Windows 11 Firewall einrichten – So geht’s richtig

Windows 11 Firewall richtig einrichten: So konfigurieren Sie Regeln und Ausnahmen Schritt für Schritt – für optimalen Schutz Ihres PCs und Heimnetzwerks.

Die Windows 11 Firewall schützt Ihren PC zuverlässig vor unerwünschten Netzwerkzugriffen und Cyberbedrohungen. Damit die Schutzfunktion optimal arbeitet, müssen Sie sie jedoch richtig konfigurieren.

In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie die Windows Defender Firewall aktivieren, Regeln erstellen, Programme freigeben und Ports verwalten – sicher und verständlich erklärt.

Was die Windows Defender Firewall eigentlich macht

Bevor Sie mit der Einrichtung beginnen, sollten Sie verstehen, was die Firewall überhaupt leistet. Die Windows Defender Firewall ist eine in Windows 11 integrierte Sicherheitslösung, die den ein- und ausgehenden Netzwerkverkehr Ihres Computers überwacht und filtert. Sie entscheidet dabei anhand vordefinierter Regeln, welche Verbindungen erlaubt und welche blockiert werden.

Konkret funktioniert das folgendermaßen: Jedes Datenpaket, das Ihren PC erreicht oder verlässt, wird von der Firewall analysiert. Entspricht ein Paket keiner erlaubten Regel, blockiert die Firewall die Verbindung automatisch. Deshalb ist die Firewall eine der wichtigsten Sicherheitsebenen auf Ihrem System – neben einem aktuellen Virenschutz und regelmäßigen Windows-Updates.

Seit Windows 10 heißt die integrierte Firewall offiziell „Microsoft Defender Firewall“ und ist auch in Windows 11 (einschließlich Windows 11 24H2, dem aktuellen Stand in 2026) tief ins Betriebssystem eingebunden. Zudem arbeitet sie eng mit Windows Security zusammen und lässt sich sowohl über die moderne Einstellungen-App als auch über die klassische Systemsteuerung oder die Windows Defender Firewall mit erweiterter Sicherheit (WFAS) konfigurieren.

Firewall aktivieren und deaktivieren in Windows 11

Standardmäßig ist die Windows Defender Firewall in Windows 11 bereits aktiv. Dennoch sollten Sie den Status regelmäßig prüfen, da manche Drittanbieter-Software die Firewall deaktivieren kann.

Schritt-für-Schritt-Anleitung zum Prüfen und Aktivieren:

1. Drücken Sie die Windows-Taste + I, um die Einstellungen zu öffnen.
2. Klicken Sie auf „Datenschutz und Sicherheit“.
3. Wählen Sie anschließend „Windows-Sicherheit“.
4. Klicken Sie auf „Firewall und Netzwerkschutz“.
5. Wählen Sie das aktive Netzwerkprofil (z. B. „Privates Netzwerk“).
6. Stellen Sie sicher, dass der Schalter bei „Microsoft Defender Firewall“ auf „Ein“ steht.

Alternativ können Sie die Firewall auch über die Systemsteuerung erreichen: Geben Sie in der Suchleiste „Windows Defender Firewall“ ein und öffnen Sie den entsprechenden Eintrag. Dort sehen Sie sofort, ob die Firewall für alle Netzwerkprofile aktiv ist.

Wichtig: Deaktivieren Sie die Firewall niemals dauerhaft – auch nicht zu Testzwecken. Erstellen Sie stattdessen eine gezielte Ausnahme für das betroffene Programm oder den Port.

Die drei Netzwerkprofile verstehen

Ein zentrales Konzept der Windows Defender Firewall sind die Netzwerkprofile. Je nachdem, mit welchem Netzwerk Ihr PC verbunden ist, wendet Windows automatisch unterschiedliche Sicherheitsregeln an. Deshalb ist es wichtig, die drei Profile zu kennen:

1. Domänennetzwerk: Dieses Profil wird automatisch aktiviert, wenn sich Ihr Computer in einer Unternehmensumgebung mit einem Active-Directory-Domänencontroller befindet. Die Firewallregeln werden dabei oft zentral über Gruppenrichtlinien verwaltet.

