物理隔离内网wsus部署方法

WSUS（Windows Server Update Services 3.0）是微软公司面向其软件产品提供的软件升级更新解决方案，它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。[1][2]目前很多高校通过在内部网络中部署WSUS系统，较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。[2]

很多安全保密级别较高的内部网络不但与因特网物理隔离，而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据，只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。在这种内部网络环境中，WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级，而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新，[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统，并建立及时高效的WSUS服务器持续更新方案。

1 内部网络WSUS部署方案

1.1 WSUS服务的一般部署方案

如果能够访问因特网，则WSUS部署较为简单，WSUS服务器安装后即可自动连接微软公司网站下载更新程序，以后也基本不需进行维护，内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。[2][3]

1.2 内部网络中WSUS的安装部署

在隔离的内部网络中部署WSUS方法相同，但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。如果手工下载补丁对WSUS服务器进行更新，非常困难，未见有成功方案。很多单位在建立了隔离的内部网网络的同时，也有与因特网连接的网络，解决信息查询等问题。因此，我们采用在与因特网连接的外部网络（以下简称外网）和与因特网隔离的内部网络（以下简称内网）中各部署一套WSUS系统，外网WSUS服务器自动获取更新程序，供外网计算机进行更新，并定期导出更新数据，通过刻录光盘等方法，对内网WSUS服务器进行更新，实现内网计算机的持续更新。方法如图1所示。

2 内网WSUS服务器的首次更新

2.1 WSUS服务器中更新的数据构成

WSUS服务器中的更新数据包含两部分：

WSUS元数据，包含更新补丁的作用、容量、发布时间等属性，由外网WSUS 服务器通过因特网从微软WSUS更新源获取，存储在数据库中。元数据是WSUS 更新数据的关键内容，没有元数据描述则更新程序也无法使用。使用WSUS自带的wsusutil.exe可以讲元数据完全导出，导出内容包括一个数据文件和一个日志文件，两个文件共约（20－30）MB，其中包含了WSUS服务器中所有更新补丁文件的元数据。随着元数据的更新，导出文件体积可能会有增长，但增量通常非常小。

更新程序安装文件，是更新补丁安装的实体，由WSUS服务器自动下载，位于服务器中WSUS安装目录下的WsusContent文件夹下分类存放，其结构较为复杂，视更新产品和语言不同，容量可达80 GB以上，超过200个子文件夹。

2.2 内部网络中WSUS更新的基本方法

将因特网中部署的WSUS与微软WSUS更新源定期同步，同步后将外网中WSUS服务器的元数据使用wsusutil.exe导出，连同WsusContent文件夹下所有子文件夹及更新补丁文件全部刻录到光盘，然后再使用wsusutil.exe将光盘中的元数据导入到内网中的WSUS，最后复制WsusContent文件夹覆盖内网中WSUS 的同名文件夹。这样，就完成了一次内部网络WSUS更新补丁数据的更新。

3 内部网络中WSUS持续更新方案的实现与优化

3.1 改进内部网络中WSUS更新方案的原因

由于内部网络中对存储设备的严格限制，只能使用刻录光盘作为存储介质将WSUS元数据和更新补丁安装文件复制到内部网络。按照仅提供Windows系列操作系统关键更新和安全更新计算，WsusContent文件夹的大小约为16GB，数据量超过三张D5标准的DVD刻录光盘容量。而且随着新的更新补丁的不断发放，WsusContent文件夹的体积还将越来越大。因此，我们还需要对内部网络中WSUS更新的基本方法进行完善和改进，寻求一种高效、便捷的内部网络WSUS 持续更新方案。

3.2 实现内部网络中WSUS更新优化的具体方法

上述的基本方法是复制了全部的更新补丁文件，显然仅适合第一次做完全导入时使用。在后续的WSUS更新中，新增的更新补丁数量通常在一个到上百个不等，容量在几MB到几百MB之间。如果能只对新增的更新补丁文件进行复

制，可以大大减少复制的数据量。这样，每次只需要耗费少量的时间与刻录光盘即可将新增的更新导入到内部网络WSUS中，从而实现内部网络WSUS高效的持续更新。

我们假设接入因特网的WSUS已经进行了第n次更新补丁的同步，而在内部网络中的WSUS则还处于上一次的更新补丁同步后的状态，即第（n-1）次更新补丁同步后的状态。准备一个用于参照的更新补丁文件夹，在其中存放着因特网中WSUS进行第n次更新补丁同步之前整个WsusContent文件夹的备份，也就是说该文件夹里的所有子文件夹和更新补丁文件与内部网络中WSUS相应的文件夹的内容是完全一致的。现在需要将因特网中WSUS第n次同步获取的新增更新补丁单独提取并复制，再添加到内部网络中的WSUS。具体方法示意图如第一步：首先使用wsusutil.exe工具导出因特网中WSUS的元数据，然后比较其WsusContent文件夹和参照的更新补丁文件夹中的WsusContent文件夹，通过整个文件夹的对比提取出第n次同步新增的更新补丁文件（包含文件夹的目录结构）。

第二步：将导出的元数据和第n次同步新增的更新补丁文件复制到刻录光盘。

第三步：将刻录光盘上的元数据用wsusutil.exe工具导入到内部网络的WSUS，并复制刻录光盘上的新增更新补丁文件到内部网络中WSUS下的WsusContent文件夹。

第四步：将因特网中WSUS第n次同步新增的更新补丁文件复制到参照的更新补丁文件夹中，使该文件夹中的WsusContent文件夹和因特网中WSUS一致，为下一次即第（n+1）次更新补丁同步后的再次进行文件夹对比做准备。

3.3 持续更新的关键——新增更新补丁的自动提取

将新增更新补丁导入内部网络的步骤中，第一步中提取新增更新补丁文件是所有步骤中的关键和难点。如果新增的补丁一次更新上百个（WSUS包含的更新产品类型较多，这种情况时常出现），要人工将如此多的更新补丁文件从超过200个子文件夹中分别提取出来并保持其原有的文件夹目录结构，将会是非常大的工作量，而且人工提取还不能保证其准确性。因此，我们需要一种能够实现文件夹差异比较并且将新增文件自动提取的方法或工具，在这里以第三方软件Beyond Compare为例进行说明。