BullGuard Hilfe

Firewall > Anwendungsregeln

Firewall Anwendungsregeln

Geben an, welche Anwendungen berechtigten Zugang zu Ihrer Netzwerkverbindung haben


Die Registerkarte Anwendungsregeln ist der wichtigste Teil des Intrusion-Detection-Systems und ermöglicht Ihnen anzugeben, welche Anwendungen auf Ihre Netzwerkverbindung zugreifen dürfen. Sie erreichen diese Registerkarte, indem Sie auf Anwendungsregeln im Hauptfenster des Firewallmoduls klicken. Sie können auch im Abschnitt Firewalleinstellungen auf der Registerkarte Firewallregeln das Schaltfeld Anwendungsregeln drücken.

Die Registerkarte Anwendungsregeln ist eine Tabelle, die einige vordefinierte Regeln sowie alle vom Benutzer installierten Programme enthält, die versuchen, durch die aktive Netzwerkverbindung Daten zu senden oder zu empfangen.

Beschreibung: Zeigt den Namen der Firewall-Regel (es muss nicht unbedingt der genaue Name der ausführbaren Datei sein, für die die Regel erstellt wurde). Sie können jederzeit die Regeln umbenennen.
Richtlinie: Zeigt, welche Maßnahmen die Firewall in Bezug auf die Anwendung ergreifen wird: Zulassen, Sperren oder Fragen.

- Zulassen: Die Anwendung kann über das Netzwerk Daten senden und empfangen.

- Sperren: Die Firewall blockiert alle Informationspakete, die diese Anwendung zu senden oder zu empfangen versucht. Falls die Anwendung nur mit einer vorhandenen Netzwerkverbindung laufen kann, wird sie nicht funktionieren. Als Nebeneffekt ist diese Option ein wirksames Mittel, um mit Würmern, Trojanern oder „Dropper“-Viren fertig zu werden, da diese eine Internetverbindung benötigen, um sich zu verbreiten. Wenn sie nicht in der Lage sind, eine Verbindung zu nutzen, werden sie unbrauchbar und können keine Infektion verbreiten.

- Fragen: Die Firewall wird Sie jedes Mal, wenn die Anwendung gestartet wird, bitten zu entscheiden, ob ihr die Verwendung der Netzwerkverbindung erlaubt oder verweigert werden soll. Die Pop-up-Frage der Firewall hat standardmäßig eine Wartezeit von 20 Sekunden, in denen Sie Ihre Antwort wählen können. Wenn die 20 Sekunden ohne Antwort überschritten sind, wird die Firewall die Anwendung standardmäßig blockieren, bis Sie sie entweder zulassen oder blockieren. Wenn Sie keine Zeit zum Antworten hatten, bewirkt ein Neustart der Anwendung, dass die Firewall die Frage erneut stellt. Dann können Sie Ihre Antwort geben.


Protokoll: Die Art des Protokolls, die die Firewall der Anwendung erlaubt (Daten, die die Anwendung über andere Protokollarten zu senden oder zu empfangen versucht, werden von der Firewall gesperrt).
Richtung: Die Richtung des Verkehrs der Anwendung (ein- oder ausgehend).
Ports: Die Ports, die die Anwendung benutzen darf (Daten, die die Anwendung über andere Ports zu senden oder zu empfangen versucht, werden von der Firewall blockiert). Wenn kein Port angegeben ist, kann die Anwendung alle verfügbaren Ports verwenden, sofern sie nicht generell von der Firewall oder sonst geschlossen sind (einige ISPs halten in ihrem Netzwerk Ports mit großem Risiko geschlossen).
Remote-Hosts: Die IP-Adresse, mit der sich die Anwendung zum Senden oder Empfangen von Daten in Verbindung setzt (Daten an eine andere IP-Adresse als die angegebene werden von der Firewall blockiert). Wenn unter Remote Hosts keine IP-Adresse eingetragen ist, kann die Anwendung mit allen IP-Adressen Verbindung aufnehmen.
Nur gleiche Ports: Diese Option richtet eine Peer-Beziehung in der Portverwendung zwischen dem lokalen und Remote-Host ein. Die Firewall ermöglicht, dass die Anwendung Daten sendet oder empfängt, solange sie die gleiche Portnummer verwendet wie der Zielcomputer.
Anwendungspfad: Zeigt, wo die ausführbare Datei, die der Firewall-Regel zugeordnet ist, zu finden ist.
Automatisch Regeln für bekannte Programme erstellen: Ermöglicht der Firewall eine Regel für jedes Programm erstellen, das in der Datenbank bekannter Anwendungen vorhanden ist. Die Firewall wird den Benutzer nur durch eine Pop-Up-Nachricht in der unteren rechten Ecke des Bildschirms darüber informieren, dass einer Anwendung automatisch erlaubt wurde, sich mit dem Internet zu verbinden.

