SNMP服務在很多系統(tǒng)中都有所應用。就目前而言，我們常用的還是WIN系統(tǒng)，UNIX/Linux系統(tǒng)。那么接下來我們就對在Win 2003中為SNMP服務配置網(wǎng)絡安全性方面的內(nèi)容做一下介紹。

SNMP 服務起著代理的作用，它會收集可以向 SNMP 管理站或控制臺報告的信息。您可以使用 SNMP 服務來收集數(shù)據(jù)，并且在整個公司網(wǎng)絡范圍內(nèi)管理基于 Windows Server 2003、Microsoft Windows XP 和 Microsoft Windows 2000 的計算機。

通常，保護 SNMP 代理與 SNMP 管理站之間的通信的方法是：給這些代理和管理站指定一個共享的社區(qū)名稱。當 SNMP 管理站向 SNMP 服務發(fā)送查詢時，請求方的社區(qū)名稱就會與代理的社區(qū)名稱進行比較。如果匹配，則表明 SNMP 管理站已通過身份驗證。如果不匹配，則表明 SNMP 代理認為該請求是“失敗訪問”嘗試，并且可能會發(fā)送一條SNMP 陷阱消息。

SNMP 消息是以明文形式發(fā)送的。這些明文消息很容易被“Microsoft 網(wǎng)絡監(jiān)視器”這樣的網(wǎng)絡分析程序截取并解碼。未經(jīng)授權的人員可以捕獲社區(qū)名稱，以獲取有關網(wǎng)絡資源的重要信息。

“IP 安全協(xié)議”(IPSec) 可用來保護 SNMP 通信。您可以創(chuàng)建保護 TCP 和 UDP 端口161 和 162 上的通信的 IPSec 策略，以保護 SNMP 事務。

SNMP服務配置1。創(chuàng)建篩選器列表

要創(chuàng)建保護SNMP 消息的 IPSec 策略，先要創(chuàng)建篩選器列表。方法是：

單擊開始，指向管理工具，然后單擊本地安全策略。展開安全設置，右鍵單擊“本地計算機上的 IP 安全策略”，然后單擊“管理 IP 篩選器列表和篩選器xx作”。

單擊“管理 IP 篩選器列表”選項卡，然后單擊添加。

在IP 篩選器列表 對話框中，鍵入 SNMP 消息 (161/162)（在名稱 框中），然后鍵入TCP 和 UDP 端口 161 篩選器（在說明 框中）。

單擊使用“添加向?qū)?rdquo; 復選框，將其清除，然后單擊添加。

在“源地址”框（位于顯示的IP 篩選器屬性 對話框的地址 選項卡上）中，單擊“任意IP 地址”。在“目標地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數(shù)據(jù)包”復選框，將其選中。

單擊協(xié)議 選項卡。在“選擇協(xié)議類型”框中，單擊UDP。在“設置 IP 協(xié)議端口”框中，單擊“從此端口”，然后在框中鍵入 161。單擊“到此端口”，然后在框中鍵入 161。

單擊確定。

在IP 篩選器列表 對話框中，單擊添加。

在“源地址”框（位于顯示的IP 篩選器屬性 對話框的地址 選項卡上）中，單擊“任意IP 地址”。在“目標地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數(shù)據(jù)包”復選框，將其選中。

單擊協(xié)議 選項卡。在“選擇協(xié)議類型框中，單擊 TCP。在“設置 IP 協(xié)議”框中，單擊“從此端口”，然后在框中鍵入 161。單擊“到此端口”，然后在框中鍵入 161。

單擊確定。

在IP 篩選器列表 對話框中，單擊添加。

在“源地址”框（位于顯示的IP 篩選器屬性 對話框的地址 選項卡上）中，單擊“任意IP 地址”。在“目標地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數(shù)據(jù)包”復選框，將其選中。

單擊協(xié)議 選項卡。在“選擇協(xié)議類型”框中，單擊UDP。在“設置 IP 協(xié)議”框中，單擊“從此端口”，然后在框中鍵入 162。單擊“到此端口”，然后在框中鍵入 162。

單擊確定.

在IP 篩選器列表 對話框中，單擊添加。

在“源地址”框（位于顯示的IP 篩選器屬性 對話框的地址 選項卡上）中，單擊“任意IP 地址”。在“目標地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數(shù)據(jù)包”復選框，將其選中。

單擊協(xié)議 選項卡。在“選擇協(xié)議類型框中，單擊 TCP。在“設置 IP 協(xié)議”框中，單擊“從此端口”，然后在框中鍵入 162。單擊“到此端口”，然后在框中鍵入 162。

單擊確定。

在 IP 篩選器列表 對話框中單擊確定 ，然后單擊“管理 IP 篩選器列表和篩選器操作”對話框中的確定 。

SNMP服務配置2。創(chuàng)建IPSec策略

要創(chuàng)建 IPSec 策略來對SNMP通信強制實施 IPSec，請按以下步驟操作：

右鍵單擊左窗格中“本地計算機上的 IP 安全策略”，然后單擊創(chuàng)建 IP 安全策略。

IP 安全策略向?qū)?rdquo;啟動。

單擊下一步。

在“IP 安全策略名稱”頁上的名稱 框中鍵入 Secure SNMP。在說明 框中，鍵入

Force IPSec for SNMP Communications，然后單擊下一步。

單擊“激活默認響應規(guī)則”復選框，將其清除，然后單擊下一步。

在“正在完成 IP 安全策略向?qū)?rdquo;頁上，確認“編輯屬性”復選框已被選中，然后單擊完成。

在安全 SNMP 屬性 對話框中，單擊使用“添加向?qū)?rdquo; 復選框，將其清除，然后單擊添加。

單擊IP 篩選器列表 選項卡，然后單擊SNMP 消息 (161/162)。

單擊篩選器xx作 選項卡，然后單擊需要安全。

單擊身份驗證方法 選項卡。默認的身份驗證方法為 Kerberos。如果您需要另一種身份驗證方法，則請單擊添加。在新身份驗證方法屬性 對話框中，從下面的列表中選擇要使用的身份驗證方法，然后單擊確定：

Active Directory 默認值（Kerberos V5 協(xié)議）使用此字符串（預共享密鑰）

在新規(guī)則屬性 對話框中，單擊應用，然后單擊確定。

在SNMP 屬性 對話框中，確認SNMP 消息 (161/162) 復選框已被選中，然后單擊確定。

在“本地安全設置”控制臺的右窗格中，右鍵單擊安全 SNMP 規(guī)則，然后單擊指定。

在所有運行 SNMP 服務的基于 Windows 的計算機上完成此過程。SNMP 管理站上也必須配置此 IPSec 策略。