Das braucht sie garnicht zu wissen.
Sie fragt ganz einfach immer nach, wenn ein neues Programm eine Verbindung nach außen (oder auch in's Netzwerk) aufbauen will oder eine Verbindung von außen auf ein bestimmtes Programm gehen soll.
Der Nutzer (der nichtmal Experte sein muss), kann dann entscheiden, ob das Programm in's Internet darf oder nicht.
Ich weiß ja nicht, was du unter Experten verstehst. Aber wenn plötzlich ein unbekannter Prozess versucht, Verbindung aufzunehmen, lässt sich per Google recht schnell herausfinden, was für ein Prozess das ist (z.B. ungefährlicher Windows-Prozess oder Trojaner/etc.).
Ein Experte müsste nicht googlen, sondern würde direkt sehen, ob ein Prozess sicher oder potentiell gefährlich ist.
Du meinst wahrscheinlich eine stand-alone Firewall wie z.B. Zonealarm, denn die in den Security Suiten integrierten Firewalls fragen nur noch äußerst selten nach, da sie den Verkehr einfach durchwinken, sofern er von einem als bekannt vertrauenswürdigen Programm ausgeht.
Meinerseits folgende Bemerkungen zur externen Software-Firewall:
- Sie reißt zusätzlich Sicherheitslücken ins System (keine Software ist perfekt) und vergrößert somit den Angriffsvektor
- Sie verlangsamt das System (zumindest habe ich diese Erfahrung mit ZoneAlarm gemacht)
- Die Entscheidung, ob ein Programm ins Netz darf, erfordert ein gewisses Maß an netzwerkspezifischem Hintergrundwissen um sich die Firewall nicht falsch zu konfigurieren, denn das wäre fatal (die meisten Benutzer klicken erfahrungsgemäß sowieso auf „zulassen“ und wenn sie mal den Zugriff verweigern, wundern sie sich, dass irgendwas nicht mehr korrekt funktioniert). Auch Google wird da nicht viel helfen, denn was machst du wenn z.B. svchost.exe Zugriff haben möchte? Das kann legitim sein aber auch Malware nutzt diesen Dienst um heimlich Daten zu versenden. Das wäre dann aber eine ziemlich schlecht programmierte Malware, denn normalerweise wird die Firewall einfach geleaked.
- Beim Einsatz einer stand-alone Firewall wird der User wahrscheinlich zusätzlich eine reine Antivirensoftware verwenden. Daraus ergibt sich aber folgendes Problem: Sehr viele AV´s arbeiten inzwischen als Proxy, d.h. sämtlicher Traffic läuft über die Server der Hersteller (z.B. Kaspersky). Unter diesen Umständen besteht für eine externe Firewall (wie z.B. ZoneAlarm) keine Möglichkeit, das eigentlich sendende Programm zu erkennen. Für ZoneAlarm sieht es so aus, als käme sämtlicher Traffic vom Antivirenprogramm (z.B. KAV). In diesem Fall wird ZoneAlarm genau einmal nachfragen, nämlich ob „avp.exe“ (gehört zu Kaspersky) zugreifen darf oder nicht. Verweigert man den Zugriff, ist man offline. Gewährt man den Zugriff, verliert ZoneAlarm seine (ohnehin fragwürdige) Existenzberechtigung.
Nochmal zum Hardware-Router:
Ok, das mit dem Port 80 hatte ich falsch verstanden. Trotzdem bietet so eine Firewall überhaupt keinen Schutz, wenn ein Programm von deinem Rechner nach außen telefoniert.
Richtig. Allerdings haben heute so gut wie fast alle Programme irgendwelche Netzwerkfunktionen, deren Einschränkung sehr wahrscheinlich die Funktionalität beeinträchtigt.
Daher ist es die bessere Lösung, ein Programm, dem man so offensichtlich misstraut, gar nicht erst zu installieren (das gilt natürlich insbesondere auch für Malware
).
.Für Nutzer von WINXP Professional oder Vista/Win7 Ultimate gibts allerdings eine sehr elegante Abhilfemöglichkeit, die Werbung komplett abzustellen 