 Mit Regeln arbeiten

Sie können die Regeln bearbeiten, indem Sie mit einem rechten Mausklick ein Kontextmenü aufrufen, das verschiedene Möglichkeiten bietet, die Liste der Anwendungen zu verwalten.

Neue Regel (Taste Einfügen): Fügt der Liste eine neue Regel hinzu.

Gewählte Regeln entfernen (Taste Entfernen): Löscht die gewählte Regel.

Waisenregeln entfernen: Eine Aufräumoption, die alle Regeln entfernt, denen nicht länger eine ausführbare Datei zugeordnet ist.

Regel nach oben/unten verschieben (Tastenkombination Alt+Auf/Ab): Bewegt die gewählte Regel in der Liste auf oder ab.

Text der Zelle kopieren (Tastenkombination Strg+C): Kopiert die aktuelle Auswahl.

Anwendung suchen: Öffnet ein Browser-Fenster und zeigt den Ort der mit der Regeln verknüpften ausführbaren Datei.

Eigenschaften (Tastenkombination Alt+Eingabe): Öffnet das Eigenschaftfenster von Windows für die mit der gewählten Regel verknüpfte ausführbare Datei.

Hinzufügen von Anwendungen zur Liste der Anwendungsregeln

Unmittelbar nach der Installation von BullGuard wird die Firewall beginnen, Sie über die Anwendungen zu befragen. Das Modul hat jedoch auch eine Datenbank „bekannter Programme“, die automatisch zugelassen werden (Anwendungen von entscheidender Bedeutung für das Betriebssystem oder die häufigsten Anwendungen), wobei nur eine Meldung gezeigt wird, um den Benutzer zu informieren. Auf diese Weise wird dem Benutzer erspart, mit allzu vielen Pop-up-Fenstern von der Firewall belästigt zu werden.

Wenn ein Programm nicht in der Firewall-Datenbank ist, wird ein Pop-up-Fenster gezeigt, in dem die Firewall beim Benutzer anfragt, ob eine Netzwerkverbindung des Programms zugelassen oder blockiert werden soll.

Mögliche Antworten auf das Pop-up-Fenster der Firewall:

Ja: Die Firewall erlaubt der Anwendung sich mit dem Netzwerk zu verbinden, bis die Anwendung geschlossen und neu gestartet wurde. Die Anwendung wird in die Anwendungsliste der Firewall mit dem Status Fragen aufgenommen. Die Firewall wird Sie jedes Mal, wenn die Anwendung geöffnet wird, fragen.

Nein: Die Firewall erlaubt der Anwendung nicht, sich mit dem Netzwerk zu verbinden, bis die Anwendung geschlossen und neu gestartet wurde. Die Anwendung wird in die Anwendungsliste der Firewall mit dem Status Fragen aufgenommen. Die Firewall wird Sie jedes Mal, wenn die Anwendung geöffnet wird, fragen.

Ja, mit der Option Meine Antwort speichern und nicht wieder fragen angekreuzt: Die Firewall erlaubt der Anwendung sich mit dem Netzwerk zu verbinden, bis Sie ihren Status ändern. Die Anwendung wird in die Anwendungsliste der Firewall mit dem Status Zulassen aufgenommen. Die Firewall wird Sie nicht mehr über diese Anwendung fragen.