2. Privates Netzwerk: Dieses Profil gilt für vertrauenswürdige Heimnetzwerke oder kleine Büronetzwerke. Hier sind die Einstellungen etwas weniger restriktiv als im öffentlichen Profil.

3. Öffentliches Netzwerk: Dieses Profil ist das restriktivste und wird automatisch aktiviert, wenn Sie sich mit einem WLAN-Hotspot, z. B. in einem Café oder Bahnhof, verbinden. Zudem blockiert es standardmäßig viele eingehende Verbindungen, um Ihr Gerät zu schützen.

Sie können für jedes Profil individuelle Regeln definieren. Außerdem empfiehlt es sich, das Profil bei einer Netzwerkverbindung bewusst auszuwählen – Windows fragt Sie beim ersten Verbinden mit einem neuen Netzwerk danach.

Programme durch die Windows Firewall zulassen oder blockieren

Einer der häufigsten Gründe, warum Nutzer die Firewall konfigurieren müssen, ist das Freigeben oder Blockieren von Programmen. Wenn eine Anwendung keinen Internetzugriff erhält, liegt das oft daran, dass die Firewall sie blockiert.

Programme über die einfache Benutzeroberfläche freigeben

So gehen Sie vor:

1. Öffnen Sie „Windows-Sicherheit“ über die Einstellungen oder die Suchleiste.
2. Klicken Sie auf „Firewall und Netzwerkschutz“.
3. Wählen Sie „App durch Firewall zulassen“.
4. Klicken Sie auf „Einstellungen ändern“ (Administratorrechte erforderlich).
5. Suchen Sie in der Liste die gewünschte App. Falls sie fehlt, klicken Sie auf „Andere App zulassen…“ und wählen Sie die ausführbare Datei (.exe) aus.
6. Setzen Sie Häkchen bei „Privat“ und/oder „Öffentlich“, je nachdem, für welche Netzwerkprofile die Freigabe gelten soll.
7. Bestätigen Sie mit „OK“.

Programme über erweiterte Einstellungen blockieren

Möchten Sie hingegen eine App gezielt blockieren, die bereits Internetzugang hat, nutzen Sie die Windows Defender Firewall mit erweiterter Sicherheit:

1. Geben Sie in die Suchleiste „wf.msc“ ein und öffnen Sie die Konsole.
2. Klicken Sie auf „Ausgehende Regeln“.
3. Wählen Sie rechts „Neue Regel…“.
4. Wählen Sie „Programm“ und klicken Sie auf „Weiter“.
5. Klicken Sie auf „Dieser Programmpfad“ und geben Sie den Pfad zur .exe-Datei an.
6. Wählen Sie „Verbindung blockieren“ und klicken Sie auf „Weiter“.
7. Aktivieren Sie alle gewünschten Netzwerkprofile und klicken Sie erneut auf „Weiter“.
8. Vergeben Sie einen aussagekräftigen Namen für die Regel, z. B. „Firefox ausgehend blockieren“, und klicken Sie auf „Fertig stellen“.

Ports freigeben und Firewallregeln für Ports erstellen

Für bestimmte Anwendungen – besonders Server-Software, Online-Spiele oder VPN-Verbindungen – müssen gezielt Ports in der Firewall geöffnet werden. Dabei unterscheidet man zwischen TCP (verbindungsorientiert, z. B. HTTP, FTP) und UDP (verbindungslos, z. B. DNS, Streaming).

Schritt-für-Schritt-Anleitung zum Öffnen eines Ports:

1. Öffnen Sie die Windows Defender Firewall mit erweiterter Sicherheit über die Suche oder den Befehl wf.msc.
2. Klicken Sie auf „Eingehende Regeln“ (für Dienste, die von außen erreichbar sein sollen).
3. Wählen Sie rechts „Neue Regel…“.
4. Klicken Sie auf „Port“ und dann auf „Weiter“.
5. Wählen Sie „TCP“ oder „UDP“ – je nach Anforderung der Software.
6. Wählen Sie „Bestimmte lokale Ports“ und geben Sie die Portnummer ein, z. B. „8080″ oder einen Bereich wie „8080-8090″.
7. Wählen Sie „Verbindung zulassen“ und klicken Sie auf „Weiter“.
8. Aktivieren Sie die gewünschten Netzwerkprofile (Domäne, Privat, Öffentlich).
9. Vergeben Sie einen Namen für die Regel, z. B. „Webserver Port 8080 eingehend“, und klicken Sie auf „Fertig stellen“.

