在我們使用SNMP服務(wù)的時(shí)候，對(duì)它的安全很注意。所以在操作中，保障SNMP服務(wù)的安全也就是我們這次學(xué)習(xí)的重點(diǎn)。如果某些設(shè)備確實(shí)有必要運(yùn)行SNMP，則必須保障這些設(shè)備的安全。

首先要做的是確定哪些設(shè)備正在運(yùn)行SNMP服務(wù)。除非定期對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行端口掃描，全面掌握各臺(tái)機(jī)器、設(shè)備上運(yùn)行的服務(wù)，否則的話，很有可能遺漏一、二個(gè)SNMP服務(wù)。

特別需要注意的是，網(wǎng)絡(luò)交換機(jī)、打印機(jī)之類的設(shè)備同樣也會(huì)運(yùn)行SNMP服務(wù)。確定SNMP服務(wù)的運(yùn)行情況后，再采取下面的措施保障服務(wù)安全。

■ 加載SNMP服務(wù)的補(bǔ)丁
安裝SNMP服務(wù)的補(bǔ)丁，將SNMP服務(wù)升級(jí)到2.0或更高的版本。聯(lián)系設(shè)備的制造商，了解有關(guān)安全漏洞和升級(jí)補(bǔ)丁的情況。

■ 保護(hù)SNMP通信字符串
一個(gè)很重要的保護(hù)措施是修改所有默認(rèn)的通信字符串。根據(jù)設(shè)備文檔的說明，逐一檢查、修改各個(gè)標(biāo)準(zhǔn)的、非標(biāo)準(zhǔn)的通信字符串，不要遺漏任何一項(xiàng)，必要時(shí)可以聯(lián)系制造商獲取詳細(xì)的說明。

■ 過濾SNMP
另一個(gè)可以采用的保護(hù)措施是在網(wǎng)絡(luò)邊界上過濾SNMP通信和請(qǐng)求，即在防火墻或邊界路由器上，阻塞SNMP請(qǐng)求使用的端口。標(biāo)準(zhǔn)的SNMP服務(wù)使用161和162端口，廠商私有的實(shí)現(xiàn)一般使用199、391、705和1993端口。

禁用這些端口通信后，外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的能力就受到了限制；另外，在內(nèi)部網(wǎng)絡(luò)的路由器上，應(yīng)該編寫一個(gè)ACL，只允許某個(gè)特定的可信任的SNMP管理系統(tǒng)操作SNMP。例如，下面的ACL只允許來自（或者走向）SNMP管理系統(tǒng)的SNMP通信，限制網(wǎng)絡(luò)上的所有其他SNMP通信：
 

access-list 100 permit ip host w.x.y any   
access-list 100 deny udp any any eq snmp   
access-list 100 deny udp any any eq snmptrap  
access-list 100 permit ip any any 

這個(gè)ACL的***行定義了可信任管理系統(tǒng)（w.x.y）。利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口：
 

interface serial 0   
ip access-group 100 in 

總之，SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進(jìn)步，現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具。

然而，SNMP的早期版本天生缺乏安全性，即使***的版本同樣也存在問題。就象網(wǎng)絡(luò)上運(yùn)行的其他服務(wù)一樣，SNMP服務(wù)的安全性也是不可忽視的。不要盲目地肯定網(wǎng)絡(luò)上沒有運(yùn)行SNMP服務(wù)，也許它就躲藏在某個(gè)設(shè)備上。

那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂的安全問題，所以***關(guān)閉SNMP服務(wù)之類并非必需的服務(wù)——至少盡量設(shè)法保障其安全。

【編輯推薦】

1. 講解SNMP協(xié)議網(wǎng)絡(luò)管理的功能
2. 走進(jìn)SNMP協(xié)議與SNMP報(bào)文的知識(shí)
3. 深度探析SNMP協(xié)議的背后秘密
4. 關(guān)于管理信息的基本方式SNMP命令
5. 關(guān)于SNMP協(xié)議與管理代理的講解