概述
这个分步指南描述了如何在Windows Server 2003中
配置网络安全,用于简单网络
管理协议(SNMP)
服务。
SNMP服务扮演
代理角色,它收集可以
报告给SNMP管理站或
控制台的信息,您可以使用SNMP服务在整个
公司网络中收集数据和管理Windows
服务器。
2003,微软Windows XP和微软Windows 2000的
计算机。
一般来说,
保护SNMP代理和SNMP管理站之间的通信的
方法是为这些代理和管理站指定共享的社区名称。
将该社区的名称与代理进行比较。如果匹配匹配,则表示SNMP管理站已通过身份验证。如果它不匹配,则表示SNMP代理认为该请求是失败访问、尝试和可能发送。
陷阱
消息。
SNMP消息是以明文的形式发送的,这些明文消息很容易被微软网络监视器截获和解码,这样的网络分析
程序被截取和解码,未经授权的人可以捕获社区名称以获得网络资源。
重要的信息。
IP安全协议(IPSec)可以用来保护SNMP通信,您可以
创建一个IPSec
策略来保护TCP和UDP端口161和162之间的通信,以保护SNMP事务。
创建过滤器列表
要创建一个IPSec策略来保护SNMP消息,首先创建一个筛选器列表:
单击开始,指向管理
工具,然后单击
本地安全策略。
展开安全
设置,
右键单击本地计算机上的IP安全策略,然后单击管理IP筛选器列表和筛选器XX;
单击管理IP筛选器列表
选项卡,然后单击添加。
在IP筛选器列表对话框中,在名称框中键入SNMP消息(161 162),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击添加向导复选框,清除框,然后单击添加。
在源
地址框(在所
显示的IP筛选器
属性对话框的地址
选项卡上),单击任何IP地址。在
目标地址框中,单击我的IP地址。单击
镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议
类型框中,单击UDP。在设置IP协议端口框中单击从此端口,然后在框中键入161。单击到这个端口,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击TCP。在设置IP协议中,在框中单击从此端口,然后在框中键入161。单击到这个端口,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击UDP。在设置IP协议中,在框中单击从此端口,然后在框中键入162。单击到这个端口,然后在框中键入162。
单击确定。
在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击TCP。在设置IP协议中,在框中单击从此端口,然后在框中键入162。单击到这个端口,然后在框中键入162。
单击确定。
在IP筛选器列表对话框中,单击确定,然后单击管理IP筛选器列表和筛选器XX;对话框将被确定。
创建IPSec策略
要创建用于
执行SNMP通信的IPSec策略的IPSec策略,请执行以下
步骤:
右键单击左窗格中的本地计算机上的IP安全策略,然后单击以创建IP安全策略。
IP安全策略向导
启动。
单击下一步。
在IP安全策略名称中,页面上的名称框被键控以确保SNMP。在描述框中,为SNMP通信键入强制IPSec,然后单击下一步。
单击
激活默认响应规则复选框,清除它,然后单击下一步。
在正在完成IP安全策略向导的页面上,
确认编辑属性复选框已经选中,然后单击完成。
在安全SNMP属性对话框中,单击添加向导复选框,清除它,然后单击添加。
单击IP筛选器列表选项卡,然后单击SNMP消息(161 162)。
单击筛选器XX作为选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法是Kerberos。如果您需要另一个身份验证方法,请单击新建身份验证方法属性对话框中的选择,从以下列表中选择
使用身份验证方法,然后单击确定:
活动
目录缺省值(Kerberos V5协议)
使用此字符串(预共享密钥)
在新建规则属性对话框中,单击
应用程序,然后单击确定。
在SNMP属性对话框中,确认已选中SNMP消息(161 162)复选框,然后单击OK。
在本地安全设置中,在控制台的右窗格中,右键单击安全SNMP规则,然后单击指定的。
这个过程是在
运行SNMP服务的所有基于Windows的计算机上完成的。