Firewalls
Zunächst einmal zur Begriffsbestimmung Firewall und Personal Firewall. Firewalls sind Geräte oder Softwarelösungen, die zwischen zwei Netzen geschaltet sind. Datenpakete, die von einem in das andere Netz wandern wollen, können hier durchgelassen werden oder aber auch blockiert werden. Dazu untersucht die Firewall ankommende Pakete und entscheidet aufgrund von bestimmten Regeln ob das Paket passieren darf, oder ob es einfach nur gelöscht wird. Diese Regeln bestimmt der Administrator der Firewall. Die Kriterien, die ein Paket erfüllen muß um passieren zu dürfen können zum Beispiel die Source-IP Adresse sein, von der das Paket abgeschickt wurde (ich will keine Pakete von BösePaketeVersender.com), die Zieladresse zu der das Paket gesandt werden soll (der Rechner TotaleGeheimnisseInMeinemNetz darf aus keinem anderen Netz angesprochen werden) oder zum Beispiel der Port (es darf keiner versuchen FTP auf irgendeinen Rechner in meinem Netz zu machen, da ich derartige Dienste für andere Netze gar nicht anbiete). Die Firewall filtert dann die entsprechenden Pakete aus dem Datenstrom heraus und wirft sie weg, weshalb einfache Firewalls auch Paketfilter heißen.

Personal Firewalls
Personal Firewalls sind in der Regel auch Paketfilter. Im Unterschied zu herkömmlichen Firewalls sitzen sie aber nicht zwischen zwei Netzen, sondern nur auf einem einzelnen Computer. Dort überwachen Sie im Idealfall den gesamten ein- und ausgehenden Datenstrom dieses einen Rechners. Wie unten beschrieben, binden sie erlaubte und verbotene Verbindungen dabei direkt an das jeweilig verwendete Programm.
Für welchen Zweck ist so eine Personal Firewall interessant ? Die hier beispielhaft beschriebene Personal Firewall AtGuard (von Norton aufgekauft und nun als Teil der Norton Internet Security Suite vertrieben, hier aber weil es kürzer ist, trotzdem immer AtGuard genannt) kann z.B. bei Web-Verbindungen auch ins http-Protokoll "sehen" und Daten von unerwünschten Web-Servern wegfiltern. Damit kann sie Werbung ausblenden, aktive Elemente (JavaScript oder ActiveX) wegfiltern oder sich um die Cookie Verwaltung kümmern.
Der Hauptgrund, warum ich persönlich Personal Firewalls auf Rechnern mit Internet Zugang sinnvoll finde, ist aber der Schutz vor Backdoor-Programmen oder Trojanern. AntiVirus Software ist zwar schön und gut, aber nicht wirklich in der Lage jeden Trojaner und jede Abart von ihnen aufzuspüren. Mit der Personal Firewall gehe ich einen anderen Weg. Der Firewall muß der Trojaner gar nicht bekannt sein. Ein Trojaner (oder eben auch eine Backdoor, was hier jetzt synonym verwandt wird) funktioniert aber immer so, daß er eine Verbindung in das Internet aufbauen will, oder auf Verbindungen aus dem Internet wartet. Und diese kann ja die Personal Firewall unabhängig von dem konkreten Trojaner überwachen.

AtGuard (Nicht mehr erhältlich, jetzt verändert als Norton Internet Security Suite erhältlich)
Die Firewall AtGuard war ein kostenpflichtiges Produkt. Hinweise zu einer Freeware Alternative gibt es unten. AtGuard bietet für die Firewall einen sogenannten interactive Learning Mode (wenn es sowas doch nur auch für "echte" Firewalls geben würde). Nach der Installation muß dazu die Firewall erstmal aktiviert werden. In den Voreinstellungen sollte man auch dafür sorgen, daß die Firewall immer aktiv ist, wenn man an das Internet angeschlossen ist. Außerdem sollte man die wenigen voreingestellten Regeln überprüfen, und entscheiden ob diese so bestehen bleiben sollten (wenn im Netz keine Rechner über das Netzwerk booten, braucht man bootp nicht zu erlauben ... andererseits sollte man den DNS-Service nicht sperren, da sonst keine DNS-Abfragen mehr möglich sind, und die Seite www.ag-intra.net nicht mehr aufgerufen werden kann :).

