数据中心部署WSUS实例(二)防火墙部署
连接之前,有关WSUS的补丁审批分组操作在前一个大的步骤已经完成。从事实上来说WSUS服务本身的配置工作已经完成,但部署WSUS服务进行补丁更新是一个整体性的工作,安装配置WSUS服务只是其中一个步骤,还有其他很多辅助性的工作需要操作。在WSUS服务配置完成后,甲方数据中心方面提出要求:在进行补丁update时,每次并不是所有的终端服务器都进行操作。每次仅一小部分机器进行update。在这一小部分机器进行update操作时。必须保证仅这一小部分机器能连接 WSUS服务端进行补丁下载安装,其他非update计划的终端无法连接 WSUS
根据以上需求,我首先想到了通过在DC上配置WMI筛选器进行策略的过滤下发和在WSUS上配置防火墙规则仅允许指定机器IP或计算机名进行连接。DC上配置域策略及WMI筛选器在后面的步骤操作,本步骤在WSUS上配置防火墙允许指定终端IP连接
首先,通过 控制面板---Windows防火墙---左侧高级设置 打开防火墙规则列表
在防火墙规则列表左侧栏,有入站规则与出站规则。代表数据二个方向,入站及出站均要配置。
我们先配置入站规则,右键左侧入站规则---新建规则 或者 在右侧点击 新建规则
在弹出的新建入站规则向导中,选择 自定义 然后 下一步
在 程序 选项卡中,因WSUS仅作为update补丁更新,并无其他任务服务或角色 可点选 所有程序
因 WSUS4.0(Win2012R2)使用的端口是8530与8531 因此在 协议选项卡中协议选择 TCP 端口号选择8530
在 作用域 选项卡中 找到 此规则应用于哪些远程IP地址 点选 下列IP地址 并单击添加 按钮
在弹出的 IP地址 添加窗口中,选择 此IP地址范围 将目标IP添加进去。
如果终端IP并非连续IP地址则点选此IP地址或子网将目标IP逐个添加进去。我这里是50台终端,完成后 确定 返回,并 下一步
在 操作 选项卡中,点选 允许连接 并 下一步
在 配置文件 选项卡中,因我的WSUS仅一块活动网卡并只接入一个域环境中。在此可以都选上或只选择域。
如果所部署的WSUS有二块以上活动网卡并接入不同网络,此处可根据具体环境需求选择
输入一个规则名字,如:WSUS8530 以区分不同端口规则
重复以上创建步骤,创建8531端口入站规则
至此,WSUS的防火墙配置工作已经完成。平时不使用WSUS也不想其他终端使用update连接,可将防火墙规则的作用域选项卡的IP改成127.0.0.1 并开启防火墙,这样除WSUS服务器自身外其他任何终端均无法使用update服务连接WSUS服务器
需要注意的是:在开启防火墙后,除指定IP终端服务器可连接WSUS进行补丁下载外。WSUS同样不能连接因特网上 MicrosoftUpdate服务器进行补丁同步与下载。经过测试发现,Win2012R2的WSUS服务亦通过8530及8531端口连接微软的Update服务器,可将MicrosoftUpdate服务器IP添加至防火墙规则的作用域IP里。
另外,如果有大量的IP需添加至防火墙的出站入站4条规则里,手工操作将非常繁琐且效率低下。在此提供一个批处理批量添加防火墙规则IP的命令:
netsh advfirewall firewall setrule name="WSUS8530" newRemoteIP="ip,ip,ip......"
引号内为终端IP地址,用逗号隔开。“name=”项改成你的防火墙规则名即可。
将以上代码复制到cmd或powshell 里执行,注意需要管理员权限执行。
发表评论: