概要
) b- M- x K2 Z2 M7 _& K+ U) J
k% ~" y; |1 ~# B: `* @) i 如何在
WindowsServer2003中为“简单
网络管理协议”(SNMP)服务配置网络
安全性。
+ N4 u( S$ P% B
+ ]* V: u& x# u- O, V, K
SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的
信息。您可以使用SNMP服务来收集
数据,并且在整个公司网络范围内管理基于WindowsServer2003、
MicrosoftWindows
XP和MicrosoftWindows2000的
计算机。
5 z. P0 X' K7 J+ x* q8 i
- k2 P: C' G9 p 通常,保护SNMP代理与SNMP管理站之间的
通信的方法是:给这些代理和管理站指定一个
共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问”尝试,并且可能会发送一条SNMP陷阱消息。
" J, H/ r t$ o, f
1 j6 f5 {/ H0 _
SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析
程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。
7 h- k) s3 W* N# Y/ B; R
' X4 M$ d c/ X! K' \5 z# u “IP安全协议”(IPSec)可用来保护SNMP通信。您可以创建保护
TCP和UDP
端口161和162上的通信的IPSec策略,以保护SNMP事务。
$ V! t( J1 y: w6 j0 Z
$ r% X! e8 q u5 g$ [3 Y
8 ^1 e, l* h4 v. \: r3 o, K/ c创建筛选器列表
2 `% n6 T& ?- `9 x2 K1 U 要创建保护SNMP消息的IPSec策略,先要创建筛选器列表。方法是:
. P$ U$ t9 N( S+ O2 Z; p' @
/ G" x: j, u- Y* m# y4 ?' B 单击开始,指向管理工具,然后单击本地安全策略。
" n) d3 l" V7 q5 X
+ a& K: ~. I* V* w0 E
展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。
. V9 N' H4 O9 j: t0 v6 K
e6 d4 I- p/ J( D& n/ x9 Y 单击“管理IP筛选器列表”选项卡,然后单击添加。
0 D- S. o+ C4 N+ `9 i
+ ?9 L/ y0 T6 N$ l 在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。
6 ^! V- E: n& V; O) U1 C4 z: l
( f5 ], _* k" s$ M' V& x 单击使用“添加向导”复选框,将其清除,然后单击添加。
2 I/ L6 u6 k- s, F7 _
Z5 p' J* ^& c3 \' G
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
- l& p5 r% Y0 U, o
: X* r, h2 W/ d3 T3 Z% \
单击协议选项卡。在“选择协议
类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
/ R4 ~5 K- u2 o4 V+ v' ?
`" [9 |7 c$ ]) O 单击确定。
% {, ~- D2 V) I' U0 }- L
- _: k% m2 d5 ~5 L. ]5 K" N 在IP筛选器列表对话框中,选择添加。
: _) J* D. M1 y" H* ^
) {) F- Q, Y! G 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。
: b2 `! r# c8 j$ i/ ]0 s: q6 Y. T. X" p+ p( R& q
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
3 E5 ^) k+ E) I
, m' g7 Y. `3 y- O* |0 U1 L: ]
单击确定。
8 A. l, ]4 L. f( q
! P2 ~0 |2 ]3 W, ~" q' J 在IP筛选器列表对话框中,单击添加。
3 e# y% s5 _$ @6 i5 \
& ~1 p: m, H; X4 c5 _- D- V- o 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
+ ^& e5 x; O1 n: O1 @" B" l
' E- ~% E" M) P8 B 单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
. N8 |8 p% H& \% Y" {& s- y/ k8 X/ X l- @# k9 P
单击确定,在IP筛选器列表对话框中,单击添加。
! Y Z$ }0 I8 M" z8 H/ C
) I/ o4 P& j0 b O" A
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
- \& M0 u* w- W7 s E/ j, l
- @. O( Q9 q$ i$ }2 G$ T
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
' G" B/ h% F1 o2 a
+ J" E' N3 B/ i/ a% O( Z
单击确定。
7 _) Q9 k) g; r3 K' \
9 s! f) G/ a- W$ A: F3 p% s* \2 y, V0 |
在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。
0 ~) h5 A. y, Y% p+ a+ f5 k
创建IPSec策略
' ~: W7 T( q$ f* r( s4 Q( H
: V2 e8 b/ H3 q 要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:
% g7 p9 d' o3 s) Z* `, g6 _# y( S# _+ k# b3 A1 H0 w
右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。
, J, ] Z+ h( r! }5 l+ t, ?" ]2 d9 ^
“IP安全策略向导”启动。
/ ~, _& x% [4 A5 |; B
% ~' R) s. i. U7 R8 {% W; Q: X 单击下一步。
1 `$ b4 X1 F' c* N
. @; }! s1 F1 U( f
在“IP安全策略名称”页上的名称框中键入SecureSNMP。在说明框中,键入ForceIPSecforSNMPCommunications,然后单击下一步。
5 b |5 T8 n6 v1 |7 Z
( g' C! v3 q6 j$ b& y% B+ h 单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
% Z8 W3 S) V- u
8 b( [5 C& \" `; E 在“正在完成IP安全策略向导”页上,确认“
编辑属性”复选框已被选中,然后单击完成。
, J: h9 h% T/ f! h/ g
& t$ ^/ i; G0 `3 T5 [/ r 在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。
& [: _, Q G* c. r. x
4 S9 i1 I( ]3 t- K) g/ n, K3 R% h 单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。
/ P7 z6 \$ Q4 }( ~ { p& ~3 N+ o q1 s/ |" ~" i2 h2 [2 L) b
单击筛选器操作选项卡,然后单击需要安全。
* P/ b+ `/ E4 L* e( E$ ^- E
0 a" @. N9 P. C4 V* ]4 V2 Z$ I 单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
/ E1 X, n; h" s7 e* o& P) h* x3 ]3 W' S9 K) Z% s; k
ActiveDirectory默认值(KerberosV5协议)
/ L3 H5 {& S/ T; b' M9 v
, \' p; L5 r; }* _% t2 h 使用此字符串(预共享密钥)
6 H% `! y$ n5 J" @
4 K# L e& d5 g' J
在新规则属性对话框中,单击应用,然后单击确定。
- P. ]% n9 n m$ ]$ r3 b' n
. H P+ [. J) N- b 在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。
2 m( j6 Y4 @/ j0 a7 i- i( b' ?
. k) D& S: A! t* A, o
在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。
" G6 y; R/ D2 D/ F/ _+ E
3 T4 L$ d1 H' H. ~ 在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。
