| 2005-10-19 |
| 关于MSBA和Firewall |
|
首先在MS的网站上你可以找到如何扫描在Firewall后面的机器,有几个端口要开,还要允许一个进程能访问网络;详细内容见MBSA的QA,我就不多说;
我的情况是这样子的:所有的机器都有Firewall后面,包括MBSA部署的服务器;因为默认情况下所有未知的外出和进入的流量都是不允许的,所以我要知道MBSA是从那里下载的数据文件:
首先我们查到它要下载的三个数据文件分别来自于
Security update catalog (Wsusscan.cab), available from the
http://go.microsoft.com/fwlink/?LinkId=39043 Authorization catalog for Windows Update site access (Muauth.cab), available from the
http://go.microsoft.com/fwlink/?LinkId=43266 Windows Update Agent (if not already installed):
For x86-based computers (WindowsUpdateAgent20-x86.exe), available from the http://go.microsoft.com/fwlink/?LinkId=43264 也就是它要下载内容来自于go.microsoft.com,然后我们用ping来解析一下,看它的IP是多少:207.46.196.55,也许你看到的和我看到的不一样,因为MS可以使用多个服务器对应到一个域名,所以我们还要在本地的Hosts文件中增加一条记录将go.microsoft.com对应到207.46.196.55,因为我的防火墙系统是基于IP的,不是基于域名的;
启动MBSA在它进行下载的时候使用Netstat,很快就可以发现它在建立一个到207.46.196.55:80的连接,OK在防火墙上打开到此IP+Port的连接;再测试,发现还是不行,再用Netstat,发现它还是在连接一个202.47.29.29:80;OK再打开这个端口,搞定!
后来再次进行Patch和Security的检测的时候,发现又不能正常下载了;发现它连接的IP地址又变化了,而且还增加对一个IP的443端口的访问,也就是基于 SSL的Web访问;没办法 ,只好先对All IP的80和443的出口访问开放。 |
|
|