Konfiguration-Betrieb
In der Grundeinstellung sind im wesentlichen alle Verbindungen unbekannt. Wird nun eine Verbindung in das Internet hergestellt, so merkt AtGuard dies, und ein Dialog taucht auf. Dort beschreibt AtGuard die Verbindung, und fragt ob diese Verbindung immer erlaubt sein soll, immer verboten sein soll, nur dieses eine Mal erlaubt werden soll, oder nur dieses eine Mal verboten werden soll.
Das bedeutet natürlich am Anfang nach der Installation von AtGuard erst einmal ein wenig Arbeit, weil AtGuard ja für jedes Programm welches das Internet verwendet, lernen muß was ihm erlaubt oder verboten ist. Nach einiger Zeit ist AtGuard dann aber soweit konfiguriert, und man kann relativ ungestört und sicher das Internet nutzen.
Damit die Konfiguration aber auch wirklich (zumindest ziemlich) sicher ist, müßen die Regeln auch einigermaßen sinnvoll angelegt werden. Relativ einfach dürfte dabei zunächst die Konfiguration von eMail sein. 
Dazu sollten Sie regelmäßig nur ein eMail-Programm verwenden. Also entweder Outlook Express, oder Netscape Messenger, oder AK Mail, oder Fox Mail, oder Eudora oder was Sie sonst gerne nutzen. Starten Sie Ihr eMail-Programm und lassen Sie es von den Mail-Servern, die Sie benutzen die Mail abrufen. Sofort meldet sich AtGuard, und teilt Ihnen mit, daß Outlook Express (das nehmen wir in diesem Beispiel einfach mal) auf dem Port 110 eine Verbindung zu Ihrem Mail-Server herstellen will. Da Sie in Zukunft nicht mehr beim Mail abholen von AtGuard belästigt werden wollen, erstellen Sie jetzt Ihre erste Regel. Sie erlauben konkret dem eMail-Programm Outlook Express die Verbindung zu konkret dem benannten Mail-Server auf genau nur diesem einen Port 110. Wenn Sie mehrere Mail-Server haben, werden Sie jetzt für konkret jeden dieser Mail-Server die gleiche Regel anlegen. Beim nächsten Abholen der Mail wird sich AtGuard nicht mehr melden. Jetzt versuchen Sie einfach mal eMail zu versenden. Wieder meldet sich AtGuard, und teilt mit daß das Programm Outlook Express eine Verbindung zu Ihrem Mail-Server herstellen will, und zwar diesmal auf Port 25. Auch hier legen Sie wieder eine Regel an, daß es konkret dem eMail-Programm Outlook Express erlaubt ist, konkret diesen Server auf Port 25 zu kontaktieren.
Um das Internet zu nutzen, muß man Verbindungen aufbauen. Einige Verbindungen müssen also zugelassen werden. Welchen Schutz haben Sie jetzt eigentlich durch die gerade aufgestellten Regeln erhalten? AtGuard wird in Zukunft beim Mail abholen und Versenden von Ihrem (oder Ihren) Mailserver nicht mehr dazwischen funken. Um Ihnen den eMail Dienst überhaupt zu ermöglichen, läßt AtGuard diesen Datenverkehr ungehindert passieren. Wenn nun aber ... (aha, jetzt kommts) ... ein Trojaner, den Sie sich irgendwie mal eingefangen haben versucht, über einen entsprechend hart-codierten Mail-Server eine eMail an seinen Erzeuger zu senden (in der er seine aktuelle IP-Adresse mitteilt, sowie die Tatsache daß er jetzt Online ist), so handelt es sich bei dieser Mail Verbindung zwar um eine auf Port 25, aber es ist weder das Programm outlook.exenoch der von Ihnen erlaubte Mail-Server beteiligt. AtGuard bemerkt dies, und wird Ihnen eine Meldung präsentieren, daß (z.B.) das Programm "bo.exe" auf Port 25 mit irgendeiner IP-Adresse die Ihnen nichts sagt, eine Verbindung herstellen will. Dies ist der Augenblick, wo Sie sich sagen "Moment mal, der Port 25 ist ja der zum Versenden von eMail. Ich habe ja aber gerade keine eMail versandt. Und das Programm "bo.exe" kenne ich auch nicht, mein eMail Programm heißt ja outlook.exe. Und den Server da draußen, den kenne ich auch nicht." Sie werden jetzt also AtGuard mitteilen, daß ausgehende Verbindungen vom Programm "bo.exe", eigentlich auf jedem Port und zu jedem Server im Internet blockiert werden sollen. Dies ist auch die empfohlene grundsätzliche Vorgehensweise für Verbindungen die Ihnen gemeldet werden, und die Ihnen irgendwie komisch vorkommen. Wenn Sie dann feststellen, daß seit dem Einrichten einer Regel nun eine bestimmte Funktionalität im Internet nicht mehr funktioniert, die Sie aber gerne nutzen möchten, dann können Sie die Regel nachträglich wieder löschen oder abändern.
Im Endeffekt kann nach der o.g. Konfiguration nur noch ein einziges eMail Programm mit genau den Servern kommunizieren, mit denen Sie es wünschen. Jedes andere Programm, oder jeder Versuch von Outlook Expressmit einem anderen als den zugelassenen Servern zu kommunizieren, wird blockiert und durch eine Meldung angezeigt.