Nein, mit der Option Meine Antwort speichern und nicht wieder fragen angekreuzt: Die Firewall sperrt der Anwendung von Verbindungen mit dem Netzwerk, bis Sie ihren Status ändern. Die Anwendung wird in die Anwendungsliste der Firewall mit dem Status Sperren aufgenommen. Die Firewall wird Sie nicht mehr über diese Anwendung fragen.

Ja oder Nein, mit der Option Anwendung an BullGuard zur Analyse schicken angekreuzt: Die Firewall wird entsprechend der gewählten Antwort die Anwendung zulassen oder sperren und außerdem die ausführbare Datei auf die BullGuard Server hochladen. Dort wird sie analysiert und in die Liste der bekannten Anwendungen aufgenommen, so dass die Firewall sie künftig erkennt.

Weitere Informationen: Gibt Ihnen zusätzliche Informationen über die ausführbare Datei, die BullGuard abgefangen hat:

  

Anwendungspfad: Zeigt den Ort der ausführbaren Datei auf der Festplatte.

Version: Zeigt die Versionsnummer der ausführbaren Datei (wenn vorhanden).

Prozess-ID: Zeigt die ID-Nummer, die das Betriebssystem der ausführbaren Datei zugeordnet hat. Das ist dieselbe ID-Nummer wie im Windows Task Manager.

Befehlszeile: Wird angezeigt, wenn die Anwendung mit besonderen Parametern oder Befehlen gestartet wurde.

Parent-Prozess: Zeigt die Prozess ID des Parent-Prozesses der ausführbaren Datei.

Dateigröße: Zeigt die Dateigröße der ausführbaren Datei in Bytes.

Letzte Änderung: Zeigt an, wann die ausführbare Datei zuletzt geändert wurde.

Richtung: Gibt die Verkehrsrichtung an. Kann eingehend oder ausgehend sein, je nachdem, ob die Anwendung versucht hat Daten aus dem Netzwerk zu empfangen oder in es zu senden.

Protokoll: Zeigt welches Protokoll von der Anwendung zum Senden oder Empfangen von Daten verwendet wurde.

Remote-Adresse: Zeigt die IP-Adresse des Rechners bzw. Servers, mit dem die Anwendung versuchte, eine Verbindung herzustellen.

Remote-Hosts: Die Firewall wird versuchen, die IP-Adresse aufzulösen und die Remote-Host-Namen anzuzeigen.

Eine Anwendung manuell zu den Firewall-Regeln hinzufügen bzw. von ihnen entfernen

Klicken Sie unter Anwendungsregeln mit der rechten Maustaste auf eine Anwendung aus der Liste und wählen Sie die Option Anwendung hinzufügen oder drücken Sie einfach die Taste Einfügen auf Ihrer Tastatur. Ein neues Fenster (Browser-Fenster) öffnet sich und Sie brauchen nur zur ausführbaren Datei der Anwendung, die Sie hinzufügen möchten, zu gehen. Wählen Sie die ausführbare Datei, die Sie mit der Regel verbinden möchten, und klicken dann auf Öffnen.

Standardgemäß ist die neue Regel Fragen. Falls Sie möchten, dass die Anwendung sich beim jedem Start mit dem Netzwerk verbindet, setzen Sie die Regel auf Zulassen.


Benutzerdefinierte Anwendungsregeln

Standardmäßig wird nach Beantwortung einer Frage der Firewall zu einer Anwendung eine allgemeine Regel erstellt, die für alle Protokolle, IP-Adressen und Ports gilt.

Sie können diese Daten nach Bedarf ändern. Beachten Sie bitte: Wenn Sie solche Änderungen vornehmen möchten, wird der Verkehr nur für die von Ihnen eingegebenen Daten erlaubt. Jeder andere Verkehr zu anderen IP-Adressen oder Ports oder mit anderen Protokollen wird gesperrt. Bei einigen Anwendungen möchten Sie vielleicht nur den Zugang zu einer bestimmten IP-Adresse, Portnummer oder mit einem bestimmten Protokoll sperren. Falls die Anwendung andere Ports oder Hosts benötigt, werden Sie gefragt, ob Sie den Zugang wieder freigeben möchten.

