关于MSBA和Firewall

2005-10-19

关于MSBA和Firewall

首先在MS的网站上你可以找到如何扫描在Firewall后面的机器，有几个端口要开，还要允许一个进程能访问网络;详细内容见MBSA的QA，我就不多说； 我的情况是这样子的：所有的机器都有Firewall后面，包括MBSA部署的服务器；因为默认情况下所有未知的外出和进入的流量都是不允许的，所以我要知道MBSA是从那里下载的数据文件：   首先我们查到它要下载的三个数据文件分别来自于 Security update catalog (Wsusscan.cab), available from the http://go.microsoft.com/fwlink/?LinkId=39043 Authorization catalog for Windows Update site access (Muauth.cab), available from the http://go.microsoft.com/fwlink/?LinkId=43266 Windows Update Agent (if not already installed): For x86-based computers (WindowsUpdateAgent20-x86.exe), available from the http://go.microsoft.com/fwlink/?LinkId=43264 也就是它要下载内容来自于go.microsoft.com,然后我们用ping来解析一下，看它的IP是多少：207.46.196.55，也许你看到的和我看到的不一样，因为MS可以使用多个服务器对应到一个域名，所以我们还要在本地的Hosts文件中增加一条记录将go.microsoft.com对应到207.46.196.55,因为我的防火墙系统是基于IP的，不是基于域名的；   启动MBSA在它进行下载的时候使用Netstat，很快就可以发现它在建立一个到207.46.196.55:80的连接，OK在防火墙上打开到此IP＋Port的连接；再测试，发现还是不行，再用Netstat，发现它还是在连接一个202.47.29.29：80;OK再打开这个端口，搞定！   后来再次进行Patch和Security的检测的时候，发现又不能正常下载了；发现它连接的IP地址又变化了，而且还增加对一个IP的443端口的访问，也就是基于 SSL的Web访问；没办法 ，只好先对All IP的80和443的出口访问开放。