Estou usando um VPS do Windows Server 2022 como servidor web para hospedar apenas um site. Quando o VPS foi configurado pela primeira vez para mim, vi que as seguintes portas para entrada no Firewall do Windows já estavam habilitadas (a porta está no lado direito com TCP ou UDP na frente dela):
- Servidor de streaming de transmissão para dispositivo (HTTP-Streaming-In) TCP 10246
- Servidor de protocolo DIAL (HTTP-In) TCP 10247
- Funcionalidade de transmissão para dispositivo (qWave-TCP-In) TCP 2177
- Funcionalidade de transmissão para dispositivo (qWave-UDP-In) UDP 2177
- Servidor de streaming de transmissão para dispositivo (RTSP-Streaming-In) TCP 23554, 23555, 23556
- Transmitir para eventos UPnP do dispositivo (TCP-In) TCP 2869
- Fonte de rede do Microsoft Media Foundation EM UDP [UDP 5004-5009] 5000-5020
- mDNS (entrada UDP) UDP 5353
- Microsoft Edge (entrada mNDS) UDP 5353
- Rede principal - Configuração dinâmica de host para IPv6 (DHCPV6-In) UDP 546
- Fonte de rede do Microsoft Media Foundation IN [TCP 554] 554, 8554-8558
- Rede principal - Configuração dinâmica de host (entrada DHCP) UDP 68
- Otimização de entrega (TCP-In) TCP 7680
- Roteador AllJoyn (Entrada TCP) TCP 9995
Estou usando meu servidor Windows 2022 apenas para hospedar um site (meu site roda em ASP.net MVC e usa IIS, é claro). Não configurei nenhuma dessas regras de entrada do Firewall do Windows. Ao mesmo tempo, quero proteger meu VPS, mas é claro, também quero que meu VPS Windows 2022 funcione corretamente. Posso desativar com segurança as regras de entrada do Firewall do Windows acima para proteger meu VPS? Ou terei problemas se desabilitar algumas das regras de entrada do Firewall do Windows acima? Quais regras/portas acima precisam ser ativadas e não são seguras para serem desativadas?
Responder1
Um servidor web puro deve permitir apenas conexões HTTP e HTTPS de entrada, portanto, as únicas portas abertas devem ser TCP 80 e 443 (mais UDP 443 se estiver usando QUIC). Se estiver usando FTP e/ou FTPS para fazer upload de arquivos, você deve abrir pelo menos as portas TCP 20,21.989 e 990 (além de outros intervalos necessários para o servidor em modo passivo).
Na lista que você postou acima, apenas UDP 68 e 546 (DHCP) parecem estarpossivelmenteútil, se e somente se o IP do seu servidor for obtido via DHCP (improvável). Dito isto, este é apenas um conselho genérico: seu servidor/aplicativo específico pode exigir qualquer outra porta e não é possível prever o que você instalará/executará em seu servidor.
Além disso, esteja ciente de que proteger um servidor público émuito maisdo que simplesmente fechar as portas desnecessárias. Este é um primeiro passo básico, mas não confie apenas no firewall para ser "seguro".