Tipp: Öffnen Sie Ports im öffentlichen Profil nur dann, wenn es wirklich notwendig ist. Privat- und Domänenprofile sind deutlich sicherer, da Sie dort mehr Kontrolle über die Gegenstellen haben.

Ausgehende Regeln erstellen

Viele Nutzer denken bei der Firewall nur an eingehende Verbindungen. Jedoch sind auch ausgehende Verbindungen ein wichtiger Sicherheitsaspekt. Schadsoftware kommuniziert häufig über ausgehende Verbindungen mit externen Servern (sog. „Command-and-Control-Server“). Deshalb lohnt es sich, auch ausgehende Verbindungen zu kontrollieren.

So erstellen Sie eine ausgehende Portregel:

1. Öffnen Sie wf.msc.
2. Klicken Sie auf „Ausgehende Regeln“ und dann auf „Neue Regel…“.
3. Wählen Sie „Port“, definieren Sie das Protokoll und die Portnummer.
4. Wählen Sie „Verbindung blockieren“ oder „Verbindung zulassen“ – je nach Zweck.
5. Wählen Sie die Profile und vergeben Sie einen Namen.

Standardmäßig erlaubt Windows 11 alle ausgehenden Verbindungen. Möchten Sie das Standardverhalten ändern und ausgehende Verbindungen grundsätzlich blockieren, können Sie das in den Profiloptionen der erweiterten Firewall einstellen. Beachten Sie jedoch, dass dies für Einsteiger schnell dazu führen kann, dass wichtige Windows-Dienste nicht mehr funktionieren.

Die erweiterte Firewall-Konsole im Detail (wf.msc)

Die Windows Defender Firewall mit erweiterter Sicherheit ist das mächtigste Verwaltungswerkzeug für die Firewall in Windows 11. Sie erreichen sie über:

• Suchleiste: „Windows Defender Firewall mit erweiterter Sicherheit“ eingeben
• Ausführen-Dialog: Win + R → wf.msc → Enter
• Systemsteuerung: System und Sicherheit → Windows Defender Firewall → Erweiterte Einstellungen

In der Konsole sehen Sie auf einen Blick:

• Eingehende Regeln: Verbindungen, die von außen an Ihren PC kommen
• Ausgehende Regeln: Verbindungen, die Ihr PC nach außen aufbaut
• Verbindungssicherheitsregeln: IPsec-basierte Authentifizierungsregeln (für Unternehmensumgebungen)
• Überwachung: Aktive Regeln und Verbindungen in Echtzeit

Außerdem können Sie hier das Standardverhalten für jedes Netzwerkprofil einstellen. Klicken Sie dazu links auf „Windows Defender Firewall mit erweiterter Sicherheit (Lokal)“ und anschließend auf „Eigenschaften“. Dort lässt sich für jedes Profil separat festlegen, ob eingehende und ausgehende Verbindungen standardmäßig erlaubt oder blockiert werden.

Firewall-Protokollierung aktivieren und auswerten

Wenn Programme keine Verbindung herstellen können und Sie nicht wissen, warum, ist die Firewall-Protokollierung ein unverzichtbares Diagnosewerkzeug. Zudem hilft sie dabei, verdächtige Verbindungsversuche auf Ihrem System zu erkennen.

Protokollierung aktivieren:

1. Öffnen Sie wf.msc.
2. Klicken Sie links auf „Windows Defender Firewall mit erweiterter Sicherheit (Lokal)“.
3. Klicken Sie rechts auf „Eigenschaften“.
4. Wählen Sie das gewünschte Netzwerkprofil (z. B. „Privates Profil“).
5. Klicken Sie unter „Protokollierung“ auf „Anpassen“.
6. Aktivieren Sie „Gelöschte Pakete protokollieren“ und/oder „Erfolgreiche Verbindungen protokollieren“.
7. Notieren Sie den Pfad zur Protokolldatei – standardmäßig: C:\Windows\System32\LogFiles\Firewall\pfirewall.log.
8. Klicken Sie auf „OK“ und anschließend erneut auf „OK“.

