模板
教程
环境
性能
功能
管理
如何在 Windows 2000 中为 SNMP 服务配置网络安全性
要 本分步指南介绍了如何为“简单网络协议服务”(SNMP) 配置 网络安全 。 Windows 2000 SNMP 充当着一个代理,它会将可以报告给 SNMP 管理站或控制台的信息收集起来。您可以使用 SNMP 服务在整个企业网络中收集数据和管理基于 Windows 2000 的计算机。 通过
要本分步指南介绍了如何为“简单网络协议服务”(SNMP) 配置网络安全。
Windows 2000 SNMP 充当着一个代理,它会将可以报告给 SNMP 管理站或控制台的信息收集起来。您可以使用 SNMP 服务在整个企业网络中收集数据和管理基于 Windows 2000 的计算机。
通过将共享的社区名称分配给代理和管理站,通常可以保护 SNMP 代理和 SNMP 管理站之间的通讯。当 SNMP 管理站将查询发送到 SNMP 服务时,会将请求者的社区名称与代理的社区名称进行比较。如果这两个名称是匹配的,则表明 SNMP 管理站通过了身份验证。如果这两个名称不匹配,则 SNMP 代理会认为该请求是失败的访问尝试,并可能发送 SNMP 陷阱消息。
SNMP 消息是以明文发送的。“Microsoft 网络监视器”这样的网络分析程序很容易截取这些明文消息并将它解码。未经授权的人员可以捕获和使用社区名称,以获得有关网络资源的重要信息。
IPSec 可用于保护 SNMP 通讯。您可以创建 IPSec 策略以保护 TCP 和 UDP 端口 161 和 162 上的通讯,从而保护 SNMP 事务。
Windows 2000 SNMP 充当着一个代理,它会将可以报告给 SNMP 管理站或控制台的信息收集起来。您可以使用 SNMP 服务在整个企业网络中收集数据和管理基于 Windows 2000 的计算机。
通过将共享的社区名称分配给代理和管理站,通常可以保护 SNMP 代理和 SNMP 管理站之间的通讯。当 SNMP 管理站将查询发送到 SNMP 服务时,会将请求者的社区名称与代理的社区名称进行比较。如果这两个名称是匹配的,则表明 SNMP 管理站通过了身份验证。如果这两个名称不匹配,则 SNMP 代理会认为该请求是失败的访问尝试,并可能发送 SNMP 陷阱消息。
SNMP 消息是以明文发送的。“Microsoft 网络监视器”这样的网络分析程序很容易截取这些明文消息并将它解码。未经授权的人员可以捕获和使用社区名称,以获得有关网络资源的重要信息。
IPSec 可用于保护 SNMP 通讯。您可以创建 IPSec 策略以保护 TCP 和 UDP 端口 161 和 162 上的通讯,从而保护 SNMP 事务。
创建筛选器列表
要创建 IPSec 策略以保护 SNMP 消息,请首先执行以下步骤来创建筛选器列表:| 1. | 单击开始,指向程序,指向管理工具,然后单击本地安全策略。 |
| 2. | 在左窗格中展开安全设置节点,右键单击IP 安全策略,然后单击“管理 IP 筛选器表和筛选器操作”。 |
| 3. | 单击管理 IP 筛选器列表选项卡,然后单击添加。 |
| 4. | 在IP 筛选器列表对话框的名称框中键入 SNMP 消息 (161/162)。在说明框中,键入用于 TCP 和 UDP 端口 161 的筛选器。 |
| 5. | 单击使用“添加向导”复选框,将其清除,然后单击添加。 |
| 6. | 在“源地址”框中,单击“任何 IP 地址”选项。在“目标地址”框中,单击我的 IP 地址选项。单击镜像复选框,将其选中。 |
| 7. | 单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置 IP 协议”框中,单击“从此端口”选项,然后在框中键入 161。单击“到此端口”选项,然后在框中键入 161。单击确定。 |
| 8. | 在IP 筛选器列表对话框中,单击添加按钮。 |
