我使用 Windows Server 2022 VPS 作為 Web 伺服器來僅託管網站。當我第一次設定 VPS 時,我看到 Windows 防火牆中的以下入站連接埠已啟用(該連接埠位於最右側,前面有 TCP 或 UDP):
- 投射到裝置串流伺服器 (HTTP-Streaming-In) TCP 10246
- DIAL 協定伺服器 (HTTP-In) TCP 10247
- 投射到裝置功能 (qWave-TCP-In) TCP 2177
- 投射到設備功能 (qWave-UDP-In) UDP 2177
- 投射到裝置串流伺服器 (RTSP-Streaming-In) TCP 23554、23555、23556
- 投射到裝置 UPnP 事件 (TCP-In) TCP 2869
- Microsoft Media Foundation 網路來源 IN UDP [UDP 5004-5009] 5000-5020
- mDNS(UDP 輸入)UDP 5353
- Microsoft Edge (mNDS-In) UDP 5353
- 核心網路 - IPv6 的動態主機配置 (DHCPV6-In) UDP 546
- Microsoft 媒體基礎網路來源 [TCP 554] 554, 8554-8558
- 核心網路 - 動態主機設定 (DHCP-In) UDP 68
- 傳輸最佳化 (TCP-In) TCP 7680
- AllJoyn 路由器 (TCP-In) TCP 9995
我僅使用 Windows 2022 伺服器來託管網站(我的網站在 ASP.net MVC 上運行,當然使用 IIS)。我沒有設定任何這些 Windows 防火牆入站規則。同時,我確實想要保護我的 VPS,但當然,我也希望我的 Windows 2022 VPS 能夠正常運作。我可以安全地關閉上述 Windows 防火牆入站規則來強化我的 VPS 嗎?或者,如果我停用上面的某些 Windows 防火牆入站規則,我會遇到問題嗎?上述哪些規則/連接埠需要啟用並且停用不安全?
答案1
純 Web 伺服器應該只允許傳入 HTTP 和 HTTPS 連接,因此唯一開啟的連接埠應該是 TCP 80 和 443(如果使用 QUIC,則加上 UDP 443)。如果使用 FTP 和/或 FTPS 上傳文件,您應該至少打開 TCP 連接埠 20,21,989 和 990(加上被動模式伺服器所需的其他範圍)。
從您上面發布的清單中,似乎只有 UDP 68 和 546 (DHCP)可能當且僅當您的伺服器的 IP 是透過 DHCP 取得時(不太可能),才有用。也就是說,這只是一個通用建議:您的特定伺服器/應用程式可能需要任何其他端口,並且無法預測您將在伺服器上安裝/運行什麼。
此外,請注意保護公共伺服器是多得多而不是簡單地關閉不需要的連接埠。這是基本的第一步,但請不要只依靠防火牆來確保「安全」。