文档介绍:典型应用四 –主机操作系统补丁管理:
1、需求分析
目前,很多单位的内网按照网络安全防护要求不能直接与国际互联网相连,但是
内网主机操作系统又需要补丁升级,通常做法是采用了微软 SUS 服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。
采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。
为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时获取和分发工作。
2、解决方案
联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。
内网升级平台内网主机
补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。
在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形
式,通过联想网御 SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可
以使用联想网闸的专用文件传输客户端软件,通过联想网御 SIS-3000安全隔离网闸在内外网络间进行单向文件交换 “摆渡 ”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、
病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。
内网和外网的补丁分发服务器获取了最新补丁文件后,将按照允许定义的策略进行下发工作。在进行策略定义时,