Falls sie sich mit Ports und Verbindungen im Internet nicht so auskennen, wäre dies ein guter Augenblick, um kurz zu unterbrechen, und zunächst die (kurz und einfach gehaltene) Beschreibung des TCP/IP Protokolls zu lesen.

Sie wollen sicher nicht nur mailen. Kommen wir nun also zum Surfen. Hier ist die Situation schon etwas schwieriger. Das Surfen im WWW ist ja gerade davon geprägt, daß man sich ständig mit einer Vielzahl unbekannter Web-Server verbindet, Hyperlinks auf anderen Web-Servern folgt und keinen speziellen Zielserver für die entsprechenden Verbindungen anspricht wie es bei dem Mail-Service der Fall ist. Hier bleibt einem nichts anderes übrig, als nach dem Start des bevorzugten Web-Browsers, diesem den Zugriff auf alle Zieladressen zu genehmigen. Man sollte jedoch darauf achten, daß man nur diesem einen Browser den Zugriff erlaubt, sowie den Zugriff zunächst auf Port 80, den Standardport des http-Protokolls beschränkt. Für andere Programme, die Verbindungen auf Port 80 aufbauen wollen (wie zB. ältere RealPlayer Versionen, bzw. RealJukeBoxVersionen, die auf Ihrer Festplatte Daten gesammelt hatten, und diese ohne Ihr Wissen an real.com übermitteln wollten) wird dann weiterhin die Verbindung blockiert und eine entsprechende Warnung angezeigt.
Wenn Sie z.B. so durch die Gegend surfen werden Sie feststellen, daß öfter Warnungen erscheinen, weil der Browser auf andere Ports als Port 80 zugreifen will. Häufig verwendete und in der Regel unbedenkliche Ports sind ggf. noch Port 81 und Port 8080. Bei SSL-verschlüsselten Verbindungen wird Port 443 kontaktiert. Derartige Verbindungen kann man schon fast komplett freischalten. Meldungen die sich jedoch auf Ports wie zB. 9172 beziehen sind nicht standardisiert. Werbebannerserver benutzen oft derartig merkwürdige Ports. In der Regel schadet es nicht, wenn Sie im Einzelfall, wenn Ihnen ein derartiger Verbindungswunsch von AtGuard angezeigt wird, die Option, 'nur dieses eine Mal blockieren' anwählen. In der Regel können Sie, Ihnen suspekte oder unbekannte Verbindungswünsche (merkwürdige Ports, merkwürdige Zieladressen, merkwürdige lokale Programme) immer erstmal so wegklicken. Sollten Sie dann wieder feststellen, daß eine von Ihnen gewünschte Funktionalität nicht verfügbar ist, können Sie immer noch abwägen, ob Sie eine derartige Verbindung zulassen wollen oder nicht (und das Risiko einer ggf. unsicheren Verbindung in Kauf nehmen). Funktioniert alles wie Sie wünschen, und eine derartige Meldung erscheint öfter, dann können Sie eine entsprechende feste Blockade-Regel erstellen.
Bei den Web-Browsern können Sie auch bevor Sie alle Verbindungen zulassen vorher Regeln definieren, auf welche Web-Sites diese nicht zugreifen sollen (zB. wollen Sie vielleicht nicht, daß sich der Internet Explorer mit der Domain microsoft.com oder microsoft.de verbindet). Hier ist dann die Reihenfolge der Regeln wichtig. Die erste zutreffende wird von AtGuard (oder auch anderen Firewalls) akzeptiert. Die Auschluß-Regeln müßen also vor der Regel stehen, die alle Verbindungen zuläßt.