Die Protokolldatei können Sie anschließend mit dem Editor oder dem Windows PowerShell-Befehl Get-Content C:\Windows\System32\LogFiles\Firewall\pfirewall.log auslesen. Blockierte Verbindungen erkennen Sie am Eintrag „DROP“ in der Spalte „Action“.

Firewall über PowerShell und Eingabeaufforderung verwalten

Für fortgeschrittene Nutzer und Systemadministratoren bietet Windows 11 zudem die Möglichkeit, die Firewall über die PowerShell oder die Eingabeaufforderung (cmd) zu verwalten. Deshalb sind diese Befehle besonders nützlich, wenn Sie Änderungen auf mehreren Systemen gleichzeitig vornehmen oder Konfigurationen automatisieren möchten.

Wichtige PowerShell-Befehle:

Firewall-Status prüfen:

Get-NetFirewallProfile | Select-Object Name, Enabled

Firewall für alle Profile aktivieren:

Set-NetFirewallProfile -All -Enabled True

Neue eingehende Regel für Port 80 (HTTP) erstellen:

New-NetFirewallRule -DisplayName "HTTP eingehend" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

Regel wieder löschen:

Remove-NetFirewallRule -DisplayName "HTTP eingehend"

Alle bestehenden Regeln auflisten:

Get-NetFirewallRule | Select-Object DisplayName, Enabled, Direction, Action

Diese Befehle werden mit Administratorrechten in der PowerShell ausgeführt. Klicken Sie dazu mit der rechten Maustaste auf das PowerShell-Symbol und wählen Sie „Als Administrator ausführen“.

Firewall zurücksetzen auf Werkseinstellungen

Haben Sie versehentlich eine wichtige Regel gelöscht oder die Firewall so konfiguriert, dass Verbindungen nicht mehr funktionieren? Dann können Sie die Firewall in Windows 11 auf die Standardeinstellungen zurücksetzen:

Option 1 – Über die Systemsteuerung:

1. Öffnen Sie die Systemsteuerung.
2. Klicken Sie auf „System und Sicherheit“ → „Windows Defender Firewall“.
3. Klicken Sie links auf „Standardeinstellungen wiederherstellen“.
4. Bestätigen Sie die Warnung mit „Standardeinstellungen wiederherstellen“.

Option 2 – Über PowerShell:

(New-Object -ComObject HNetCfg.FwPolicy2).RestoreLocalFirewallDefaults

Wichtig: Beim Zurücksetzen werden alle manuell erstellten Regeln gelöscht. Deshalb sollten Sie zuvor eine Sicherungskopie Ihrer Konfiguration erstellen.

Konfiguration exportieren:

1. Öffnen Sie wf.msc.
2. Klicken Sie links auf „Windows Defender Firewall mit erweiterter Sicherheit (Lokal)“.
3. Klicken Sie rechts auf „Richtlinie exportieren…“.
4. Wählen Sie einen Speicherort und einen Dateinamen (z. B. Firewall-Backup-2026.wfw).

Drittanbieter-Firewalls als Alternative oder Ergänzung

Die integrierte Windows Defender Firewall ist für die meisten Heimanwender vollkommen ausreichend. Jedoch gibt es Situationen, in denen eine Drittanbieter-Firewall sinnvoll sein kann – zum Beispiel, wenn Sie eine granularere Kontrolle über ausgehende Verbindungen wünschen oder eine benutzerfreundlichere Oberfläche bevorzugen.

Empfehlenswerte Drittanbieter-Firewalls für Windows 11:

• GlassWire (glasswire.com): Bietet eine übersichtliche visuelle Darstellung aller Netzwerkverbindungen und benachrichtigt Sie in Echtzeit über neue Verbindungen. Die Basisversion ist kostenlos, die Pro-Version kostet ca. 39 US-Dollar einmalig.
• Comodo Firewall (personalfirewall.comodo.com): Eine kostenlose, leistungsstarke Firewall mit HIPS-Technologie (Host Intrusion Prevention System). Besonders geeignet für erfahrene Nutzer, die maximale Kontrolle möchten.
• Simplewall (henrypp.org/product/simplewall): Eine schlanke, kostenlose Open-Source-Firewall-Verwaltung für Windows, die auf Windows Filtering Platform (WFP) basiert. Besonders empfehlenswert für Nutzer, die ausgehende Verbindungen strikt kontrollieren möchten.

