典型应用四 – 主机操作系统补丁管理:1、需求分析目前,很多单位的内网根据网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统又需要补丁升级,通常做法是采纳了微软 SUS 服务器接入外网猎取补丁数据,在特定时间改接入内网为内网机器升级。采纳这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避开外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时猎取和分发工作。2、解决方案联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。在外网补丁接收服务器猎取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御 SIS-3000 安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可以使用联想网闸的专用文件传输客户端软件,通过联想网御 SIS-3000 安全隔离网闸在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。内网和外网的补丁分发服务器猎取了最新补丁文件后,将根据允许定义的策略进行下发工作。在进行策略定义时,允许将用户分组,对不同的组可以采纳不同的下发策略。例如,对于某些在打上补丁后可能操作系统无法正常工作的设备,则不自动下发,待完成了补丁升级试验后再继续操作。同时,补丁分发服务器的分组管理的策略,也可以对不同的用户采纳不同的补丁分发策略,对部分重要性较高的设备或系统情况无法确认的设备,可以设置不自动分发补丁,而等待管理人员对补丁进行验证后再启动分发工作。假如在外网补丁分发工作负载不大的情况下,外网补丁分发服务器和接收服务器可以合二为一,以节约投资。3、实施效果补丁升级系统的部署,可以有效的在保证内外网安全的前提下实现内网用户操作系统的及时升级,...
