Estoy usando un VPS de Windows Server 2022 como servidor web para alojar un sitio web únicamente. Cuando configuré el VPS por primera vez, vi que los siguientes puertos para entrada en el Firewall de Windows ya estaban habilitados (el puerto está en el lado derecho con TCP o UDP delante):
- Servidor de transmisión de transmisión al dispositivo (HTTP-Streaming-In) TCP 10246
- Servidor de protocolo DIAL (HTTP-In) TCP 10247
- Funcionalidad de transmisión a dispositivo (qWave-TCP-In) TCP 2177
- Funcionalidad de transmisión a dispositivo (qWave-UDP-In) UDP 2177
- Servidor de transmisión de transmisión al dispositivo (RTSP-Streaming-In) TCP 23554, 23555, 23556
- Transmitir a dispositivo Eventos UPnP (TCP-In) TCP 2869
- Fuente de red de Microsoft Media Foundation EN UDP [UDP 5004-5009] 5000-5020
- mDNS (entrada UDP) UDP 5353
- Microsoft Edge (mNDS-In) UDP 5353
- Redes principales: configuración dinámica de host para IPv6 (DHCPV6-In) UDP 546
- Fuente de red de Microsoft Media Foundation IN [TCP 554] 554, 8554-8558
- Redes principales: configuración dinámica de host (entrada DHCP) UDP 68
- Optimización de entrega (entrada TCP) TCP 7680
- Enrutador AllJoyn (entrada TCP) TCP 9995
Solo estoy usando mi servidor Windows 2022 para alojar un sitio web (mi sitio web se ejecuta en ASP.net MVC y usa IIS, por supuesto). No configuré ninguna de estas reglas de entrada del Firewall de Windows. Al mismo tiempo, quiero proteger mi VPS, pero, por supuesto, también quiero que mi VPS Windows 2022 funcione correctamente. ¿Puedo desactivar de forma segura las reglas de entrada del Firewall de Windows anteriores para reforzar mi VPS? ¿O tendré problemas si desactivo algunas de las reglas de entrada del Firewall de Windows mencionadas anteriormente? ¿Qué reglas/puertos anteriores deben habilitarse y no es seguro deshabilitarlos?
Respuesta1
Un servidor web puro solo debería permitir conexiones HTTP y HTTPS entrantes, por lo que los únicos puertos abiertos deberían ser TCP 80 y 443 (más UDP 443 si se usa QUIC). Si utiliza FTP y/o FTPS para cargar archivos, debe abrir al menos los puertos TCP 20,21,989 y 990 (más otros rangos necesarios para el servidor en modo pasivo).
De la lista que publicó anteriormente, solo UDP 68 y 546 (DHCP) parecen serposiblementeútil, si y sólo si la IP de su servidor se obtiene a través de DHCP (poco probable). Dicho esto, este es solo un consejo genérico: su servidor/aplicación específica puede requerir otros puertos, y no es posible predecir qué instalará/ejecutará en su servidor.
Además, tenga en cuenta que proteger un servidor público esmucho másque simplemente cerrar los puertos innecesarios. Este es un primer paso básico, pero no confíe únicamente en el firewall para estar "seguro".