我們知道SNMP Protocol Service是存在著安全隱患的。那么我們?nèi)绾芜M行這部分內(nèi)容的改善呢？首先我們需要了解保障SNMP協(xié)議安全的步驟都有哪些。那么讓我們隨本文一起來分析一下吧。

保障SNMP的安全

如果某些設(shè)備確實有必要運行SNMP,則必須保障這些設(shè)備的安全｡首先要做的是確定哪些設(shè)備正在運行SNMP服務(wù)｡除非定期對整個網(wǎng)絡(luò)進行端口掃描,全面掌握各臺機器､設(shè)備上運行的服務(wù),否則的話,很有可能遺漏一､二個SNMP Protocol Service｡特別需要注意的是,網(wǎng)絡(luò)交換機､打印機之類的設(shè)備同樣也會運行SNMP服務(wù)｡確定SNMP服務(wù)的運行情況后,再采取下面的措施保障服務(wù)安全｡

◆加載SNMP服務(wù)的補丁

安裝SNMP Protocol Service的補丁,將SNMP服務(wù)升級到2.0或更高的版本｡聯(lián)系設(shè)備的制造商,了解有關(guān)安全漏洞和升級補丁的情況｡

◆保護SNMP通信字符串

一個很重要的保護措施是修改所有默認(rèn)的通信字符串｡根據(jù)設(shè)備文檔的說明,逐一檢查､修改各個標(biāo)準(zhǔn)的､非標(biāo)準(zhǔn)的通信字符串,不要遺漏任何一項,必要時可以聯(lián)系制造商獲取詳細(xì)的說明｡

◆過濾SNMP

另一個可以采用的保護措施是在網(wǎng)絡(luò)邊界上過濾SNMP通信和請求,即在防火墻或邊界路由器上,阻塞SNMP請求使用的端口｡標(biāo)準(zhǔn)的SNMP服務(wù)使用161和162端口,廠商私有的實現(xiàn)一般使用199､391､705和1993端口｡禁用這些端口通信后,外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的能力就受到了限制;另外,在內(nèi)部網(wǎng)絡(luò)的路由器上,應(yīng)該編寫一個ACL,只允許某個特定的可信任的SNMP管理系統(tǒng)操作SNMP｡例如,下面的ACL只允許來自(或者走向)SNMP管理系統(tǒng)的SNMP通信,限制網(wǎng)絡(luò)上的所有其他SNMP通信:

access-list 100 permit ip host w.x.y any  access-list 100 deny udp any any eq snmp  access-list 100 deny udp any any eq snmptrap  access-list 100 permit ip any any 這個ACL的***行定義了可信任管理系統(tǒng)(w.x.y)｡利用下面的命令可以將上述ACL應(yīng)用到所有網(wǎng)絡(luò)接口:

interface serial 0  ip access-group 100 in 總之,SNMP的發(fā)明代表著網(wǎng)絡(luò)管理的一大進步,現(xiàn)在它仍是高效管理大型網(wǎng)絡(luò)的有力工具｡然而,SNMP的早期版本天生缺乏安全性,即使***的版本同樣也存在問題｡就象網(wǎng)絡(luò)上運行的其他服務(wù)一樣,SNMP Protocol Service的安全性也是不可忽視的｡不要盲目地肯定網(wǎng)絡(luò)上沒有運行SNMP服務(wù),也許它就躲藏在某個設(shè)備上｡那些必不可少的網(wǎng)絡(luò)服務(wù)已經(jīng)有太多讓人擔(dān)憂的安全問題,所以***關(guān)閉SNMP之類并非必需的服務(wù)——至少盡量設(shè)法保障其安全｡