用补丁代理缓解升级压力

申请免费试用、咨询电话：400-8352-114

很多机构部署了补丁管理系统来简化和管理安全补丁的部署，但他们仍具有测试和检验补丁不会破坏关键应用的需要。面对迅速对新补丁做出响应的挑战，补丁代理技术提供了一种应对办法。补丁代理公司提供从功能上代替原始厂商的安全补丁的技术，即提供完成厂商补丁活动的代理服务器。使用者可以部署补丁代理来模拟未被安装的补丁程序的活动，而不用测试和在服务器上安装厂商的安全补丁。

补丁代理可以被部署在网络中或主机上。这项技术主要是软件，尽管它也可以以专用设备的形式提供。补丁代理依靠经常的更新来保持与操作系统和应用程序厂商发布的补丁版本的同步。这类更新被自动下载和部署，与防病毒软件的更新非常像。

当部署在网络中时，这项技术联机运行，监测客户机/服务器的互动，当传输流访问未经修补的服务器应用程序或操作系统时就加以干预，模拟本应安装在服务器上的补丁程序的功能。补丁代理执行与补丁程序同样的功能，修补原始程序中的错误，不过对补丁代理而言，它联机修改会话，然后再将会话传输流转发给服务器。联机补丁代理修补会话时，对客户机与服务器之间的会话进行必要的修改，因此，它必须保证所有的TCP/IP会话握手仍对服务器和客户机透明。

基于网络的补丁代理不需要在受保护的服务器上安装软件或对服务器进行修补。如果联机补丁代理出现问题，可以迅速、方便地退回到以前的状态。当基于主机时，补丁代理必须作为代理程序安装在服务器上，监测来自应用程序或操作系统的活动。当补丁代理确定某个请求是针对未修补的安全漏洞时，则在执行的代码中注入补丁。与安装安全补丁相比，安装代理程序给服务器造成破坏的可能性要小，尽管它直接接触服务器和应用程序。

不妨以Microsoft MS04-045补丁包为例。MS04-045补丁包修补了将IP地址映射到NetBIOS 计算机名的Windows 互联网域名服务（WINS）中的一个安全漏洞。基于网络的补丁代理发现发送给一台未经修补的服务器的WINS会话，将与补丁包等价的动作应用在会话传输流上，即在本例中设置请求中的一个键值。由于基于网络的补丁代理的联机运行，这台服务器不再受MS04-045安全漏洞的影响。

对于基于主机的方式来说，补丁代理截获请求监测主机上的WINS会话，并在请求处理前对键值进行相应的修改。由于这项技术在这两个例子中发挥清洁器的作用—允许所有的会话通过，而只实施本应由补丁程序来执行的同样的纠正活动，因此它具有安全补丁的所有价值。由于补丁代理的活动是以实际的厂商补丁为基础的，因此它可以立即实现补丁包的价值，防止在发布安全补丁包后出现的任何利用安全漏洞的活动。(ccw)