Auf diese Art und Weise können Sie für jedes Programm, welches Sie für den Internetzugriff verwenden sehr fein einstellen, auf welchen Ports diese arbeiten dürfen, und zu welchen Servern Sie Verbindungen herstellen dürfen. In der Folge können Sie relativ ungehindert im Internet surfen und arbeiten, ohne ständig von AtGuard belästigt zu werden. Wenn irgendwer von außerhalb versucht sich irgendwie mit Ihrem Rechner zu verbinden, erhalten Sie eine Meldung von AtGuard. Damit bekommen Sie einen Eindruck davon, was so alles an Verbindungswünschen im Internet umherfliegt. Diese Verbindungen blockieren Sie selbstverständlich. Außerdem bekommen Sie Meldungen wenn irgendein Programm auf Ihrer Platte versucht eine Verbindung ins Internet herzustellen, von dem Sie eigentlich nicht wollen, daß es Verbindungen herstellt. Und abschließend bekommen Sie Meldungen, wenn ein Programm welches im Internet arbeiten darf, auf einmal Verbindungen auf Ports oder zu Zielservern herstellt, auf die es eigentlich gar nicht zugreifen sollte.

Denken Sie daran, daß es absolute Sicherheit prinzipbedingt nicht gibt. Es nutzt auch nichts eine Personal Firewall zu installieren, einzustellen und sich dann darauf zu verlassen, daß sie alle Angriffe abfängt. Aber als ein Baustein zur Systemsicherheit ist so eine Firewall doch sehr nützlich. Insbesondere was den Schutz vor Trojanern angeht. Wenn Sie erstmal etwas installiert haben, was Ihnen anzeigt, was so alles für Angriffe aus dem Internet kommen, fragen Sie sich vermutlich wieso Ihr Rechner vor der Verwendung der Firewall nicht total zerstört wurde (was natürlich damit zusammenhängt, daß sich die meisten Angriffe im Netz gegen UNIX Maschinen richten, oder Trojanerclients zufällig im Netz nach entsprechenden Servern herumstochern, die Sie aber hoffentlich noch nicht auf dem Rechner haben).

Andere Personal Firewalls
Hier wurde nun AtGuard (bzw. Norton Internet Security Suite, wie es jetzt heißt) beschrieben. Dies liegt daran, weil die Einstellmöglichkeiten sehr fein sind. Andere Personal Firewalls wie zB. ZoneAlarm, geben oft nur ein Programm pauschal für das Internet frei, oder sperren es. Andere populäre Personal Firewalls sind vielleicht auch noch PGP Personal Privacy, Freedom, IDcide,Sygateo.ä.

Gerade frisch unter die Finger gekommen ist mir Tiny Personal Firewall. Hierbei handelt es sich, zumindest für den privaten Gebrauch, um Freeware. Laut Aussagen des Herstellers soll diese Personal Firewall ähnlich (bzw. besser) konfigurierbar sein wie Norton Internet Security Suite. Leider konnte ich sie noch nicht ausprobieren, da mir ein Kollege den einzigen Rechner zerschossen hat, auf dem ich sie hätte testen können.
Nachtrag: Inzwischen konnte ich sie ausprobieren, und finde, daß Sie zwar in der Bedienung leicht anders funktioniert wie AtGuard/Norton ISS aber von der Funktion her voll mithalten kann. Da Sie für den privaten Gebrauch kostenlos ist, würde ich also genau diese Firewall empfehlen :)

Wer schließlich testen möchte, ob seine Konfiguration einigermaßen sicher ist, kann dazu ein kleines Tool für die Sicherheit von innen nutzen, nämlich LeakTest. Der Test ist relativ einfach. Für den Test von außen steht auf den dortigen Seiten auch der Service Shields UP zur Verfügung. Die Webseite  dazu ist extrem aufschlußreich, was die Qualität verschiedener Personal Firewall Produkte angeht.

Ich würde mich wirklich freuen, wenn jemand mal auf die Idee kommen würde, und eine Personal Firewall für Windows als OpenSource und Freeware Projekt entwickeln würde.

Für die, die es genau wissen wollen, findet sich an der TU-Berlin noch eine Liste von bekannten Trojanern (ohne Anspruch auf Vollständigkeit).

Als Schlußsatz kann man nur noch anmerken, daß die Konfiguration einer Personal Firewall immer ein Kompromiß aus dem Schutz vor unerwünschten Verbindungen und dem Erlauben der Dinge, die ich im Netz machen will, ist.