| 9. | 在“源地址”框中,单击“任何 IP 地址”选项。在“目标地址”框中,单击我的 IP 地址选项。单击镜像复选框,将其选中。 |
| 10. | 单击协议选项卡。在“选择协议类型”框中,单击 TCP。在“设置 IP 协议”框中,单击“从此端口”选项,然后在文本框中键入 161。单击“到此端口”选项,然后在框中键入 161。单击确定。 |
| 11. | 在IP 筛选器列表对话框中,单击添加按钮。 |
| 12. | 在“源地址”框中,单击“任何 IP 地址”选项。在“目标地址”框中,单击我的 IP 地址选项。单击镜像复选框,将其选中。 |
| 13. | 配置客户端(这些客户端会将陷阱发送到以镜像方式接收陷阱的服务器)。在筛选器定义中的“我的地址”的位置,使用任何地址。对于“来源”,使用我的地址。对于“目标”,使用任何 IP 地址。 但是,客户端上的源端口可能与在此处定义的筛选器不匹配。当客户端将陷阱发送到服务器时,它可能使用短暂端口。如果 Netmon 跟踪显示:使用的是短暂端口,而且没有对通信加密,那么,您可能就需要为所有的定义都给连接的服务器端的源端口应用“任何端口”。 |
| 14. | 单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置 IP 协议”框中,单击“从此端口”选项,然后在框中键入 162。单击“到此端口”选项,然后在框中键入 162。单击确定。 |
| 15. | 在IP 筛选器列表对话框中,单击添加按钮。 |
| 16. | 在“源地址”框中,单击“任何 IP 地址”选项。在“目标地址”框中,单击我的 IP 地址选项。单击镜像复选框,将其选中。 |
| 17. | 单击协议选项卡。在“选择协议类型”框中,单击 TCP。在“设置 IP 协议”框中,单击“从此端口”选项,然后在框中键入 162。单击“到此端口”选项,然后在框中键入 162。单击确定。 |
| 18. | 在IP 筛选器列表对话框中,单击关闭。 |
| 19. | 在“管理 IP 筛选器”框和筛选器操作对话框中,单击关闭。 |
创建 IPSec 策略
创建对 SNMP 通信强制实施 IPSec 的 IPSec 策略:| 1. | 右键单击左窗格中的IP 安全策略节点,然后单击创建 IP 安全策略。 |
| 2. | 在“欢迎使用 IP 安全策略向导”页面上,单击下一步。 |
| 3. | 在IP 安全策略名称 页面的名称框中键入安全 SNMP。在说明框中,键入对 SNMP 通信强制实施 IPSec,然后单击下一步。 |
| 4. | 单击“激活默认响应规则”复选框,将其清除,然后单击下一步。 |
| 5. | 在“完成‘IP 安全策略向导’”页面上,保留“编辑属性”复选框中的选中标记,然后单击完成。 |
| 6. | 在保护 SNMP 属性对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加按钮。 |
| 7. | 在新规则属性对话框中,单击 IP 筛选器列表 选项卡,然后单击SNMP 消息 (161/162)。 |
| 8. | 单击筛选器操作选项卡,然后单击要求安全设置。 |
| 9. | 单击身份验证方法选项卡。Kerberos 是默认的身份验证方法。如果您需要其他身份验证方法,请单击添加按钮。在新身份验证方法属性对话框中,您可以选择“Windows 2000 默认值(Kerberos V5 协议)”、“使用由此证书颁发机构 (CA) 颁发的证书”或“此字串用来保护密钥交换(预共享密钥)”。在进行选择之后单击确定。 |
| 10. | 在新规则属性对话框中,单击应用,然后单击确定。 |
| 11. | 在SNMP 属性对话框的SNMP 消息 (161/162) 复选框中应该存在复选标记。单击关闭。 |
| 12. | 在本地安全设置对话框的右窗格中,右键单击安全 SNMP 规则,然后单击分配。 |
