文章

在 Windows Server 2003 中为 SNMP 服务配置网络安全性

概要
本分步指南介绍了如何在 Windows Server 2003 中为“简单网络管理协议”(SNMP) 服
务配置网络安全性。

SNMP 服务起着代理的作用,它会收集可以向 SNMP 管理站或控制台报告的信息。您可以
使用 SNMP 服务来收集数据,并且在整个公司网络范围内管理基于 Windows Server
2003、Microsoft Windows XP 和 Microsoft Windows 2000 的计算机。

通常,保护 SNMP 代理与 SNMP 管理站之间的通信的方法是:给这些代理和管理站指定
一个共享的社区名称。当 SNMP 管理站向 SNMP 服务发送查询时,请求方的社区名称就
会与代理的社区名称进行比较。如果匹配,则表明 SNMP 管理站已通过身份验证。如果
不匹配,则表明 SNMP 代理认为该请求是“失败访问”尝试,并且可能会发送一条
SNMP 陷阱消息。

SNMP 消息是以明文形式发送的。这些明文消息很容易被“Microsoft 网络监视器”这样
的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源
的重要信息。

“IP 安全协议”(IPSec) 可用来保护 SNMP 通信。您可以创建保护 TCP 和 UDP 端口
161 和 162 上的通信的 IPSec 策略,以保护 SNMP 事务。


创建筛选器列表
要创建保护 SNMP 消息的 IPSec 策略,先要创建筛选器列表。方法是:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“本地计算机上的 IP 安全策略”,然后单击“管理 IP 筛选
器列表和筛选器xx作”。
单击“管理 IP 筛选器列表”选项卡,然后单击添加。
在IP 筛选器列表 对话框中,键入 SNMP 消息 (161/162)(在名称 框中),然后键入
TCP 和 UDP 端口 161 筛选器(在说明 框中)。
单击使用“添加向导” 复选框,将其清除,然后单击添加。
在“源地址”框(位于显示的IP 筛选器属性 对话框的地址 选项卡上)中,单击“任意
IP 地址”。在“目标地址”框中,单击我的 IP 地址。单击“ 镜像。匹配具有正好相
反的源和目标地址的数据包”复选框,将其选中。
单击协议 选项卡。在“选择协议类型”框中,单击UDP。在“设置 IP 协议端口”框中
,单击“从此端口”,然后在框中键入 161。单击“到此端口”,然后在框中键入 161

单击确定。
在IP 筛选器列表 对话框中,单击添加。
在“源地址”框(位于显示的IP 筛选器属性 对话框的地址 选项卡上)中,单击“任意
IP 地址”。在“目标地址”框中,单击我的 IP 地址。单击“ 镜像。匹配具有正好相
反的源和目标地址的数据包”复选框,将其选中。
单击协议 选项卡。在“选择协议类型框中,单击 TCP。在“设置 IP 协议”框中,单击
“从此端口”,然后在框中键入 161。单击“到此端口”,然后在框中键入 161。
单击确定。
在IP 筛选器列表 对话框中,单击添加。
在“源地址”框(位于显示的IP 筛选器属性 对话框的地址 选项卡上)中,单击“任意
IP 地址”。在“目标地址”框中,单击我的 IP 地址。单击“ 镜像。匹配具有正好相
反的源和目标地址的数据包”复选框,将其选中。
单击协议 选项卡。在“选择协议类型”框中,单击UDP。在“设置 IP 协议”框中,单
击“从此端口”,然后在框中键入 162。单击“到此端口”,然后在框中键入 162。
单击确定.
在IP 筛选器列表 对话框中,单击添加。
在“源地址”框(位于显示的IP 筛选器属性 对话框的地址 选项卡上)中,单击“任意
IP 地址”。在“目标地址”框中,单击我的 IP 地址。单击“ 镜像。匹配具有正好相
反的源和目标地址的数据包”复选框,将其选中。
单击协议 选项卡。在“选择协议类型框中,单击 TCP。在“设置 IP 协议”框中,单击
“从此端口”,然后在框中键入 162。单击“到此端口”,然后在框中键入 162。
单击确定。
在 IP 筛选器列表 对话框中单击确定 ,然后单击“管理 IP 筛选器列表和筛选器xx作
”对话框中的确定 。


创建 IPSec 策略
要创建 IPSec 策略来对 SNMP 通信强制实施 IPSec,请按以下步骤xx作:
右键单击左窗格中“本地计算机上的 IP 安全策略”,然后单击创建 IP 安全策略。

“IP 安全策略向导”启动。
单击下一步。
在“IP 安全策略名称”页上的名称 框中键入 Secure SNMP。在说明 框中,键入
Force IPSec for SNMP Communications,然后单击下一步。
单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
在“正在完成 IP 安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击
完成。
在安全 SNMP 属性 对话框中,单击使用“添加向导” 复选框,将其清除,然后单击添
加。
单击IP 筛选器列表 选项卡,然后单击SNMP 消息 (161/162)。
单击筛选器xx作 选项卡,然后单击需要安全。
单击身份验证方法 选项卡。默认的身份验证方法为 Kerberos。如果您需要另一种身份
验证方法,则请单击添加。在新身份验证方法属性 对话框中,从下面的列表中选择要使
用的身份验证方法,然后单击确定:
Active Directory 默认值(Kerberos V5 协议)
使用此字符串(预共享密钥)
在新规则属性 对话框中,单击应用,然后单击确定。
在SNMP 属性 对话框中,确认SNMP 消息 (161/162) 复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全 SNMP 规则,然后单击指定。
在所有运行 SNMP 服务的基于 Windows 的计算机上完成此过程。SNMP 管理站上也必须
配置此 IPSec 策略。