvoll ist, oder überflüssig wie mein Kollege meint.

[WalterB]

Die Windows Firewall stört überhaupt nicht und jeder Router hat meistens noch eine NAT Firewall und das ist gut so.

Ein Problem mit der Konfiguration kann es geben wenn noch zusätzliche Software Firewall von anderen Anbieter installiert wurden, oder Antivirusprogramme welche eine Firewall eingebaut haben.

Jedenfalls mit der Router Firewall ,die Windows Firewall und ein Virenschutz bist Du auf einer guten Seite.

Walter

[Bullayer]

Die Fritzbox hat ne Hardware-Firewall, Windows ne Software-Firewall. Zusammen ist ok.

[clickme]

Zitat

Hardware-Firewall

Gibt es nicht. Oder hast du tatsächlich ne Maschine die brennt?

Es gibt aber dedizierte Firewalls. Sprich, die Maschinen tun nichts anderes.

Das sagt uns dass die FritzBox auch keine Dedizierte Firewall ist, da es nicht Ihre Einzige Aufgabe ist.

Egal, die Konfiguration ist schon ok

[Tweedledee]

Danke für die Antworten!

Ist denn die Annahme richtig, dass die FritzBox-Firewall (NAT, Hardware, wie auch immer) keinerlei Einfluss auf "bösen" Traffic im internen Netz hat (z.B. vom verseuchten Notebook), die Windows-Firewall dagegen auch einen gewissen Schutz der einzelnen Stationen vor den anderen im internen Netz bietet?

[timbowrockt]

@Tweedledee:Also Kommunikation läuft von intern-zu-intern nur über den Miniswitch in der FritzBox, d.h. definitiv nicht über die Firewall. Kann es sein, dass du auch ein bisschen die Funktion einer Firewall missverstehst?

Eine NAT-Firewall schötz quasi eh nur durch geschlossene Ports... aber selbst eine Paket-Inspection Firewall mit Intrusion Protection (d.h. Paket werden in Echtzeit auf Schadcode überprüft) kann dich vor Viren etc. nicht schützen, da diese eig. immer über den Port 80 kommunizieren, eindringen etc.

[Tweedledee]

Du hast schon recht, mein Verständnis von diesen Dingen ist begrenzt. Die Funktionsweise einer Firewall ist mir nicht vollständig klar. Dass die NAT-Funktion von DSL-Routern etwas anderes ist schon, und dass beides kein Virenschutz ist ebenfalls. Alles bestenfalls Halbwissen bei mir.

Ich formuliere meine eigentliche Frage nochmal anders:

Wenn das besagte kleine Netzwerk aus 3 PCs (und manchmal diversen Notebooks) über die Fritzbox verswitcht und mit dem Internet verbunden ist, bietet dann die Windows-Firewall auf den Arbeitsplätzen noch einen zusätzlichen Schutz (intern oder extern oder wie auch immer), der den der Fritzbox noch sinnvoll ergänzen kann?

Ich meine nicht, dass die Windows-Firewall nicht stört, weil systemeigen und wenig ressourcenhungrig o.ä., sondern ob es ein denkbares Szenario gibt, bei welchem die Windows-Firewall irgendeine Bedrohung für den PC abwehren kann, den die Fritzbox nicht oder nur ungenügend abwehren kann.

[Spiderman]

Die NAT Firewall in Routern ist nur ein einfacher Paketfilter, das bietet deshalb auch nur einen minimalen Schutz zum Internet.

Die besseren Gateways heißen oft Firewall oder Gateway, und haben je eine NIC für WAN, DMZ und LAN verbaut, dadurch sind diese Geräte natürlich auch wesentlich teurer.

Die Firewall auf den Rechnern schützt auch vor Paketen von anderen Rechnern, die Windows Firewall in XP ist allerdings Schlecht, denn MS hat Anwendungen wie Messenger und WMP so programmiert, dass sie die Firewall Regeln verändern, sie schalten sich also immer automatisch Ports frei.

Beispiel: Netzwerk Freigabe des WMP, schaltet bestimmte Ports frei, Viren können dann von anderen LAN Rechner durch die Windows Firewall, besser sind also Firewall von anderen Firmen, die bleiben erst einamal dicht und fragen den Benutzer.

Gute Software Firewalls verhindern auch das Schadprogramme Daten senden können, und melden auch jede ausgehende Verbindung, die XP Firewall läßt einfach alles raus.

Firewall Test: http://www.matousec.com/projects/proactive...nge/results.php

Gruß
Spiderman

[psionski]

Klar bietet die XP Firewall einen zusätzlichen Schutz, du hast schon recht! Die FritzBox ist ja potenziell hackbar, und Windows auch, aber so muss man mindestens beide hacken um irgendwas zu erreichen. Schutz ist ja nicht absolut, je mehr desto besser.

[Tweedledee]

Ok, das hilft mir schon mal weiter. Für ein besseres Sicherheitskonzept wird leider kein Geld bewilligt.
Danke für die Antworten!

Gruß
Tweedledee