防火墙规则允许访问 Windows 更新或 CDN 上的其他资源吗?

tag-icon tag-icon firewall cdn
防火墙规则允许访问 Windows 更新或 CDN 上的其他资源吗?

在边界防火墙上打开防火墙漏洞以允许 Windows 更新的最佳方法是什么?

据我所知,Windows 更新网站托管在内容分发网络上,该网络可能每 30 秒更改一次 IP 地址。

如果我通过对站点进行静态分配来“毒害”我们的校园 DNS,最终我将指向实际上不再托管内容的站点。

是否有任何 IP 地址可以托管更新内容并且保证永远不会改变?

从更一般的意义上讲,人们如何配置防火墙以允许访问托管在 IP 会不断变化 CDN 上的资源?防火墙只查看来往数据包,并不一定知道请求将发往哪个 URL(如果是 https),因此防火墙无法直接看到此数据包将发往 symantec 病毒定义更新站点,而该站点正在查看世界杯直播。

而且,就我的情况而言,我没有能力强制网络上的系统进行特定配置。啊,在大学工作的乐趣...

答案1

虽然我还没有尝试过(请参阅我上面的评论),但我认为最好的解决方案是在堆栈的更上层:使用代理服务器。

您可以在 Windows 更新计算机(或更可能是 WSUS 服务器)前面配置类似 Squid 的东西,并允许 *.windowsupdate.microsoft.com 和 *.windowsupdate.com(和很快)同时拒绝其他所有内容;然后可以通过阻止到 WSUS 服务器的 TCP 80/443 在您的边缘防火墙上强制执行此操作,并且强制代理配置对于相关服务器上的 WinHTTP 服务。

我需要在短期内为数据中心中即将强化的服务器实现此功能,并且可能会使用它来实现它。

答案2

我通过设置反向代理服务器和毒化 DNS 在一定程度上解决了这个问题。

  1. 对于每项服务,提供一个 IP 地址并将 HAproxy 绑定到该 IP,并配置 HAproxy 以接受该 IP 上看到的请求并将其转发到该服务的 DNS 地址。(10.10.10.30 代理请求到 www.apple.com,10.10.10.31 代理请求到 update.microsoft.com,10.10.10.32 代理请求到 windowsupdate.com,等等)

  2. 配置 HAproxy 服务器以使用未中毒的 DNS 服务器

  3. 毒害校园 DNS 将这些服务指向内部 HAproxy IP(windowsupdate.com -> 10.10.10.32、10.10.10.30 -> www.apple.com、10.10.10.31 -> update.microsoft.com 等)

  4. 确保代理服务器不受边界防火墙的传出流量限制。

我已经在有限的范围内测试过它,它确实有效。如果/当它投入实际生产时,它可能会使用 F5 而不是 HAproxy 来完成。

然而,这比仅仅让防火墙允许访问要复杂得多,但遗憾的是,这似乎是不可能的。

我希望有人能有比我更优雅的解决方案......

答案3

我的建议是在 DMZ 中的服务器上安装 WSUS,并授予其不受限制的访问权限microsoft.com

然后,通过组策略,我会指定您的所有其他机器使用您的 WSUS 服务器。这样做有几个好处:

  1. 仅有一台服务器可以通过“防火墙漏洞”进行访问
  2. 您可以从集中控制面板控制哪些更新发送到哪个服务器。
  3. 减少带宽使用,因为只有一台服务器从互联网下载,其余服务器通过 LAN 下载。

相关内容