Beachten Sie dabei: Installieren Sie nie zwei vollwertige Echtzeit-Firewalls gleichzeitig. Das führt zu Konflikten. Wenn Sie eine Drittanbieter-Firewall installieren, deaktiviert diese in der Regel automatisch die Windows Defender Firewall – oder Sie deaktivieren sie manuell.

Firewall in Unternehmensumgebungen zentral verwalten

In Firmen und Organisationen verwalten IT-Administratoren die Firewall üblicherweise nicht auf jedem Gerät einzeln. Stattdessen nutzen sie Gruppenrichtlinien (GPO) über Active Directory oder Microsoft Intune für moderne cloudbasierte Verwaltung.

Über Gruppenrichtlinien lassen sich Firewallregeln auf alle Domänenrechner gleichzeitig anwenden. Den entsprechenden Pfad finden Sie unter:
Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Windows Defender Firewall mit erweiterter Sicherheit

Außerdem lässt sich die Firewall über die Microsoft Intune-Verwaltungskonsole für Unternehmensgeräte zentral steuern – das ist der empfohlene Weg für größere Organisationen in 2026.

Empfohlene Vorgehensweisen für die Windows 11 Firewall

Damit Ihre Firewall dauerhaft zuverlässig schützt, sollten Sie folgende Punkte beachten:

Firewall immer aktiv lassen: Deaktivieren Sie die Firewall niemals dauerhaft – auch nicht zu Testzwecken. Erstellen Sie stattdessen eine gezielte Ausnahme.

Regelmäßige Überprüfung der Ausnahmen: Kontrollieren Sie regelmäßig, welche Programme Firewall-Ausnahmen besitzen. Desinstallierte Programme hinterlassen manchmal verwaiste Einträge, die Sie manuell entfernen sollten.

Minimalprinzip bei Portfreigaben: Öffnen Sie ausschließlich die Ports, die Sie wirklich benötigen. Zudem schließen Sie Ports wieder, sobald der Bedarf entfällt.

Öffentliche Netzwerke strenger schützen: Stellen Sie sicher, dass das öffentliche Netzwerkprofil restriktiver konfiguriert ist als das private Profil. Dadurch sind Sie in fremden Netzwerken besser geschützt.

Konfiguration regelmäßig sichern: Exportieren Sie Ihre Firewallregeln regelmäßig als .wfw-Datei, damit Sie bei Problemen schnell den ursprünglichen Zustand wiederherstellen können.

Protokollierung bei Problemen nutzen: Aktivieren Sie die Protokollierung temporär, wenn Verbindungsprobleme auftreten. Dadurch erkennen Sie schnell, ob die Firewall die Ursache ist.

Windows stets aktuell halten: Halten Sie Windows 11 immer auf dem neuesten Stand. Sicherheitsupdates verbessern auch die Firewall-Komponente und schließen bekannte Schwachstellen.

Häufige Fragen zur Windows 11 Firewall

Ist die Windows 11 Firewall standardmäßig aktiviert?

Ja, die Microsoft Defender Firewall ist in Windows 11 standardmäßig aktiv – für alle drei Netzwerkprofile (Domäne, Privat, Öffentlich). Sie müssen sie also nicht manuell einschalten, sofern Sie kein Programm installiert haben, das sie deaktiviert hat.

Wie prüfe ich, ob die Firewall ein Programm blockiert?

Am einfachsten aktivieren Sie die Firewall-Protokollierung und prüfen die Log-Datei unter C:\Windows\System32\LogFiles\Firewall\pfirewall.log auf „DROP“-Einträge. Alternativ können Sie das Programm testweise als Ausnahme hinzufügen und prüfen, ob das Problem damit verschwindet.

Kann ich die Windows Firewall komplett deaktivieren, um Verbindungsprobleme zu testen?

