SNMP
服务扮演
代理角色,它收集可以
报告给SNMP
管理站或
控制台的信息,您可以使用SNMP服务在整个
公司网络范围内基于Windows Server 2003、微软WindowsXP和微软Windows 2000来收集数据和管理
计算机。
一般来说,
保护SNMP代理和SNMP管理站之间的通信的
方法是指定一个共享的社区的
名字,这些代理和管理站。当SNMP管理站发送一个
查询SNMP服务的请求者社区名称与代理的社区名称进行比较。如果匹配不匹配,这表明SNMP管理站已通过认证。如果
不匹配表明SNMP代理认为请求是失败的访问尝试,以及可能的SNMP陷阱
消息的发送。
SNMP消息是以明文的形式发送的,这些明文消息很容易被微软网络监视器截获和解码,这样的网络分析
程序被截获和解码,未经授权的人可以捕获社区名称获取网络资源的重要信息。
IP安全协议(IPSec)可以用来保护SNMP通信,您可以
创建一个IPSec
策略来保护TCP和UDP端口161和162之间的通信,以保护SNMP事务。
创建过滤器列表
要创建一个IPSec策略来保护SNMP消息,首先创建一个筛选器列表:
单击开始,指向管理
工具,然后单击
本地安全策略。
展开安全
设置,
右键单击本地计算机上的IP安全策略,然后单击管理IP筛选器列表和筛选器XX;
单击管理IP筛选器列表
选项卡,然后在筛选器筛选器列表对话框中单击添加,在名称框中键入SNMP消息(161 162),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击添加向导复选框,清除框,然后单击添加。
在源
地址框(在所
显示的IP筛选器
属性对话框的地址
选项卡上),单击任何IP地址。在
目标地址框中,单击我的IP地址。单击
镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议
类型框中,单击UDP。在设置IP协议端口框中单击从此端口,然后在框中键入161。单击到这个端口,然后在框中键入161。单击OK。
在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击TCP。在设置IP协议中,在框中单击从此端口,然后在框中键入161。单击到这个端口,然后在框中键入161。单击OK。
在IP筛选器列表对话框中,单击添加。
在源地址箱(在显示的IP筛选器属性对话框的地址标签),点击任何IP地址,目标地址框中,单击;我的IP地址。点击镜子。与相反的源和目标地址的数据包
检查框,选中它,点击协议选项卡,在选择协议类型;在框中,单击UDP,设置IP协议;在框中,点击从此端口然后162型箱中。单击这港口然后162型箱中。单击确定。在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击TCP。
Ldquo;从此端口开始,然后在框中键入162。单击到这个端口,然后在框中键入162。单击OK。
在IP筛选器列表对话框中,单击确定,然后单击管理IP筛选器列表和筛选器
操作;在对话框中
确认。
创建IPSec策略
要创建用于
执行SNMP通信的IPSec策略的IPSec策略,请执行以下
步骤:
右键单击左窗格中的本地计算机上的IP安全策略,然后单击以创建IP安全策略。
IP安全策略向导
启动。
单击下一步。
在IP安全策略名称中,页面上的名称框被键控以确保SNMP。在描述框中,为SNMP通信键入强制IPSec,然后单击下一步。单击
激活默认响应规则复选框,清除它,然后单击下一步。
在正在完成IP安全策略向导的页面上,确认
编辑属性复选框已经选中,然后单击完成。
在安全SNMP属性对话框中,单击添加向导复选框,清除它,然后单击添加。
单击IP筛选器列表选项卡,然后单击SNMP消息(161 162)。
单击过滤器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认身份验证方法是Kerberos。如果您需要另一个身份标识。
验证该方法,然后单击添加。在新建身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory缺省值(Kerberos V5协议)使用此字符串(预共享密钥)
在新建规则属性对话框中,单击
应用程序,然后单击确定。
在SNMP属性对话框中,确认已选中SNMP消息(161 162)复选框,然后单击OK。
在本地安全设置中,在控制台的右窗格中,右键单击安全SNMP规则,然后单击指定的。
这个过程是在
运行SNMP服务的所有基于Windows的计算机上完成的。