Ich verwende einen Windows Server 2022 VPS als Webserver, um nur eine Website zu hosten. Als der VPS zum ersten Mal für mich eingerichtet wurde, sah ich, dass die folgenden Ports für eingehende Verbindungen in der Windows-Firewall bereits aktiviert waren (der Port befindet sich ganz rechts mit TCP oder UDP davor):
- Auf Geräte-Streaming-Server übertragen (HTTP-Streaming-In) TCP 10246
- DIAL-Protokollserver (HTTP-In) TCP 10247
- Cast-to-Device-Funktionalität (qWave-TCP-In) TCP 2177
- Cast-to-Device-Funktionalität (qWave-UDP-In) UDP 2177
- Cast-to-Device-Streaming-Server (RTSP-Streaming-In) TCP 23554, 23555, 23556
- Auf Gerät übertragene UPnP-Ereignisse (TCP-In) TCP 2869
- Microsoft Media Foundation Netzwerkquelle IN UDP [UDP 5004-5009] 5000-5020
- mDNS (UDP-Eingang) UDP 5353
- Microsoft Edge (mNDS-In) UDP 5353
- Core Networking – Dynamische Hostkonfiguration für IPv6 (DHCPV6-In) UDP 546
- Microsoft Media Foundation Netzwerkquelle IN [TCP 554] 554, 8554-8558
- Kernnetzwerk - Dynamische Hostkonfiguration (DHCP-In) UDP 68
- Übermittlungsoptimierung (TCP-In) TCP 7680
- AllJoyn-Router (TCP-In) TCP 9995
Ich verwende meinen Windows 2022-Server nur zum Hosten einer Website (meine Website läuft auf ASP.net MVC und verwendet natürlich IIS). Ich habe keine dieser eingehenden Windows-Firewall-Regeln eingerichtet. Gleichzeitig möchte ich meinen VPS sichern, aber natürlich möchte ich auch, dass mein Windows 2022-VPS ordnungsgemäß funktioniert. Kann ich die oben genannten eingehenden Windows-Firewall-Regeln sicher deaktivieren, um meinen VPS zu härten? Oder bekomme ich Probleme, wenn ich einige der oben genannten eingehenden Windows-Firewall-Regeln deaktiviere? Welche der oben genannten Regeln/Ports müssen aktiviert werden und können nicht sicher deaktiviert werden?
Antwort1
Ein reiner Webserver sollte nur eingehende HTTP- und HTTPS-Verbindungen zulassen, daher sollten die einzigen geöffneten Ports TCP 80 und 443 sein (plus UDP 443 bei Verwendung von QUIC). Wenn Sie FTP und/oder FTPS zum Hochladen von Dateien verwenden, sollten Sie mindestens die TCP-Ports 20, 21, 989 und 990 öffnen (plus andere Bereiche, die für den Server im passiven Modus erforderlich sind).
Aus der Liste, die Sie oben gepostet haben, scheinen nur UDP 68 und 546 (DHCP)möglicherweisenützlich, wenn und nur wenn die IP Ihres Servers über DHCP bezogen wird (unwahrscheinlich). Allerdings handelt es sich hier nur um einen allgemeinen Ratschlag: Ihr spezifischer Server/Ihre spezifische Anwendung kann andere Ports erfordern und es ist nicht möglich vorherzusagen, was Sie auf Ihrem Server installieren/ausführen werden.
Beachten Sie außerdem, dass die Sicherung eines öffentlichen Serversviel mehrals einfach die nicht benötigten Ports zu schließen. Dies ist ein grundlegender erster Schritt, aber verlassen Sie sich bitte nicht allein auf die „Sicherheit“ der Firewall.