私は、Web サイトのみをホストする Web サーバーとして Windows Server 2022 VPS を使用しています。VPS が最初にセットアップされたとき、Windows ファイアウォールの受信用の次のポートがすでに有効になっていることがわかりました (ポートは一番右側にあり、その前に TCP または UDP があります)。
- デバイスストリーミングサーバーへのキャスト (HTTP-Streaming-In) TCP 10246
- DIAL プロトコル サーバー (HTTP 受信) TCP 10247
- デバイスへのキャスト機能 (qWave-TCP-In) TCP 2177
- デバイスへのキャスト機能 (qWave-UDP-In) UDP 2177
- デバイスストリーミングサーバーへのキャスト (RTSP-Streaming-In) TCP 23554、23555、23556
- デバイスへのキャスト UPnP イベント (TCP 受信) TCP 2869
- Microsoft メディア ファンデーション ネットワーク ソース IN UDP [UDP 5004-5009] 5000-5020
- mDNS (UDP 受信) UDP 5353
- Microsoft Edge (mNDS 受信) UDP 5353
- コア ネットワーク - IPv6 の動的ホスト構成 (DHCPV6-In) UDP 546
- Microsoft メディア ファンデーション ネットワーク ソース IN [TCP 554] 554、8554-8558
- コアネットワーク - 動的ホスト構成 (DHCP 受信) UDP 68
- 配信最適化 (TCP 受信) TCP 7680
- AllJoyn ルーター (TCP 受信) TCP 9995
私は、Web サイトのホスティングに Windows 2022 サーバーのみを使用しています (Web サイトは ASP.net MVC 上で実行され、もちろん IIS を使用しています)。これらの Windows ファイアウォールの受信ルールは設定していません。同時に、VPS を保護したいのですが、もちろん、Windows 2022 VPS が適切に機能することも望んでいます。上記の Windows ファイアウォールの受信ルールを安全にオフにして、VPS を強化することはできますか? または、上記の Windows ファイアウォールの受信ルールの一部を無効にすると、問題が発生しますか? 上記のルール/ポートのうち、有効にする必要があり、無効にしても安全ではないものはどれですか?
答え1
純粋な Web サーバーは、着信 HTTP および HTTPS 接続のみを許可する必要があるため、開かれるポートは TCP 80 と 443 (QUIC を使用する場合は UDP 443 も含む) のみにする必要があります。FTP や FTPS を使用してファイルをアップロードする場合は、少なくとも TCP ポート 20、21、989、990 (およびパッシブ モード サーバーに必要なその他の範囲) を開く必要があります。
あなたが上に投稿したリストから、UDP 68と546(DHCP)のみがおそらくサーバーの IP が DHCP 経由で取得される場合に限り、役に立ちます (可能性は低いです)。ただし、これは一般的なアドバイスに過ぎません。特定のサーバー/アプリケーションでは他のポートが必要になる場合があり、サーバーに何をインストール/実行するかを予測することはできません。
さらに、公開サーバーのセキュリティを確保することはもっとたくさん不要なポートを単に閉じるよりも、これは基本的な最初のステップですが、ファイアウォールだけに頼って「安全」にすることは避けてください。