概要
本分步指南介紹了如何在 Windows Server 2003 中為“簡單網絡管理協議”(SNMP) 服務配置網絡安全性。
SNMP 服務起著代理的作用,它會收集可以向 SNMP 管理站或控制台報告的信息。您可以使用 SNMP 服務來收集數據,並且在整個公司網絡范圍內管理基於 Windows Server
2003、Microsoft Windows XP 和 Microsoft Windows 2000 的計算機。
通常,保護 SNMP 代理與 SNMP 管理站之間的通信的方法是:給這些代理和管理站指定一個共享的社區名稱。當 SNMP 管理站向 SNMP 服務發送查詢時,請求方的社區名稱就
會與代理的社區名稱進行比較。如果匹配,則表明 SNMP 管理站已通過身份驗證。如果不匹配,則表明 SNMP 代理認為該請求是“失敗訪問”嘗試,並且可能會發送一條
SNMP 陷阱消息。
SNMP 消息是以明文形式發送的。這些明文消息很容易被“Microsoft 網絡監視器”這樣的網絡分析程序截取並解碼。未經授權的人員可以捕獲社區名稱,以獲取有關網絡資源
的重要信息。
“IP 安全協議”(IPSec) 可用來保護 SNMP 通信。您可以創建保護 TCP 和 UDP 端口161 和 162 上的通信的 IPSec 策略,以保護 SNMP 事務。
創建篩選器列表
要創建保護 SNMP 消息的 IPSec 策略,先要創建篩選器列表。方法是:
單擊開始,指向管理工具,然後單擊本地安全策略。
展開安全設置,右鍵單擊“本地計算機上的 IP 安全策略”,然後單擊“管理 IP 篩選器列表和篩選器xx作”。
單擊“管理 IP 篩選器列表”選項卡,然後單擊添加。
在IP 篩選器列表 對話框中,鍵入 SNMP 消息 (161/162)(在名稱 框中),然後鍵入TCP 和 UDP 端口 161 篩選器(在說明 框中)。
單擊使用“添加向導” 復選框,將其清除,然後單擊添加。
在“源地址”框(位於顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型”框中,單擊UDP。在“設置 IP 協議端口”框中,單擊“從此端口”,然後在框中鍵入 161。單擊“到此端口”,然後在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對話框中,單擊添加。
在“源地址”框(位於顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型框中,單擊 TCP。在“設置 IP 協議”框中,單擊“從此端口”,然後在框中鍵入 161。單擊“到此端口”,然後在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對話框中,單擊添加。
在“源地址”框(位於顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型”框中,單擊UDP。在“設置 IP 協議”框中,單擊“從此端口”,然後在框中鍵入 162。單擊“到此端口”,然後在框中鍵入 162。
單擊確定.
在IP 篩選器列表 對話框中,單擊添加。
在“源地址”框(位於顯示的IP 篩選器屬性 對話框的地址 選項卡上)中,單擊“任意IP 地址”。在“目標地址”框中,單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標地址的數據包”復選框,將其選中。
單擊協議 選項卡。在“選擇協議類型框中,單擊 TCP。在“設置 IP 協議”框中,單擊“從此端口”,然後在框中鍵入 162。單擊“到此端口”,然後在框中鍵入 162。
單擊確定。
在 IP 篩選器列表 對話框中單擊確定 ,然後單擊“管理 IP 篩選器列表和篩選器xx作”對話框中的確定 。
創建 IPSec 策略
要創建 IPSec 策略來對 SNMP 通信強制實施 IPSec,請按以下步驟xx作:
右鍵單擊左窗格中“本地計算機上的 IP 安全策略”,然後單擊創建 IP 安全策略。