我正在使用 Windows Server 2022 VPS 作为 Web 服务器来托管网站。当首次为我设置 VPS 时,我看到 Windows 防火墙中的以下入站端口已启用(端口位于最右侧,前面是 TCP 或 UDP):
- 投射至设备流媒体服务器 (HTTP-Streaming-In) TCP 10246
- DIAL 协议服务器 (HTTP-In) TCP 10247
- 投射到设备功能 (qWave-TCP-In) TCP 2177
- 投射至设备功能 (qWave-UDP-In) UDP 2177
- 投射至设备流媒体服务器 (RTSP-Streaming-In) TCP 23554、23555、23556
- 投射至设备 UPnP 事件 (TCP-In) TCP 2869
- Microsoft Media Foundation 网络源 IN UDP [UDP 5004-5009] 5000-5020
- mDNS (UDP 输入) UDP 5353
- Microsoft Edge(mNDS-In)UDP 5353
- 核心网络 - IPv6 的动态主机配置 (DHCPV6-In) UDP 546
- Microsoft 媒体基础网络源 IN [TCP 554] 554,8554-8558
- 核心网络 - 动态主机配置 (DHCP-In) UDP 68
- 传递优化 (TCP-In) TCP 7680
- AllJoyn 路由器 (TCP-In) TCP 9995
我仅使用 Windows 2022 服务器来托管网站(我的网站在 ASP.net MVC 上运行,当然使用 IIS)。我没有设置任何这些 Windows 防火墙入站规则。同时,我确实想保护我的 VPS,但当然,我也希望我的 Windows 2022 VPS 正常运行。我可以安全地关闭上述 Windows 防火墙入站规则来强化我的 VPS 吗?或者,如果我禁用上述某些 Windows 防火墙入站规则,我会遇到问题吗?上述哪些规则/端口需要启用并且禁用不安全?
答案1
纯 Web 服务器应仅允许传入 HTTP 和 HTTPS 连接,因此唯一打开的端口应该是 TCP 80 和 443(如果使用 QUIC,则加上 UDP 443)。如果使用 FTP 和/或 FTPS 上传文件,则应至少打开 TCP 端口 20、21、989 和 990(加上被动模式服务器所需的其他范围)。
从上面发布的列表中,只有 UDP 68 和 546 (DHCP) 似乎是可能有用,当且仅当您的服务器 IP 是通过 DHCP 获得的(不太可能)。话虽如此,这只是一个通用建议:您的特定服务器/应用程序可能需要任何其他端口,并且无法预测您将在服务器上安装/运行什么。
此外,请注意,保护公共服务器多得多而不是简单地关闭不需要的端口。这是基本的第一步,但请不要仅仅依靠防火墙来保证“安全”。