Я планирую запустить веб-сервер на Windows VPS. Я хочу защитить машину брандмауэром, и я подумал открыть только порты 80 и 3389 (для подключения по RDP). Это хороший выбор? И что вы предлагаете для этого в качестве простого брандмауэра?
Брандмауэр Windows подходит для этого.
Если вы будете получать доступ к серверу через RDP со статического IP-адреса, вам следует ограничить 3389 только этим IP-адресом. Если нет, убедитесь, что вы используете очень сложный пароль. Открытый для мира RDP привлекает множество попыток грубой силы.
В дополнение к брандмауэру Windows вы также должны настроить правила IPSEC, чтобы запретить доступ всем, кроме вашего IP или IP-блоков к 3389. Также следует реализовать Рекомендации Microsoft SCM для безопасности веб-сервера.
Хотел добавить еще один совет:
Если вы собираетесь использовать службы удаленных рабочих столов только для администрирования (на самом деле вы не размещаете приложение для клиента или чего-то еще), запустите его на нестандартный порт. Большинство атак будет автоматизировано, а запуск на нестандартном порту поможет уменьшить шум от автоматических атак.