在边界防火墙中戳一个防火墙漏洞以允许 Windows 更新的最佳方法是什么?
据我所知,Windows 更新站点托管在可能每 30 秒更改一次 IP 地址的内容分发网络上。
如果我用站点的静态分配“毒害”我们的校园 DNS,最终我将指向实际上不再托管内容的站点。
是否有任何托管更新内容的 IP 地址保证永远不会更改?
从更一般的意义上讲,人们如何配置防火墙以允许访问托管在 IP 不断变化的 CDN 上的资源?防火墙只是查看数据包,并不一定知道请求将要到达的 url(如果是 https),因此防火墙没有直接的方法来查看此数据包是否将发送到赛门铁克病毒定义更新站点当那个人正在观看世界杯直播时。
而且,在我的情况下,我没有能力在网络上的系统上强制执行特定配置。啊,在大学工作的乐趣......
虽然我还没有尝试过这个(请参阅上面的评论),但我认为最好的解决方案是进一步提高堆栈:使用代理服务器。
您可以在 Windows Update 计算机(或更可能是 WSUS 服务器)前面配置 Squid 之类的内容,并允许 *.windowsupdate.microsoft.com 和 *.windowsupdate.com (等等),同时拒绝其他所有内容;然后,可以通过阻止到 WSUS 服务器的 TCP 80/443 并强制相关服务器上的 WinHTTP 服务进行代理配置,在边缘防火墙上强制执行此操作。
我需要在短期内为数据中心中即将加固的服务器实现这一点,并且可能会使用它来完成它。