| 内容提要: 如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性。 SNMP服务起着代理的作用, 它会收集可以向SNMP管理站或控制台报告的信息。 您可以使用SNMP服务来收集数据, 并且在整个公司网络范围内管理基于Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。 通常, 保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。 当SNMP管理站向SNMP服务发送查询时, 请求方的社区名称就会与代理的社区名称进行比较。 如果匹配, 则表明SNMP管理站已通过身份验证。 如果不匹配, 则表明SNMP代理认为该请求是“失败访问”尝试, 并且可能会发送一条SNMP陷阱消息。 SNMP消息是以明文形式发送的。 这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。 未经授权的人员可以捕获社区名称, 以获取有关网络资源的重要信息。 “IP安全协议”(IP Sec)可用来保护SNMP通信。 您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略, 以保护SNMP事务。 创建筛选器列表 要创建保护SNMP消息的IP Sec策略, 先要创建筛选器列表。 方法是: 单击开始, 指向管理工具, 然后单击本地安全策略。 展开安全设置, 右键单击“本地计算机上的IP安全策略”, 然后单击“管理IP筛选器列表和筛选器操作”。 单击“管理IP筛选器列表”选项卡, 然后单击添加。 在IP筛选器列表对话框中, 键入SNMP消息(161/162)(在名称框中), 然后键入TCP和UDP端口161筛选器(在说明框中)。 单击使用“添加向导”复选框, 将其清除, 然后单击添加。 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中, 单击“任意IP地址”。 在“目标地址”框中, 单击我的IP地址。 单击“镜像。 匹配具有正好相反的源和目标地址的数据包”复选框, 将其选中。 单击协议选项卡。 在“选择协议类型”框中, 选择UDP。 在“设置IP协议端口”框中, 选择“从此端口”, 然后在框中键入161。 单击“到此端口”, 然后在框中键入161。 单击确定。 在IP筛选器列表对话框中, 选择添加。 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中, 单击“任意IP地址”。 在“目标地址”框中, 单击我的IP地址。 选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。 单击协议选项卡。 在“选择协议类型框中, 单击TCP。 在“设置IP协议”框中, 单击“从此端口”, 然后在框中键入161。 单击“到此端口”, 然后在框中键入161。 单击确定。 在IP筛选器列表对话框中, 单击添加。 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中, 单击“任意IP地址”。 在“目标地址”框中, 单击我的IP地址。 单击“镜像, 匹配具有正好相反的源和目标地址的数据包”复选框, 将其选中。 单击协议选项卡。 在“选择协议类型”框中, 单击UDP。 在“设置IP协议”框中, 单击“从此端口”, 然后在框中键入162。 单击“到此端口”, 然后在框中键入162。 单击确定, 在IP筛选器列表对话框中, 单击添加。 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中, 单击“任意IP地址”。 在“目标地址”框中, 单击我的IP地址。 单击“镜像。 匹配具有正好相反的源和目标地址的数据包”复选框, 将其选中。 单击协议选项卡。 在“选择协议类型框中, 单击TCP。 在“设置IP协议”框中, 单击“从此端口”, 然后在框中键入162。 单击“到此端口”, 然后在框中键入162。 单击确定。 在IP筛选器列表对话框中单击确定, 然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。 创建IPSec策略 要创建IPSec策略来对SNMP通信强制实施IPSec, 请按以下步骤操作: 右键单击左窗格中“本地计算机上的IP安全策略”, 然后单击创建IP安全策略。 “IP安全策略向导”启动。 单击下一步。 在“IP安全策略名称”页上的名称框中键入Secure SNMP。 在说明框中, 键入Force IPSec for SNMP Communications, 然后单击下一步。 单击“激活默认响应规则”复选框, 将其清除, 然后单击下一步。 在“正在完成IP安全策略向导”页上, 确认“编辑属性”复选框已被选中, 然后单击完成。 在安全“NMP属性”对话框中, 单击使用“添加向导”复选框, 将其清除, 然后单击添加。 单击IP“筛选器列表”选项卡, 然后单击SNMP消息(161/162)。 单击筛选器操作选项卡, 然后单击需要安全。 单击身份验证方法选项卡。 默认的身份验证方法为Kerberos。 如果您需要另一种身份验证方法, 则请单击添加。 在新身份验证方法属性对话框中, 从下面的列表中选择要使用的身份验证方法, 然后单击确定: ActiveDirectory默认值(KerberosV5协议) 使用此字符串(预共享密钥) 在新规则属性对话框中, 单击应用, 然后单击确定。 在SNMP“属性”对话框中, 确认SNMP“消息(161/162)”复选框已被选中, 然后单击确定。 在“本地安全设置”控制台的右窗格中, 右键单击安全SNMP规则, 然后单击指定。 在所有运行SNMP服务的基于Windows的计算机上完成此过程。 SNMP管理站上也必须配置此IPSec策略。
|