Ports

Verbindung auf bestimmte Ports beschränken (Bitte beachten: Wenn in der Anwendung nicht vorgesehen ist, über die von Ihnen festgelegten Ports zu laufen, kann es sein, dass das Programm nicht korrekt funktioniert)

Lokale Ports bearbeiten: Die Anwendung sendet und empfängt Daten nur über die angegebenen Ports auf dem lokalen Computer. Alle anderen Ports werden gesperrt.

Remote-Ports bearbeiten: Die Anwendung sendet an den Remote-Host Daten nur an die angegebenen Ports. Wenn an das Programm vom Remote-Host Daten gesendet werden, so werden sie nur entgegen genommen, wenn sie von den angegebenen Ports stammen. Alle anderen Daten werden blockiert.
Diese Angaben können zusammen mit der Option Wenn lokale und Remote-Ports gleich sind verwendet werden: Diese Option richtet eine Peer-Beziehung in der Portverwendung zwischen dem lokalen und Remote-Host ein. Zum Beispiel: Wenn der Benutzer nur den lokalen Port 675 eingibt und die vorgenannte Option ankreuzt, dann erlaubt die Firewall der Anwendung Datenverkehr nur dann, wenn die Daten sowohl vom lokalen als auch vom Remote-Computer über Port 675 gesendet und empfangen werden (der Port 675 ist also die einzige Verbindung zwischen beiden Rechnern).

Remote-Hosts

Beschränkung des Verkehrs auf eine IP-Adresse oder einen IP-Adressbereich: Doppelklick auf Hosts… in der Spalte Hosts um eine bestimmte IP-Adresse einzugeben. Die Anwendung kann dann nur mit den angegebenen IP-Adressen in Verbindung treten – ein Datenverkehr zu anderen IP-Adressen wird gesperrt.

Es ist möglich, einen Bereich von IP-Adressen aus einer vordefinierten Gruppe hinzuzufügen. Die Anwendung kann dann nur mit den angegebenen IP-Adressen in Verbindung treten – ein Datenverkehr zu anderen IP-Adressen wird gesperrt. Die vertrauenswürdigen und nicht vertrauenswürdigen Subnetze und Netzwerke können unter der Registerkarte System festgelegt werden.

Jeder Host aus meinem Subnetz: Das erlaubt Verkehr nur mit den lokalen Netzen (vertrauenswürdige und nicht vertrauenswürdige) die zum Netzwerk gehören, in dem sich der lokale Computer befindet, während alle anderen IP-Adressen gesperrt werden. Sie finden die vertrauenswürdigen und nicht vertrauenswürdigen Subnetze in der Registerkarte Subnetze im Abschnitt Firewall Einstellung.

Jeder Host aus meinen VERTRAUENSWÜRDIGEN Subnetzen: Erlaubt Verkehr nur für die IP-Adresse aus vertrauenswürdigen Netzwerken, während alle anderen IP-Adressen gesperrt werden.

Jeder Host aus meinen NICHT VERTRAUENSWÜRDIGEN Subnetzen: Erlaubt Verkehr nur für die IP-Adresse aus nicht vertrauenswürdigen Netzwerken, während alle anderen IP-Adressen gesperrt werden.

Jeder meiner DNS-Server: Die Anwendung kann nur an die DNS-Server senden und und von ihnen Daten empfangen, die dem Netzwerk zugewiesen sind, während alle anderen IP-Adressen blockiert sind.

Jeder meiner Gateways: Die Anwendung kann nur an die Gateways senden und und von ihnen Daten empfangen, die dem Netzwerk zugewiesen sind, während alle anderen IP-Adressen blockiert sind.

Protokolle
Sie können entscheiden, welche Art von Protokollen eine Anwendung benutzen kann. Beachten Sie bitte, dass eine Anwendung, die verschiedene Arten von Protokollen benötigt, nicht oder nicht richtig arbeitet, wenn nur eine Art von Protokoll zugelassen ist. In der Registerkarte Anwendungen können Sie die Protokolle TCD oder UDP (oder beide) wählen.