你的 WSUS Server 會開 Port 讓人從外網連線進來嗎?
如果不會的話, 為什麼要放在 DMZ?
也許報告建議在DMZ放一個WSUS,Server Farm另一個WSUS?
不....是把WSUS放在DMZ跟微軟做更新,再派送進來。
...沒放在DMZ下WSUS能收到更新嗎?
能的話沒道理要放DMZ下。
不放DMZ只要防火牆有通,就可以更新。
我準備要去找顧問了
我只聽說過DMZ和server farm各放一個WSUS,因為是兩個不同人負責
DMZ是給別人連進來用的,update應該是你自己連過去人家那裡抓檔案,把WSUS放到DMZ去真的有點.....奇妙
期待你的顧問能提出不一樣的見解:D
![https://ithelp.ithome.com.tw/upload/images/20180112/2010818229smvxbtYi.png]
小弟剛到職不久,面對這個已經成案的報告,只能搖頭
樓主不要搖頭,貴公司資安顧問說的是對的
發現貴公司沒有內網資安區隔的觀念
對於網路流量的方向也沒有適當安排
WSUS Servre有兩個網路流量的方向
一個是對外(WAN)去取得更新資料
一個是對內(Internal)發放資料給Client
因此WSUS應該放在DMZ,且進出流量須經過NGFW或IPS的檢核
以免哪一天由PC上網所感染到的入侵,會傳給WSUS,再發給其他主機
因為小弟先去回應過樓主其他提問
看來小弟的建議已經遲了
但願亡羊補牢猶未晚矣
iThome鐵人賽
看影片追技術