在边界防火墙中插入防火墙以允许Windows更新的最佳方法是什么?
据我所知,Windows更新站点托pipe在内容分发networking上,每隔30秒就可能更改IP地址。
如果我用校园网DNS的静态分配来“毒化”我们的校园DNS,那么最终我会指向那些实际上没有托pipe内容的网站。
是否有任何承载更新内容的IP地址保证永不改变?
从更一般的意义上讲,人们如何configuration防火墙来允许访问托pipe在IP地址不断变化的CDN上的资源? 防火墙只是看到/从数据包,并不一定知道什么URL(如果https)的请求,所以防火墙没有一个直接的方式来看到这个数据包是去的赛门铁克病毒定义更新站点而那个人正在看世界杯stream。
而且,在我的情况下,我没有能力在networking上的系统上指定一个特定的configuration。 啊,在大学工作的乐趣…
虽然我还没有尝试过(见上面我的评论),我认为最好的解决scheme是进一步堆栈:使用代理服务器。
您可以在Windows Update机器(或更有可能的WSUS服务器)之前configuration类似Squid的东西,并允许* .windowsupdate.microsoft.com和* .windowsupdate.com( 等等 )同时拒绝其他所有内容; 这可以通过阻止TCP 80/443到您的WSUS服务器并强制代理服务器上的WinHTTP服务进行configuration , 从而在您的边缘防火墙上实施。
我将需要在短期内在数据中心实施一个即将被强化的服务器,并且可能会用它来实现它。
通过设置反向代理服务器和中毒DNS,我有点解决了这个问题。
对于每项服务,提供一个IP地址并将HAproxy绑定到该IP,并configurationHAproxy以接收在该IP上看到的请求,并将其转发到该服务的DNS地址。 (10.10.10.30代理请求www.apple.com,10.10.10.31代理请求update.microsoft.com,10.10.10.32代理windowsupdate.com等)
configurationHAproxy服务器使用无毒的DNS服务器
中毒校园DNS将这些服务指向内部HAproxy IP(windowsupdate.com – > 10.10.10.32,10.10.10.30 – > http://www.apple.com,10.10.10.31 – > update.microsoft.com等)
请确保代理服务器不受边界防火墙上的传出stream量限制。
我已经在有限的基础上进行了testing,它确实有效。 如果/当这个被投入实际生产时,可能会用F5而不是HAproxy来完成。
尽pipe如此,这远比让防火墙允许访问要复杂得多,但遗憾的是,这似乎是不可能的。
我希望有人有比我更优雅的解决scheme…
我的build议是将WSUS安装在DMZ中的服务器上,并且可以无限制地访问microsoft.com
然后,通过组策略,我会指出所有其他机器人使用您的WSUS服务器。 有几个方面: