- 論壇徽章:
- 1
|
如何在Windows Server 2003中為“簡單網絡管理協(xié)議”(SNMP)服務配置網絡安全性�����。SNMP服務起著代理的作用�����,它會收集可以向SNMP管理站或控制臺報告的信息��。您可以使用SNMP服務來收集數據�����,并且在整個公司網絡范圍內管理基于Windows Server 2003��、Microsoft Windows XP和Microsoft Windows 2000的計算機�。
通常,保護SNMP代理與SNMP管理站之間的通信的方法是:給這些代理和管理站指定一個共享的社區(qū)名稱�����。當SNMP管理站向SNMP服務發(fā)送查詢時����,請求方的社區(qū)名稱就會與代理的社區(qū)名稱進行比較。如果匹配��,則表明SNMP管理站已通過身份驗證�����。如果不匹配��,則表明SNMP代理認為該請求是“失敗訪問”嘗試,并且可能會發(fā)送一條SNMP陷阱消息�。
SNMP消息是以明文形式發(fā)送的。這些明文消息很容易被“Microsoft網絡監(jiān)視器”這樣的網絡分析程序截取并解碼�����。未經授權的人員可以捕獲社區(qū)名稱���,以獲取有關網絡資源的重要信息���。
“IP安全協(xié)議”(IP Sec)可用來保護SNMP通信。您可以創(chuàng)建保護TCP和UDP端口161和162上的通信的IP Sec策略�����,以保護SNMP事務��。
創(chuàng)建篩選器列表
要創(chuàng)建保護SNMP消息的IP Sec策略����,先要創(chuàng)建篩選器列表。方法是:
單擊開始�,指向管理工具,然后單擊本地安全策略���。
展開安全設置��,右鍵單擊“本地計算機上的IP安全策略”�,然后單擊“管理IP篩選器列表和篩選器操作”�����。
單擊“管理IP篩選器列表”選項卡���,然后單擊添加�。
在IP篩選器列表對話框中���,鍵入SNMP消息(161/162)(在名稱框中)����,然后鍵入TCP和UDP端口161篩選器(在說明框中)�。
單擊使用“添加向導”復選框,將其清除�,然后單擊添加。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中�,單擊“任意IP地址”。在“目標地址”框中����,單擊我的IP地址�。單擊“鏡像�����。匹配具有正好相反的源和目標地址的數據包”復選框����,將其選中。
單擊協(xié)議選項卡�。在“選擇協(xié)議類型”框中,選擇UDP�。在“設置IP協(xié)議端口”框中,選擇“從此端口”����,然后在框中鍵入161。單擊“到此端口”���,然后在框中鍵入161�。
單擊確定�����。
在IP篩選器列表對話框中,選擇添加��。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中��,單擊“任意IP地址”��。在“目標地址”框中����,單擊我的IP地址���。選中“鏡像���、匹配具有正好相反的源和目標地址的數據包”復選框。
單擊協(xié)議選項卡�����。在“選擇協(xié)議類型框中����,單擊TCP。在“設置IP協(xié)議”框中���,單擊“從此端口”�����,然后在框中鍵入161�����。單擊“到此端口”�����,然后在框中鍵入161���。
單擊確定�����。
在IP篩選器列表對話框中��,單擊添加�����。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中��,單擊“任意IP地址”��。在“目標地址”框中�,單擊我的IP地址。單擊“鏡像����,匹配具有正好相反的源和目標地址的數據包”復選框,將其選中�。
單擊協(xié)議選項卡。在“選擇協(xié)議類型”框中�����,單擊UDP�����。在“設置IP協(xié)議”框中����,單擊“從此端口”�,然后在框中鍵入162。單擊“到此端口”,然后在框中鍵入162�。
單擊確定,在IP篩選器列表對話框中��,單擊添加�。
在“源地址”框(位于顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊“任意IP地址”��。在“目標地址”框中��,單擊我的IP地址���。單擊“鏡像�。匹配具有正好相反的源和目標地址的數據包”復選框�����,將其選中�����。
單擊協(xié)議選項卡�。在“選擇協(xié)議類型框中,單擊TCP���。在“設置IP協(xié)議”框中���,單擊“從此端口”�����,然后在框中鍵入162�。單擊“到此端口”����,然后在框中鍵入162。
單擊確定����。
在IP篩選器列表對話框中單擊確定,然后單擊“管理IP篩選器列表和篩選器操作”對話框中的確定�。
創(chuàng)建IPSec策略
要創(chuàng)建IPSec策略來對SNMP通信強制實施IPSec�����,請按以下步驟操作:
右鍵單擊左窗格中“本地計算機上的IP安全策略”��,然后單擊創(chuàng)建IP安全策略���。
“IP安全策略向導”啟動�����。
單擊下一步��。
在“IP安全策略名稱”頁上的名稱框中鍵入Secure SNMP��。在說明框中�����,鍵入Force IPSec for SNMP Communications����,然后單擊下一步。
單擊“激活默認響應規(guī)則”復選框�����,將其清除���,然后單擊下一步����。
在“正在完成IP安全策略向導”頁上,確認“編輯屬性”復選框已被選中�����,然后單擊完成�����。
在安全“NMP屬性”對話框中���,單擊使用“添加向導”復選框�,將其清除�����,然后單擊添加�����。
單擊IP 篩選器列表”選項卡�,然后單擊SNMP消息(161/162)��。
單擊篩選器操作選項卡���,然后單擊需要安全�。
單擊身份驗證方法選項卡。默認的身份驗證方法為Kerberos�����。如果您需要另一種身份驗證方法�����,則請單擊添加�。在新身份驗證方法屬性對話框中,從下面的列表中選擇要使用的身份驗證方法��,然后單擊確定:
ActiveDirectory默認值(KerberosV5協(xié)議)
使用此字符串(預共享密鑰)
在新規(guī)則屬性對話框中��,單擊應用���,然后單擊確定��。
在SNMP屬性”對話框中�����,確認SNMP消息(161/162)復選框已被選中����,然后單擊確定。
在“本地安全設置”控制臺的右窗格中�,右鍵單擊安全SNMP規(guī)則,然后單擊指定����。
在所有運行SNMP服務的基于Windows的計算機上完成此過程。SNMP管理站上也必須配置此IPSec策略�。
本文來自ChinaUnix博客,如果查看原文請點:http://blog.chinaunix.net/u2/89112/showart_1880243.html |
|
免費注冊
發(fā)表于 2009-03-26 11:19