安全一直是網絡中的重點課題。所以我們在這里就來強調一下SNMP服務的安全。那么如何進行SNMP服務的安全防護呢？本文就提供幾點需要注意的細節(jié)，給大家提供一下參考。

在我們使用SNMP服務的時候，對它的安全很注意。所以在操作中，保障SNMP服務的安全也就是我們這次學習的重點。如果某些設備確實有必要運行SNMP，則必須保障這些設備的安全。

首先要做的是確定哪些設備正在運行SNMP服務。除非定期對整個網絡進行端口掃描，全面掌握各臺機器、設備上運行的服務，否則的話，很有可能遺漏一、二個SNMP服務。

特別需要注意的是，網絡交換機、打印機之類的設備同樣也會運行SNMP服務。確定SNMP服務的運行情況后，再采取下面的措施保障服務安全。

◆加載SNMP服務的補丁

安裝SNMP服務的補丁，將SNMP服務升級到2.0或更高的版本。聯系設備的制造商，了解有關安全漏洞和升級補丁的情況。

◆保護SNMP通信字符串

一個很重要的保護措施是修改所有默認的通信字符串。根據設備文檔的說明，逐一檢查、修改各個標準的、非標準的通信字符串，不要遺漏任何一項，必要時可以聯系制造商獲取詳細的說明。

◆過濾SNMP

另一個可以采用的保護措施是在網絡邊界上過濾SNMP通信和請求，即在防火墻或邊界路由器上，阻塞SNMP請求使用的端口。標準的SNMP服務使用161和162端口，廠商私有的實現一般使用199、391、705和1993端口。

禁用這些端口通信后，外部網絡訪問內部網絡的能力就受到了限制；另外，在內部網絡的路由器上，應該編寫一個ACL，只允許某個特定的可信任的SNMP管理系統操作SNMP。

例如，下面的ACL只允許來自（或者走向）SNMP管理系統的SNMP通信，限制網絡上的所有其他SNMP通信：

access-list 100 permit ip host w.x.y any   access-list 100 deny udp any any eq snmp   access-list 100 deny udp any any eq snmptrap  access-list 100 permit ip any any 這個ACL的***行定義了可信任管理系統（w.x.y）。

利用下面的命令可以將上述ACL應用到所有網絡接口：

interface serial 0   ip access-group 100 in 總之，SNMP的發(fā)明代表著網絡管理的一大進步，現在它仍是高效管理大型網絡的有力工具。

然而，SNMP的早期版本天生缺乏安全性，即使***的版本同樣也存在問題。就象網絡上運行的其他服務一樣，SNMP服務的安全性也是不可忽視的。不要盲目地肯定網絡上沒有運行SNMP服務，也許它就躲藏在某個設備上。

那些必不可少的網絡服務已經有太多讓人擔憂的安全問題，所以***關閉SNMP服務之類并非必需的服務——至少盡量設法保障其安全。