Я использую Windows Server 2022 VPS в качестве веб-сервера только для размещения веб-сайта. Когда VPS был впервые настроен для меня, я увидел, что следующие порты для входящих подключений в брандмауэре Windows уже включены (порт находится на самой правой стороне с TCP или UDP перед ним):
- Сервер потоковой передачи на устройство (HTTP-Streaming-In) TCP 10246
- Сервер протокола DIAL (HTTP-In) TCP 10247
- Функция трансляции на устройство (qWave-TCP-In) TCP 2177
- Функция трансляции на устройство (qWave-UDP-In) UDP 2177
- Сервер потоковой передачи на устройство (RTSP-Streaming-In) TCP 23554, 23555, 23556
- События UPnP трансляции на устройство (TCP-входящий) TCP 2869
- Источник сети Microsoft Media Foundation IN UDP [UDP 5004-5009] 5000-5020
- mDNS (UDP-входящий) UDP 5353
- Microsoft Edge (mNDS-Входящий) UDP 5353
- Основная сеть — динамическая конфигурация хоста для IPv6 (DHCPV6-In) UDP 546
- Источник сети Microsoft Media Foundation IN [TCP 554] 554, 8554-8558
- Основная сеть — динамическая конфигурация хоста (DHCP-In) UDP 68
- Оптимизация доставки (TCP-In) TCP 7680
- Маршрутизатор AllJoyn (TCP-вход) TCP 9995
Я использую свой сервер Windows 2022 только для размещения веб-сайта (мой веб-сайт работает на ASP.net MVC и, конечно, использует IIS). Я не настраивал ни одно из этих правил входящего трафика брандмауэра Windows. В то же время я хочу защитить свой VPS, но, конечно, я также хочу, чтобы мой VPS Windows 2022 работал правильно. Могу ли я безопасно отключить указанные выше правила входящего трафика брандмауэра Windows, чтобы укрепить свой VPS? Или у меня возникнут проблемы, если я отключу некоторые из указанных выше правил входящего трафика брандмауэра Windows? Какие правила/порты необходимо включить и отключать их небезопасно?
решение1
Чистый веб-сервер должен разрешать только входящие соединения HTTP и HTTPS, поэтому единственными открытыми портами должны быть TCP 80 и 443 (плюс UDP 443, если используется QUIC). Если для загрузки файлов используются FTP и/или FTPS, следует открыть как минимум порты TCP 20, 21, 989 и 990 (плюс другие диапазоны, необходимые для сервера в пассивном режиме).
Из списка, который вы опубликовали выше, только UDP 68 и 546 (DHCP) кажутсявозможнополезно, если и только если IP вашего сервера получен через DHCP (маловероятно). Тем не менее, это только общий совет: ваш конкретный сервер/приложение могут потребовать любые другие порты, и невозможно предсказать, что вы установите/запустите на своем сервере.
Более того, имейте в виду, что обеспечение безопасности публичного серверагораздо болеечем просто закрыть ненужные порты. Это базовый первый шаг, но, пожалуйста, не полагайтесь только на брандмауэр, чтобы быть "безопасным".