Technisch ja – das ist jedoch nicht empfehlenswert. Erstellen Sie stattdessen eine temporäre Ausnahmeregel für das betroffene Programm oder den Port. Zudem sollten Sie die Firewall sofort wieder aktivieren, falls Sie sie zu Testzwecken kurzfristig deaktiviert haben.

Was ist der Unterschied zwischen eingehenden und ausgehenden Regeln?

Eingehende Regeln kontrollieren Verbindungen, die von außen an Ihren PC gerichtet sind – z. B. wenn ein Webserver auf Ihrem Rechner auf Anfragen warten soll. Ausgehende Regeln steuern hingegen Verbindungen, die Ihr PC selbst nach außen aufbaut – z. B. wenn ein Programm Daten ins Internet senden möchte.

Wie kann ich einen bestimmten Port in der Firewall öffnen?

Öffnen Sie wf.msc, klicken Sie auf „Eingehende Regeln“ → „Neue Regel“ → „Port“, wählen Sie TCP oder UDP, geben Sie die Portnummer ein und wählen Sie „Verbindung zulassen“. Eine genaue Schritt-für-Schritt-Anleitung finden Sie im Abschnitt „Ports freigeben“ weiter oben in diesem Artikel.

Was passiert, wenn ich alle Einstellungen der Firewall zurücksetze?

Beim Zurücksetzen auf Standardeinstellungen werden alle manuell erstellten Regeln gelöscht und die Firewall kehrt zum Auslieferungszustand zurück. Deshalb sollten Sie vorher unbedingt eine Sicherungskopie Ihrer Konfiguration über wf.msc exportieren.

Schützt die Windows Defender Firewall auch vor Viren?

Die Firewall schützt primär vor unerwünschten Netzwerkverbindungen – also vor Angriffen aus dem Netzwerk. Gegen Viren, die über Downloads oder E-Mail-Anhänge auf Ihren PC gelangen, schützt hingegen der Microsoft Defender Antivirus, der ebenfalls in Windows 11 enthalten ist. Beide Komponenten ergänzen sich sinnvoll.

Kann ich die Firewall über PowerShell verwalten?

Ja, Windows 11 bietet über die PowerShell umfangreiche Cmdlets wie Get-NetFirewallRule, New-NetFirewallRule oder Set-NetFirewallProfile zur Verwaltung der Firewall. Das ist besonders nützlich für Administratoren, die mehrere Systeme gleichzeitig konfigurieren möchten.

Was ist der Unterschied zwischen der Windows Firewall und einer Router-Firewall?

Die Windows Defender Firewall schützt einzelne Geräte und kontrolliert Verbindungen auf Software-Ebene. Eine Router-Firewall hingegen schützt das gesamte Netzwerk auf Netzwerk-Ebene und filtert Verbindungen bereits, bevor sie einzelne Geräte erreichen. Außerdem ergänzen sich beide Schutzebenen hervorragend – deshalb empfiehlt sich der Einsatz beider Systeme gleichzeitig.

Funktioniert die Windows 11 Firewall auch mit VPN-Verbindungen?

Ja, die Windows Defender Firewall funktioniert auch bei aktiver VPN-Verbindung. Allerdings kann ein VPN ein eigenes virtuelles Netzwerkprofil erzeugen. Deshalb sollten Sie prüfen, ob für dieses Profil die richtigen Firewallregeln gelten. Bei Problemen hilft es, die Protokollierung zu aktivieren und die Log-Datei auf blockierte Verbindungen zu prüfen.

Fazit

Die Windows Defender Firewall in Windows 11 bietet umfangreiche Schutzfunktionen für Heimanwender und Profis gleichermaßen. Mit den einfachen Einstellungen über „Windows-Sicherheit“ und den erweiterten Optionen über wf.msc oder PowerShell haben Sie volle Kontrolle über eingehende und ausgehende Verbindungen.

Halten Sie die Firewall stets aktiviert, prüfen Sie Ihre Regeln regelmäßig und nutzen Sie die Protokollierung bei Problemen. Damit schützen Sie Ihren PC zuverlässig vor unbefugtem Zugriff – ohne auf wichtige Netzwerkfunktionen verzichten zu müssen.